Auditer mon sitePrendre RDV
Accueil/Ressources/Rgpd Site Vitrine Tpe
Pratique · 7 min de lecture

RGPD pour un site vitrine de TPE : le minimum à respecter

Le RGPD d'un site vitrine tient en trois points, pas en trente. Et le bandeau cookies que tout le monde colle n'est souvent pas une preuve de conformité - c'est le signe d'un site mal fichu. On renverse l'angle.

Par Thomas Merlen, Fondateur de BRIKS
Publié en mai 2026

Il y a une scène que je revois à chaque reprise de site. Le client nous montre fièrement son ancienne page et, dans un coin, un gros bandeau « Accepter / Refuser les cookies » qu'il a posé là parce qu'on lui a dit que « c'était la loi ». Il ne sait pas vraiment ce que ce bandeau fait. Il sait juste qu'il a eu peur de l'amende. Posez les sigles RGPD et CNIL côte à côte, et son petit site vitrine s'est mis à l'inquiéter.

Je livre des sites pour des artisans, des restaurants et des indépendants, et le sujet RGPD revient à chaque démarrage de projet. Voici ce que je peux vous dire d'entrée : sur un site vitrine simple, il est bien plus court qu'on ne le craint. La plupart des articles RGPD pour TPE sont des check-lists anxiogènes recopiées sur les obligations des grandes entreprises - registre des traitements, DPO, analyse d'impact. Rien de tout ça ne concerne votre site de présentation. Ce qui le concerne se résume à quelques points. Un cadre avant de commencer : je décris ici le cas général. Pour une situation précise, c'est la CNIL ou un juriste qui tranche, pas un article de blog.

RGPD, mentions légales, cookies : démêlons d'abord ce qui se cache derrière

Une bonne partie de la confusion vient de là. On range sous un seul mot, « RGPD », trois choses qui n'ont ni la même origine ni le même objet.

  • Le RGPD (règlement européen 2016/679, applicable depuis le 25 mai 2018) encadre les données personnelles que vous récoltez : un nom, un email, un message dans un formulaire.
  • Les mentions légales n'ont rien à voir avec le RGPD. Elles viennent d'une autre loi (la LCEN de 2004, article 6) et servent à dire qui édite le site et qui l'héberge.
  • Le bandeau cookies ne relève pas non plus du RGPD à proprement parler, mais de l'article 82 de la loi Informatique et Libertés. Il ne se déclenche que si votre site dépose des traceurs qui demandent un consentement.

Pour un site vitrine simple - quelques pages, un formulaire de contact, une mesure de fréquentation - le RGPD se résume à trois points concrets. Pas de registre. Pas de délégué à la protection des données. On les prend dans l'ordre.

À retenir
Ce qui concerne un site vitrine : (1) votre formulaire de contact, (2) la façon dont vous mesurez vos visites, (3) votre politique de confidentialité. Le reste, dans l'immense majorité des cas, n'est pas votre sujet.

Point 1 : votre formulaire de contact

C'est l'objet le plus courant d'un site vitrine, et le seul qui collecte vraiment des données. Un nom, un email, un message, parfois un téléphone. Quatre questions à se poser, et elles sont simples.

  1. Pour quoi faire ? Une finalité unique et claire : vous répondre. Pas pour revendre l'adresse, pas pour l'ajouter à une newsletter sans le dire.
  2. Combien de temps on garde ? Une durée raisonnable, pas indéfinie. Sur notre propre site, les messages de contact sont conservés trois ans.
  3. Sur quelle base ? C'est le point juridique. Selon les cas, ce sera le consentement, l'intérêt légitime ou l'exécution de mesures précontractuelles. Pour votre situation précise, c'est la CNIL qui donne la réponse - je n'ai pas vocation à la trancher à votre place.
  4. L'avez-vous dit à la personne ? Une phrase, au-dessus du bouton d'envoi, suffit.

Concrètement, cette petite phrase ressemble à : « Les informations saisies servent uniquement à vous recontacter. Vous pouvez demander leur suppression à tout moment. » Et c'est tout. Là où ça coince le plus souvent, ce n'est d'ailleurs pas l'absence de cette phrase. C'est l'inverse : des sites couverts de mentions juridiques, qui dans le même temps envoient les données du formulaire en clair par email vers une adresse Gmail personnelle, sans qu'on sache où elles atterrissent ni combien de temps elles y restent. Beaucoup de décorum juridique en façade, et le vrai trou est derrière. L'inquiétude est presque toujours mal placée.

Point 2 : mesurer vos visites sans coller un bandeau à vos visiteurs

Là, on retourne le problème, et c'est le coeur du sujet. Un bandeau cookies n'est pas une preuve de conformité. C'est souvent un symptôme.

Sur les sites de TPE qu'on reprend, le bandeau « Accepter / Refuser » est presque toujours là pour une seule raison : un Google Analytics ou un pixel publicitaire traîne dans le code. Pas parce que le site en avait besoin. Quelqu'un a branché un outil de suivi gratuit un jour, l'a oublié, et cet outil pose des cookies qui exigent un consentement. Le bandeau est la conséquence du traceur. Pas une case à cocher pour faire sérieux.

Or il existe une autre voie. La CNIL, dans ses lignes directrices du 17 septembre 2020, admet une exemption de consentement pour la mesure d'audience - donc sans bandeau - à condition que l'outil respecte des règles cumulatives : une finalité strictement limitée à la mesure d'audience du site pour le seul compte de l'éditeur, aucun recoupement avec d'autres traitements, aucun suivi de la personne d'un site à l'autre, et la production de statistiques anonymes uniquement. Ce n'est pas automatique. C'est sous réserve de tenir ces conditions, toutes en même temps.

C'est exactement le choix que nous faisons. Les sites BRIKS sont mesurés via Umami Cloud EU, hébergé dans l'Union européenne et configuré en mode dépourvu de cookie et sans identifiant persistant. Aucun Google Analytics, aucun pixel Meta. Cette configuration ne collecte aucune donnée directement identifiante au sens du RGPD, et c'est consigné dans notre politique de confidentialité, que vous pouvez lire en entier. Le résultat tient en une ligne : on voit combien de personnes visitent le site et quelles pages marchent, sans présenter de bandeau à personne. Le détail de ce qu'on mesure est sur la page statistiques de site.

Point 3 : votre politique de confidentialité (qui n'est pas vos mentions légales)

Troisième et dernier point. Dès que votre site collecte une donnée, ne serait-ce que par un formulaire, il vous faut une politique de confidentialité. Au titre des articles 13 et 14 du RGPD, elle doit indiquer a minima : qui est responsable des données (vous), pourquoi vous les collectez, sur quelle base, combien de temps vous les gardez, à qui elles sont éventuellement transmises, et quels sont les droits des personnes - accès, rectification, effacement, opposition - ainsi que le droit de saisir la CNIL. La CNIL demande que ce soit écrit en termes clairs et simples, pas en douze pages de jargon que personne ne lit jamais jusqu'au bout.

Et non, ce n'est pas la même chose que vos mentions légales. Les deux documents reposent sur deux lois différentes. Les mentions légales identifient l'éditeur et l'hébergeur du site (loi LCEN, 2004). La politique de confidentialité explique le traitement des données (RGPD). On les confond tout le temps, et c'est l'erreur la plus répandue que je croise. Deux pages distinctes, il vous faut les deux. Pour voir à quoi ressemble une politique lisible plutôt qu'un copier-coller indigeste, regardez la nôtre : c'est le format qu'on livre.

Et les sanctions, alors ?

C'est la question qui sous-tend toute l'inquiétude, alors prenons-la de face.

Une sanction de la CNIL doit être proportionnée à la gravité du manquement. La CNIL peut tenir compte de la taille de la structure, de ses moyens et de sa capacité à se mettre en conformité. Être une petite entreprise ne vous exonère de rien, mais votre bonne foi et la rapidité avec laquelle vous corrigez peuvent jouer en votre faveur. Depuis le 8 avril 2022, la CNIL dispose même d'une procédure de sanction simplifiée, pensée pour traiter les dossiers de moindre ampleur, ceux des TPE et des professions libérales notamment.

Le restaurant du coin n'est pas traité comme un groupe du CAC 40, et il n'a pas à l'être. Je vais vous dire où est le vrai risque, pour un site vitrine bâclé. Ce n'est pas l'amende. C'est plus banal et plus immédiat : un site qui inspire la méfiance. Un visiteur qui tombe sur un formulaire douteux ou une page de confidentialité absente se dit, à raison, que le reste est fait à la va-vite. Une conformité soignée protège juridiquement, d'accord. Elle fait surtout passer un message à vos visiteurs : ici, c'est sérieux.

La conformité se joue à la conception

Voilà où je veux en venir. La conformité d'un site vitrine ne se règle pas après coup, en collant des modules trouvés en ligne sur un site déjà construit. Elle se décide à la conception. Un formulaire avec une finalité claire et une durée de conservation. Une mesure d'audience sans cookie, donc sans bandeau. Une politique de confidentialité livrée d'office. Posez ça dès le départ et il n'y a rien à rajouter ensuite : le site est propre parce qu'il a été pensé propre.

C'est ce qu'on livre par défaut. Prenez Carmel et Marlone, deux restaurants bordelais qu'on a réalisés (carmelcafe.fr, marlonebordeaux.fr). Un site de présentation avec une carte, un formulaire ou une réservation n'a besoin de rien d'autre que les mêmes points de base. Pas d'usine à gaz pour un restaurant. La même conception saine sert le restaurateur de Bordeaux comme l'artisan installé à l'autre bout du pays. Si vous voulez voir comment on construit un site de bout en bout, c'est expliqué sur la page comment ça marche, et il y a toujours un humain joignable pour vous répondre quand une question de ce genre tombe.

À retenir
Récapitulons. Pour un site vitrine simple, le RGPD tient en trois points : (1) un formulaire de contact à finalité claire, avec durée de conservation et une phrase d'information ; (2) une mesure d'audience sans cookie, exemptée de bandeau sous réserve des conditions CNIL ; (3) une politique de confidentialité lisible, distincte de vos mentions légales. Le bandeau cookies n'est pas une preuve de conformité - c'est souvent le signe qu'on a branché un traceur dont vous n'aviez pas besoin. Pour un cas particulier, demandez à la CNIL ou à un juriste : cet article décrit le cadre général, il ne remplace pas un conseil personnalisé. Reste à savoir où en est le vôtre. Notre propre politique de confidentialité est en ligne pour l'exemple, et un audit de votre site vous le dira en une minute.

Questions fréquentes

Un site vitrine doit-il vraiment respecter le RGPD ?

Oui, dès qu'il collecte la moindre donnée personnelle - et un simple formulaire de contact en collecte. Mais « respecter le RGPD » pour un site vitrine ne veut pas dire monter une usine à gaz. Ça tient en trois points : un formulaire à finalité claire, une mesure d'audience propre, et une politique de confidentialité lisible. Pas de registre des traitements ni de DPO pour un site de présentation simple.

Le bandeau cookies est-il obligatoire sur un site vitrine ?

Pas systématiquement. Le bandeau de consentement n'est requis que si votre site dépose des traceurs soumis à consentement - typiquement Google Analytics ou un pixel publicitaire. Si votre mesure d'audience est configurée sans cookie et respecte les conditions de l'exemption posées par la CNIL dans ses lignes directrices du 17 septembre 2020, et qu'il n'y a ni Google Analytics ni pixel, aucun bandeau n'est nécessaire. Le bandeau est souvent le symptôme d'un traceur inutile, pas une obligation en soi.

Quelle différence entre mentions légales et politique de confidentialité ?

Ce sont deux documents distincts, fondés sur deux lois différentes. Les mentions légales (loi LCEN de 2004) identifient l'éditeur et l'hébergeur du site. La politique de confidentialité (RGPD, articles 13 et 14) explique quelles données vous collectez, pourquoi, combien de temps et quels droits ont les personnes. On les confond souvent, mais il vous faut les deux.

Que risque une TPE qui n'est pas tout à fait en règle ?

Une sanction de la CNIL est proportionnée à la gravité du manquement et tient compte de la taille et des moyens de la structure. Une petite entreprise de bonne foi qui corrige rapidement n'est pas traitée comme un grand groupe - la CNIL a d'ailleurs créé en 2022 une procédure simplifiée pour les dossiers de moindre ampleur. Pour évaluer votre cas précis, le plus sûr est de vous reporter aux ressources de la CNIL ou de consulter un juriste.

Voir aussi

D'autres articles utiles avant d'acheter.

PRATIQUE

Site de restaurant : réservation et présence sur Google, ce qui compte vraiment

Lire l'article
DÉCRYPTAGE

Le coût réel d'un site internet sur 3 ans

Lire l'article
DÉCRYPTAGE

Êtes-vous vraiment propriétaire de votre site web ?

Lire l'article

Le plus simple, c'est d'en parler 15 minutes.

Dites-nous ce que vous faites, ce que vous avez déjà essayé, ce qui vous bloque. En retour, on vous dit honnêtement si BRIKS est adapté pour vous, et ce qu'on pourrait vous proposer concrètement.