Guide pratiqueRGPD & conformité

RGPD pour un site vitrine : les obligations réelles (et ce que la CNIL sanctionne vraiment)

RGPD pour un site vitrine : ce qui est vraiment obligatoire, les durées de conservation légales, et ce que risque réellement une TPE selon la CNIL.

SiteBourbon · 16 juillet 2026
Chef d'entreprise qui signe un document de conformité dans un bureau

Vous avez un site vitrine, un formulaire de contact, peut-être Google Analytics, et vous avez entendu parler d'amendes RGPD à plusieurs millions d'euros. De quoi avoir envie de tout débrancher. Rassurez-vous tout de suite sur un point : le RGPD s'applique bien à votre site, mais l'ampleur du risque dépend de ce que vous collectez, pas de la taille de votre entreprise. Un site purement vitrine, sans formulaire ni traceur, a très peu d'obligations. Dès qu'un visiteur peut vous laisser son nom, son email ou son numéro, les règles changent.

Ce guide sépare ce qui est réellement obligatoire de ce qui relève de la légende urbaine, avec les sources officielles à l'appui (CNIL, service-public.fr, Légifrance).

Qu'est-ce qui déclenche une obligation RGPD sur un site vitrine ?

Un site statique, une simple carte de visite en ligne sans formulaire, sans compteur de visites et sans bouton de réseau social, n'a quasiment rien à faire au titre du RGPD. Le déclencheur, c'est la collecte de données personnelles. Trois cas concrets reviennent tout le temps chez nos clients :

  • L'artisan couvreur avec un formulaire de devis et Google Analytics installé pour suivre son trafic. Les deux collectent des données personnelles (email, adresse IP), donc les deux sont concernés.
  • La chambre d'hôtes avec un widget de réservation qui enregistre nom, email et parfois des informations de paiement. C'est le cas le plus exposé, car les données sont plus sensibles et souvent transmises à un prestataire tiers.
  • Le restaurant avec une simple inscription à la newsletter. Une seule case à cocher mal conçue (pré-cochée, ou sans lien vers une politique de confidentialité) suffit à être non conforme.

Si vous êtes dans un de ces trois cas, les obligations ci-dessous s'appliquent à vous.

Les obligations concrètes, une par une

Une politique de confidentialité, pas un copier-coller générique

La CNIL exige que le visiteur sache qui traite ses données, pourquoi, sur quelle base légale, combien de temps elles sont gardées, et comment faire valoir ses droits (accès, rectification, suppression). Un modèle trouvé en ligne et jamais adapté à votre activité réelle ne protège pas grand-chose : si vous utilisez Analytics, un CRM ou un outil d'emailing, ils doivent apparaître nommément dans le document.

Des cookies qui demandent vraiment un consentement

Selon la CNIL, seuls les cookies strictement nécessaires au fonctionnement du site (panier, préférence de langue) sont dispensés de consentement. Tout traceur publicitaire ou d'audience non anonymisée, Google Analytics dans sa configuration par défaut ou les boutons de partage YouTube et réseaux sociaux, doit attendre l'accord du visiteur. Le bouton "Tout refuser" doit être aussi visible que "Tout accepter", au même niveau, sur le même écran. Beaucoup de bannières installées via un plugin gratuit ratent ce point précis, ce qui les rend non conformes malgré les apparences.

Un formulaire qui explique ce qu'il fait de vos données

À proximité immédiate de chaque formulaire (contact, devis, newsletter), la CNIL demande d'afficher la finalité de la collecte, la base légale, et un lien vers la politique de confidentialité. Aucune case ne doit être pré-cochée pour un consentement marketing.

Une durée de conservation qui a une fin

D'après la norme CNIL applicable à la gestion commerciale (délibération NS-048, consultable sur Légifrance), les données d'un prospect qui n'est jamais devenu client peuvent être conservées trois ans à compter du dernier contact. Passé ce délai sans reprise de contact positive, elles doivent être supprimées ou archivées. Un client conserve le même délai de trois ans après la fin de la relation commerciale. "Je garde tout, on ne sait jamais" n'est pas une politique de conservation valable.

Une sécurité minimale sur les données que vous collectez

La CNIL rappelle des règles simples pour tout site qui collecte des données. HTTPS sur l'ensemble du parcours, y compris le formulaire, mots de passe robustes si vous avez un espace client, aucune donnée bancaire transmise ou stockée par email, recours à un prestataire de paiement sécurisé si vous encaissez en ligne.

Un hébergeur avec de vraies garanties

Votre hébergeur traite vos données pour votre compte, ce qui en fait un sous-traitant au sens du RGPD. Un contrat d'hébergement grand public, sans clause de protection des données, ne suffit techniquement pas. C'est un point que la plupart des porteurs de projet découvrent trop tard, souvent au moment d'un contrôle ou d'une demande de client.

Combien risque vraiment une petite entreprise ?

Voici ce qu'on entend le plus souvent, et ce qui est réellement vrai.

ManquementProcédure CNILAmende maximaleRéalité pour une TPE
RGPD, manquement graveOrdinaire20 M€ ou 4 % du CA mondialVise les grandes entreprises, très rare pour un site vitrine
RGPD, manquement courantSimplifiée20 000 €Le cas concret d'une TPE, souvent précédé d'une mise en demeure
Absence de mentions légales (LCEN)Pénale, hors RGPD75 000 € (EI), 375 000 € (société)Obligation distincte, mais liée au même chantier de conformité

Le plafond de 20 millions d'euros ou 4 % du chiffre d'affaires mondial existe bien dans le RGPD, mais il correspond à la procédure ordinaire de la CNIL, réservée aux manquements les plus graves et généralement à des entreprises de taille conséquente. Pour une TPE, la CNIL dispose d'une procédure simplifiée dont l'amende maximale est de 20 000 euros, et en pratique, un premier manquement se solde le plus souvent par une mise en demeure : un courrier qui vous laisse un délai pour vous mettre en conformité avant toute sanction financière.

À part, il existe une autre obligation, plus ancienne et distincte du RGPD : les mentions légales imposées par la loi pour la confiance dans l'économie numérique (LCEN). Leur absence est punie de 75 000 euros d'amende (et un an d'emprisonnement) pour un entrepreneur individuel, 375 000 euros pour une société. Ce n'est pas du RGPD, mais les deux sujets se confondent souvent dans la tête des dirigeants, et les deux se traitent en même temps quand on construit ou refond un site.

Le vrai risque n'est donc pas l'amende à sept chiffres. C'est la plainte d'un client, ou une demande d'exercice de droits mal gérée, qui déclenche un contrôle sur un site qui n'a jamais mis les bases en place.

Le faire soi-même : ce qui prend plus de temps que prévu

Rédiger une politique de confidentialité qui colle réellement à vos outils, configurer une bannière cookies qui respecte l'équilibre accepter/refuser, tenir un registre des traitements même simplifié, et vérifier la clause de sous-traitance de votre hébergeur : rien de tout cela n'est complexe pris isolément, mais l'ensemble demande du temps et une veille régulière, surtout si vous ajoutez un nouvel outil (chatbot, nouveau CRM) en cours de route.

C'est exactement ce que nous intégrons quand nous construisons un site vitrine sur mesure : la politique de confidentialité correspond aux outils réellement installés, la bannière cookies est configurée dès la livraison, et le paramétrage de suivi (Google Analytics, campagnes) respecté dès le départ s'inscrit dans une stratégie de marketing digital qui reste conforme. C'est un des postes inclus dans le coût d'un site pour un artisan, pas une option facturée à part.

Si vous préférez qu'un développeur vérifie votre site actuel plutôt que de tout reprendre vous-même point par point, parlons-en.

Ceci n'est pas un conseil juridique. Pour une situation particulière ou un doute sur votre cas, rapprochez-vous d'un avocat spécialisé ou consultez directement les fiches pratiques de la CNIL (cnil.fr).

Questions fréquentes

Un site vitrine sans formulaire de contact est-il concerné par le RGPD ?
Très peu. Sans formulaire, sans compteur de visites ni bouton de réseau social, un site purement statique ne collecte pas de données personnelles et n'a quasiment aucune obligation RGPD. Dès qu'un visiteur peut laisser son email ou son nom, les règles s'appliquent.
Faut-il un bandeau cookies même sans vente en ligne ?
Oui, dès que le site utilise Google Analytics dans sa configuration par défaut, des boutons de partage de réseaux sociaux ou tout traceur publicitaire. Seuls les cookies strictement nécessaires au fonctionnement (panier, langue) sont dispensés de consentement selon la CNIL.
Que risque une petite entreprise qui ignore le RGPD ?
Le plafond de 20 millions d'euros vise les manquements les plus graves via la procédure ordinaire de la CNIL. Pour une TPE, la CNIL utilise le plus souvent la procédure simplifiée, plafonnée à 20 000 euros, et un premier manquement se règle en général par une mise en demeure avec un délai de mise en conformité.
Combien de temps peut-on garder les données d'un formulaire de contact ?
Selon la norme CNIL sur la gestion commerciale, les données d'un prospect qui ne devient jamais client peuvent être conservées trois ans à compter du dernier contact. Un client conserve le même délai de trois ans après la fin de la relation commerciale.
Un hébergeur doit-il signer un document RGPD spécifique ?
Oui. L'hébergeur traite vos données pour votre compte et devient donc un sous-traitant au sens du RGPD, ce qui suppose des garanties contractuelles écrites, pas un simple contrat d'hébergement grand public.
PartagerLinkedInFacebookX