RGPD et site web en 2026 : guide de conformité pour PME européennes
Une PME atteint la conformité RGPD en cochant 8 points : Consent Mode v2 implémenté, bandeau cookies non-dark-pattern, registre des traitements à jour, hébergement EU vérifié, DPO désigné si obligatoire, droits utilisateur opérationnels (accès/effacement), durées de conservation documentées, et politique de confidentialité accessible. Les amendes 2024-2025 ont franchi le milliard d'euros cumulé pour Meta, TikTok et Uber.
Le RGPD a 8 ans en 2026, mais 70% des sites de PME européennes restent en non-conformité partielle selon l'enquête Cookiebot 2025. Entre l'arrivée de Consent Mode v2 obligatoire en mars 2024, le DSA, la fin du Privacy Shield puis sa résurrection en Data Privacy Framework, et les nouvelles décisions CNIL sur les dark patterns, le terrain bouge constamment. Voici la checklist appliquée par OptionWeb sur tous les sites clients en 2026.
1. Google Consent Mode v2 obligatoire
Depuis le 6 mars 2024, Google exige l'implémentation de Consent Mode v2 pour utiliser Google Ads et Google Analytics avec des utilisateurs européens. Sans Consent Mode v2, vos campagnes ne peuvent plus utiliser les données EEA pour optimiser, et les conversions sont massivement sous-déclarées.
Concrètement, il faut transmettre 7 paramètres de consentement à Google : ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Une CMP (Consent Management Platform) certifiée Google gère ça automatiquement.
| CMP | Prix mensuel | Avantages | Inconvénients |
|---|---|---|---|
| Cookiebot | 12-39 € / 100k vues | Robuste, certifié Google, scan auto cookies | Cher au-delà de 100k vues, UI vieillotte |
| Didomi | Sur devis (~80-300 €) | Référence enterprise FR, conformité multi-pays | Cher pour PME |
| Axeptio | 9-49 € | UX moderne, ton 'sympa', siège FR | Moins de granularité technique |
| Iubenda | 5-30 € | Bon rapport qualité/prix, multilingue | Documentation moins claire |
| CMP open-source (Klaro) | 0 € | Self-hosted, gratuit, RGPD compatible | Maintenance manuelle, pas de scan auto |
Recommandation OptionWeb : Axeptio pour PME jusqu'à 100k vues/mois (UX, prix, siège FR), Cookiebot au-dessus si besoin de scan automatique multi-domaine.
2. Bandeau cookies sans dark pattern
La CNIL et l'APD belge ont multiplié les sanctions sur les bandeaux cookies en 2024-2025. Les patterns interdits explicitement : bouton 'Refuser tout' caché ou moins visible que 'Accepter', cases pré-cochées pour les cookies non-essentiels, scroll de la page = consentement implicite, fermeture du bandeau sans choix qui équivaut à acceptation.
Règle stricte : 'Tout accepter' et 'Tout refuser' au même niveau visuel — même taille, même couleur, même position. Le refus doit être aussi facile que l'acceptation. Une PME française a écopé de 8 000 € d'amende en 2024 simplement parce que son bouton 'Refuser' était deux fois plus petit.
3. Registre des traitements
Le registre des activités de traitement est obligatoire pour toute organisation de plus de 250 salariés, et fortement recommandé en dessous. Pour une PME qui sera contrôlée, c'est le premier document que demandera l'APD.
Pour chaque traitement (newsletter, formulaire de contact, paiement, recrutement, comptabilité), documenter :
- Finalité — Pourquoi vous collectez ces données (ex : envoyer une newsletter mensuelle).
- Base légale — Consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public, ou sauvegarde des intérêts vitaux.
- Catégories de données — Email, nom, IP, comportement, données bancaires, etc.
- Catégories de personnes — Prospects, clients, employés, sous-traitants, candidats.
- Destinataires — Qui reçoit les données : équipe interne, sous-traitants (Mailchimp, Stripe), partenaires.
- Transferts hors UE — Si applicable : pays, base juridique (CCT, BCR, décision d'adéquation).
- Durée de conservation — Active + archivage intermédiaire + archivage légal.
- Mesures de sécurité — Chiffrement, contrôle d'accès, sauvegardes, formation équipe.
Format pratique : tableau Excel ou Notion, mis à jour à chaque nouveau traitement. La CNIL fournit un modèle gratuit. Comptez 1-2 jours de travail pour le constituer la première fois.
4. Hébergement et transferts hors UE
Depuis l'arrêt Schrems II (juillet 2020), héberger un site web utilisateur européen sur AWS US, Google Cloud US ou Azure US sans Standard Contractual Clauses + analyse d'impact = non-conformité claire. Le Data Privacy Framework EU-US de juillet 2023 a stabilisé la situation pour les hébergeurs US certifiés DPF, mais le risque résiduel persiste (recours en annulation pendant).
Solution simple pour PME : hébergeur en UE (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). Pas de transfert hors UE = pas de discussion. C'est notre choix par défaut chez OptionWeb avec Verpex (datacenter Pays-Bas). Pour les critères détaillés de choix d'hébergeur EU, voir notre guide hébergement Belgique 2026.
Pour les sous-traitants US incontournables (Stripe, Mailchimp, HubSpot, Google Workspace), il faut :
- Vérifier la certification DPF du sous-traitant sur dataprivacyframework.gov
- Signer un DPA (Data Processing Agreement) avec lui (généralement automatique via leurs CGU)
- Vérifier les SCC (Standard Contractual Clauses) attachées au DPA
- Documenter dans le registre des traitements le transfert et sa base légale
- Mentionner explicitement le transfert dans la politique de confidentialité
5. DPO : obligatoire ou pas ?
Le Délégué à la Protection des Données (DPO) est obligatoire dans 3 cas seulement : autorité publique, suivi systématique à grande échelle de personnes, traitement à grande échelle de données sensibles (santé, opinions, religion, biométrie). Pour 95% des PME, ce n'est pas obligatoire.
Mais c'est fortement recommandé pour les PME B2C ou e-commerce : un DPO externe mutualisé coûte 200-500 €/mois et apporte une couverture juridique en cas de contrôle. Trois options :
| Option | Coût | Pour qui |
|---|---|---|
| DPO interne (gérant ou RH formé) | Formation 800-2000 € | PME 10-50 personnes, traitements simples |
| DPO externe mutualisé | 200-500 €/mois | PME e-commerce ou B2C avec données utilisateurs |
| DPO interne dédié | Salaire 50-80k €/an | Entreprise 100+ salariés ou traitements sensibles |
6. Droits des utilisateurs (accès, effacement)
Tout utilisateur a 6 droits opposables : accès, rectification, effacement (droit à l'oubli), limitation, portabilité, opposition. Une PME doit pouvoir traiter une demande dans 1 mois (extensible 2 mois pour cas complexe avec justification).
Setup minimum : adresse email dédiée (privacy@votredomaine.eu), formulaire de contact étiqueté 'Demande RGPD', procédure interne documentée pour identifier la demande, retrouver les données, les exporter ou supprimer, et notifier l'utilisateur.
7. Durées de conservation
Conserver des données 'au cas où' = violation RGPD. Chaque catégorie de données doit avoir une durée de conservation justifiée. Modèle pour PME :
| Catégorie | Actif | Archivage intermédiaire | Légal |
|---|---|---|---|
| Prospects (formulaire contact) | 3 ans après dernier contact | — | — |
| Clients | Durée relation + 3 ans | 5 ans | 10 ans (factures) |
| Newsletter abonnés | Tant que abonné | 1 an après désabo | — |
| Candidats CV non retenus | 2 ans (sauf demande effacement) | — | — |
| Logs serveur (sécurité) | 1 an max | — | — |
| Cookies analytics | 13 mois max | — | — |
8. Politique de confidentialité accessible
Page dédiée, lien dans le footer de chaque page, rédigée en langage clair (pas du juridique illisible). Doit contenir : identité du responsable de traitement, finalités et bases légales, durées de conservation, droits utilisateurs et comment les exercer, transferts hors UE éventuels, liste des sous-traitants tiers (Google Analytics, Mailchimp, etc.), DPO si désigné, droit de plainte auprès de l'autorité (CNIL en France, APD en Belgique).
À mettre à jour à chaque nouveau sous-traitant ou nouvelle finalité. Date de dernière mise à jour visible en haut de page.
Amendes récentes : ce qu'il faut retenir
Les amendes RGPD ont franchi le milliard d'euros cumulé en 2024 pour les seuls Meta (1,2 Md€), TikTok (345 M€) et Uber (290 M€). Pour les PME, les sanctions restent plus modestes mais les motifs récurrents sont édifiants :
- Bouton 'Refuser' caché ou plus petit — Sanctions CNIL répétées entre 5 000 € et 100 000 € en 2024.
- Newsletter sans double opt-in vérifié — Cas typique : 10 000 € d'amende pour PME ayant importé une liste sans preuve de consentement.
- Durée de conservation excessive — Garder les CV 10 ans 'au cas où' = sanction. Limite 2 ans recommandée.
- Transfert vers sous-traitant US sans CCT — Sanction CNIL 2025 contre une PME utilisant un outil marketing US non-DPF : 25 000 €.
- Politique de confidentialité absente ou incomplète — Amende minimum 5 000 € quasi-systématique en cas de plainte.
À lire ensuite
Accessibilité web et European Accessibility Act 2025 : guide WCAG 2.2
L'European Accessibility Act est entré en vigueur le 28 juin 2025. Quelles entreprises sont concernées, quelles obligations WCAG 2.2 et 2.4, et comment auditer + corriger un site PME en 2026.
Hébergement web en Belgique en 2026 : le guide complet pour PME
Comment choisir un hébergeur web belge en 2026 — critères de sélection, coûts réels, conformité RGPD, datacenters locaux, performance. Guide pratique par OptionWeb.
Local SEO et Google Business Profile pour PME belges en 2026
Comment ranker dans le local pack Google : optimisation Google Business Profile, citations NAP, reviews velocity, schema LocalBusiness, et stratégie spécifique aux PME belges.