-10 min de lecture-Guides

RGPD, cookies et mentions legales : ce que tout site de TPE doit respecter en 2026

JW

Julien Wanecque

BecauseTimeCounts

En bref

  • -Trois reglementations distinctes a ne pas melanger : mentions legales (loi LCEN), traitement des donnees (RGPD) et cookies (article 82 et CNIL).
  • -Un site vitrine sans tracker ni cookie tiers n'a PAS besoin de bandeau cookies : seulement des mentions legales et une politique de confidentialite.
  • -La CNIL frappe surtout les geants, mais sa procedure simplifiee (plafond 20 000 euros) et une simple plainte peuvent atteindre une TPE.

Trois lois qu'on confond tout le temps

Un commerçant de La Baule m'a appelé l'an dernier, paniqué : il avait lu qu'il risquait une amende RGPD et voulait « se mettre en règle » sans trop savoir de quoi il parlait. Son cas n'a rien d'isolé. Je vois passer beaucoup de sites de TPE sur la presqu'île, et la même confusion revient à chaque fois : derrière le mot fourre-tout « conformité » se cachent trois réglementations différentes, avec trois textes, trois autorités et trois régimes de sanction qui n'ont rien à voir entre eux.

La réponse courte

Un site vitrine de TPE doit avoir des mentions légales complètes (loi LCEN) et une politique de confidentialité. Sans tracker ni cookie tiers, aucun bandeau cookies n'est nécessaire. Le risque réel pour une petite structure passe par la procédure simplifiée de la CNIL, plafonnée à 20 000 euros : 67 des 83 sanctions de 2025 ont emprunté cette voie.

Les démêler, c'est déjà 80 % du travail. Une fois que vous savez ce qui relève de quoi, vous arrêtez de vous inquiéter pour des choses qui ne vous concernent pas, et vous concentrez votre temps sur le peu qui compte vraiment.

Illustration de la conformite legale d'un site web de TPE en 2026 : documents juridiques, cadenas de protection des donnees et symbole de cookies sur un bureau

Voici les trois piliers, dans l'ordre.

Les mentions légales relèvent de la loi LCEN (loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique). C'est une obligation d'identification : dire qui édite le site et qui l'héberge. La sanction est pénale, pas administrative.

Le traitement des données personnelles relève du RGPD (le règlement européen de 2016) et de la CNIL. Dès que votre site collecte une adresse e-mail via un formulaire de contact, vous traitez des données.

Les cookies et traceurs, enfin, relèvent de l'article 82 de la loi Informatique et Libertés, lui aussi sous l'œil de la CNIL. C'est le sujet du fameux bandeau.

Ce ne sont donc ni les mêmes textes ni les mêmes sanctions. On peut être parfaitement en règle côté cookies et complètement hors-la-loi côté mentions légales. C'est même le cas le plus fréquent.

Cet article est informatif et ne remplace pas un conseil juridique. Sur un sujet réglementaire qui bouge, pour un cas précis, parlez-en à un juriste, à la CNIL ou à votre CCI.

Les mentions légales : la base que tout le monde bâcle

Commençons par le plus simple, et le plus souvent négligé. Les mentions légales sont obligatoires pour tout site professionnel, point. Ce n'est pas une question de taille, de chiffre d'affaires ou de présence d'un formulaire. Si vous avez un site qui présente votre activité, vous devez les afficher.

Pour une société, l'article 6 III de la LCEN réclame à peu près ceci : la dénomination ou raison sociale, l'adresse du siège, un moyen de contact ; la forme juridique et le montant du capital social ; le numéro SIREN/SIRET et le numéro d'inscription au RCS ; le numéro de TVA intracommunautaire, le cas échéant ; le nom du directeur de la publication ; et enfin l'identité et les coordonnées de l'hébergeur du site.

Ce dernier point est celui qu'on oublie systématiquement. J'ai vu des dizaines de sites avec des mentions soignées sur l'entreprise, mais pas un mot sur l'hébergeur, alors que c'est une mention obligatoire à part entière.

L'autre erreur classique, c'est le copier-coller. On récupère des mentions « génériques » trouvées en ligne, on oublie d'y mettre son propre SIRET, et on se retrouve avec un document qui ne protège de rien. Facile à repérer pour un tiers : il suffit de lire la page.

Pourquoi insister là-dessus ? Parce que le régime de sanction est sévère et qu'on l'ignore. L'absence ou l'inexactitude de ces mentions peut coûter, en théorie, jusqu'à 1 an d'emprisonnement et 75 000 euros d'amende pour une personne physique, 375 000 euros pour une personne morale. On est loin de la simple formalité. En pratique, les poursuites lourdes sont rares, mais le risque existe et corriger ça prend une heure. Autant le faire.

Le RGPD pour un site vitrine : moins effrayant qu'il n'y paraît

Le RGPD, c'est le mot qui fait peur. Pourtant, pour un site vitrine classique d'artisan ou de commerçant, l'essentiel tient en quelques principes de bon sens.

Le formulaire de contact

Dès que vous avez un formulaire de contact, vous collectez des données personnelles. Le RGPD vous demande alors, au moment de la collecte (articles 13 et 14), d'informer la personne sur le responsable du traitement (vous), sur l'usage des données (répondre à sa demande, rien de plus), sur les champs obligatoires ou facultatifs, sur ses droits (accès, rectification, effacement, opposition), et de pointer vers votre politique de confidentialité.

Une idée reçue tenace mérite ici d'être corrigée : non, vous n'avez pas besoin d'une case « j'accepte que mes données soient traitées » à cocher pour un simple formulaire de contact. Le consentement n'est généralement pas la bonne base légale. Quand quelqu'un vous écrit pour demander un devis, la base, c'est l'intérêt légitime ou la mesure précontractuelle. L'essentiel n'est pas de faire cocher une case, mais d'informer et de lier la politique de confidentialité sous le formulaire.

Les durées de conservation

Combien de temps gardez-vous ces messages ? « Pour toujours » n'est pas une réponse acceptable. La CNIL considère qu'une demande de contact ponctuelle peut être conservée environ 12 mois après le dernier échange. Pour de la prospection commerciale B2B, le repère est de 3 ans à compter du dernier contact actif. Indiquez une durée, et tenez-vous-y.

Le registre et le DPO : ce que vous pouvez oublier

Beaucoup de dirigeants se croient dispensés de registre des traitements parce qu'ils ont moins de 250 salariés. C'est une fausse bonne nouvelle : l'exemption de l'article 30 ne joue que pour les traitements occasionnels. Or un fichier clients ou un formulaire récurrent est un traitement régulier, donc l'exemption ne s'applique quasiment jamais. La CNIL recommande à toute structure de tenir un registre et fournit gratuitement un modèle simplifié au format tableur. Comptez une heure pour le remplir.

Quant au DPO (délégué à la protection des données), rassurez-vous : il n'est pas obligatoire pour l'immense majorité des TPE. Il est réservé au suivi à grande échelle, aux données sensibles à grande échelle et aux organismes publics. Désigner un référent en interne reste une bonne pratique, mais ce n'est pas une obligation pour le coiffeur de Guérande.

Les cookies : la grande question du bandeau

C'est le sujet qui génère le plus de fantasmes. Disons-le clairement, parce que ça va soulager beaucoup de monde : un site vitrine sans cookie tiers ni tracker n'a pas besoin de bandeau de consentement.

Quand le bandeau n'est PAS nécessaire

L'article 82 exempte de consentement les cookies « strictement nécessaires » au fonctionnement : session, panier, choix de la langue, sécurité. Si votre site se limite à ça, vous n'avez aucun bandeau à afficher. Vous devez simplement informer dans votre politique de confidentialité. C'est le cas de la grande majorité des sites que je construis pour les restaurants, hôtels, coiffeurs et artisans du bâtiment de la région : pas de tracker, donc pas de bandeau.

J'insiste, car c'est contre-intuitif : un bandeau cookies posé « pour faire bien » sur un site qui n'en a pas besoin est non seulement inutile, mais souvent mal fichu et donc non conforme. Le bandeau systématique est une fausse sécurité.

La mesure d'audience : le point qui décide de tout

La nuance se joue sur les statistiques de fréquentation. Si vous voulez savoir combien de visiteurs viennent sur votre site, deux mondes s'opposent.

D'un côté, Google Analytics : il n'est pas exempté. Il exige un consentement préalable, donc un bandeau, et pose en plus la question épineuse du transfert de données hors de l'Union européenne. C'est le piège classique : beaucoup le croient « exempté », il ne l'est pas.

De l'autre, des solutions configurables pour entrer dans l'exemption de consentement de la CNIL : Matomo (open source, auto-hébergeable), Plausible, Wysistat. Pour en bénéficier, la finalité doit rester strictement limitée à une statistique anonyme pour le seul éditeur, sans recoupement, sans transmission à des tiers, sans suivi entre sites. Le traceur ne dure pas plus de 13 mois, les données 25 mois maximum. Même exempté, l'utilisateur doit être informé dans la politique de confidentialité. La CNIL propose d'ailleurs un outil d'auto-évaluation pour le vérifier.

Le raisonnement, pour une TPE, est donc simple : choisir une solution exemptable et garder un site sans bandeau. C'est plus propre, plus rapide à charger, et plus respectueux du visiteur.

Si vous avez vraiment besoin d'un bandeau

Régie publicitaire, pixel Facebook, Google Analytics maintenu malgré tout ? Le bandeau devient alors obligatoire, et il doit respecter la règle phare réaffirmée par la CNIL dans sa recommandation consolidée du 16 janvier 2026 (issue de la délibération n°2025-131 du 18 décembre 2025) : refuser doit être aussi simple qu'accepter.

Concrètement, les boutons « Tout accepter » et « Tout refuser » doivent être au même niveau, même format, même visibilité, avec un troisième niveau « Personnaliser mes choix ». La poursuite de la navigation ou une case pré-cochée ne valent pas consentement.

Un bouton « Refuser » caché, grisé ou qui demande plus de clics que « Accepter » est exactement ce que la CNIL sanctionne. Un bandeau trompeur est pire que pas de bandeau du tout.

Le risque réel pour une TPE de Loire-Atlantique

Parlons chiffres, parce que c'est là qu'on évite à la fois la panique et l'insouciance.

En 2025, la CNIL a prononcé 83 sanctions pour près de 487 millions d'euros, soit neuf fois plus qu'en 2024. Les cookies ont été le premier sujet, avec des amendes spectaculaires : 325 millions contre Google et 150 millions contre Shein. De quoi nourrir l'angoisse.

Sauf que ces montants visent des géants. Ce qui doit retenir l'attention d'une TPE, c'est la procédure simplifiée, créée en 2022 : sur les 83 sanctions de 2025, 67 ont été prononcées par cette voie, avec un plafond d'amende de 20 000 euros. C'est ce régime-là qui peut toucher une structure modeste. Ajoutez à cela les mises en demeure et le fait qu'une simple plainte d'un internaute suffit à déclencher un contrôle, et vous comprenez que « je suis trop petit pour intéresser la CNIL » est un pari, pas une protection.

La bonne nouvelle, c'est que la mise en conformité d'un site vitrine est rapide et peu coûteuse. Sur les sites que je livre, le code source vous est remis et ces éléments sont en place dès le départ : ça fait partie intégrante de ce que je considère comme un site fini, pas d'une option (voir le détail de mes services et mes tarifs).

Les ressources locales avant de payer

Avant d'engager des frais d'accompagnement juridique, sachez qu'il existe des ressources gratuites dans le coin. La CCI Nantes Saint-Nazaire (16 quai Ernest Renaud, 44105 Nantes Cedex 1) organise des réunions d'information RGPD et propose des diagnostics aux commerçants et artisans. Le réseau France Num en Loire-Atlantique, qui fédère la CCI, l'ADIE et la Région Pays de la Loire, tient une permanence à Nantes pour aider les petites entreprises à démarrer leur numérisation.

Un artisan de Guérande, un commerçant de La Baule ou une petite agence de Saint-Nazaire a tout intérêt à pousser ces portes-là d'abord. Dans la grande majorité des cas, on s'aperçoit que le site vitrine concerné n'a besoin que de deux choses : des mentions légales correctes et une politique de confidentialité. Pas de bandeau cookies. Pas de DPO. Pas d'usine à gaz.

Votre check-list de conformité en cinq points

Si vous ne deviez vérifier qu'une seule liste ce soir sur votre propre site, la voici.

  1. Mentions légales complètes : votre identité d'éditeur, votre SIRET, le directeur de la publication, et les coordonnées de l'hébergeur. C'est le plus vite réglé et le plus souvent fautif.
  2. Politique de confidentialité : identité du responsable, finalités, bases légales, durées de conservation, destinataires éventuels, droits des personnes et droit de réclamation auprès de la CNIL.
  3. Formulaire de contact : une phrase d'information sous le formulaire, un lien vers la politique de confidentialité, une durée de conservation raisonnable. Pas de case « j'accepte » obligatoire.
  4. Cookies : faites l'inventaire. Aucun tracker ? Pas de bandeau, juste l'info dans la politique. Une mesure d'audience ? Choisissez une solution exemptable plutôt que Google Analytics.
  5. Registre des traitements : remplissez le modèle gratuit de la CNIL. Une heure, et c'est fait.

La conformité d'un site de TPE n'est pas un mur réglementaire infranchissable, c'est un malentendu de vocabulaire. On confond trois lois, on imagine des obligations qui n'existent pas, et on néglige les deux ou trois choses qui comptent. Le plus souvent, la mise en règle d'un site vitrine est l'affaire d'un après-midi, pas d'un budget. Le vrai danger, ce n'est pas la CNIL : c'est de croire que c'est compliqué et de ne rien faire. Si vous voulez qu'on regarde votre cas ensemble, écrivez-moi, je vous dirai franchement ce qui manque.

Questions fréquentes

Un site vitrine de TPE a-t-il besoin d'un bandeau cookies ?
Non, dans la plupart des cas. L'article 82 de la loi Informatique et Libertés exempte de consentement les cookies strictement nécessaires (session, langue, sécurité). Sans tracker ni cookie tiers, aucun bandeau n'est requis : seules des mentions légales complètes et une politique de confidentialité sont obligatoires. Avec une mesure d'audience exemptée (Matomo, Plausible), le traceur reste limité à 13 mois.
Que risque concrètement une TPE en cas de non-conformité RGPD ?
La procédure simplifiée de la CNIL, utilisée pour 67 des 83 sanctions prononcées en 2025, plafonne l'amende à 20 000 euros et peut viser une petite structure. Côté mentions légales, la loi LCEN prévoit jusqu'à 75 000 euros d'amende pour une personne physique. Une simple plainte d'un internaute suffit à déclencher un contrôle, mais la mise en règle d'un site vitrine prend souvent un après-midi.
Un site conforme RGPD coûte-t-il plus cher à créer ?
Non, si la conformité est intégrée dès la conception. Chez BecauseTimeCounts, mentions légales, politique de confidentialité et formulaire conforme font partie de tout site livré, dès 500 euros, avec un prototype sous 48 heures et le code source remis au client. Toute demande reçoit une réponse sous 24 heures, avec un diagnostic franc de ce qui manque sur un site existant.

Un projet web ? Parlons-en.

Prototypes en 48h, tarifs dès 500€, code source livré. On vous répond sous 24h.