280
sanctions CNIL prononcées en 2025 — dont plus de 60 % contre des PME. La CNIL utilise désormais des robots qui scannent automatiquement les sites web.
CNIL — Bilan des sanctions 2025 · RGPDKit

Le RGPD, c’est une chose. La pression de la CNIL en 2026, c’en est une autre. Les amendes pleuvent sur les PME — et votre bandeau cookies non conforme peut être détecté sans qu’un agent ne visite jamais manuellement votre site. Voici ce que votre site doit vraiment faire — sans jargon juridique et sans vous noyer dans les textes.

Ce qui a changé en 2025–2026

Le RGPD est entré en vigueur en 2018 — mais 2025 a marqué un tournant dans son application. La CNIL a prononcé 486,8 millions d’euros de sanctions cumulées sur l’année (Provigis, 2026), avec des décisions marquantes : 325 millions contre Google pour des publicités insérées sans consentement dans Gmail, 150 millions contre Shein pour des cookies déposés avant tout accord utilisateur, 750 000 € contre Condé Nast pour une CMP non conforme. Et 32 % des entreprises contrôlées en 2025 étaient des PME ou TPE (RGPDKit). L’époque où « on est trop petits pour être contrôlés » est révolue.

En 2026, pas de révolution réglementaire — mais une application plus stricte des règles existantes. La CNIL cible particulièrement les bandeaux cookies non conformes, les « dark patterns » (boutons « Refuser » cachés, grisés ou moins visibles que « Accepter ») et les formulaires qui collectent des données sans base légale claire.

Ce que déclenche le RGPD sur votre site — même un simple site vitrine

L’erreur la plus répandue : croire que le RGPD ne s’applique qu’aux e-commerçants ou aux grandes entreprises. En réalité, un simple formulaire de contact suffit à déclencher les obligations RGPD — l’adresse email que vous récupérez est une donnée personnelle, et vous devez informer l’utilisateur de ce que vous en faites et combien de temps vous la conservez. De même, l’utilisation de Google Analytics (même GA4) génère des cookies qui imposent un recueil de consentement.

Les obligations concrètes pour tout site vitrine professionnel en 2026 se résument à quatre éléments : des mentions légales complètes (identité de l’éditeur, hébergeur, responsable de la publication), une politique de confidentialité qui explique quelles données sont collectées et pourquoi, un bandeau cookies conforme CNIL, et la capacité à répondre aux demandes de droits (accès, suppression, rectification) dans un délai d’un mois.

« Un bouton ‘Refuser’ caché, grisé ou absent est sanctionnable. Un bandeau ‘Nous utilisons des cookies, cliquez ici’ sans option de refus est non conforme. La règle est simple : refuser doit être aussi facile qu’accepter. »

Le bandeau cookies : ce qui est conforme, ce qui ne l’est pas

C’est le point le plus contrôlé et le plus souvent mal fait. La CNIL exige cinq critères pour qu’un bandeau soit conforme en 2026 : une information claire sur les finalités des cookies avant tout dépôt, un bouton « Tout refuser » aussi visible que « Tout accepter » (même taille, même contraste), la possibilité de paramétrer ses choix en détail, la possibilité de retirer son consentement à tout moment via un lien accessible en pied de page, et la preuve technique que le choix de l’utilisateur a bien été respecté.

Les solutions CMP (Consent Management Platform) conformes recommandées pour les PME françaises : Axeptio (solution française, interface claire, à partir de 14 €/mois), Didomi (plus complet, entreprises), TarteAuCitron (open source, gratuit). Sur WordPress, des plugins comme Cookie Notice ou CookieYes peuvent convenir si configurés correctement — mais attention aux versions obsolètes.

Google Analytics : peut-on encore l’utiliser légalement ?

Oui — à condition de respecter trois règles : activer l’anonymisation des adresses IP, désactiver les fonctionnalités publicitaires de Google Analytics, et ne déposer aucun cookie analytique avant que l’utilisateur ait donné son consentement explicite. Une alternative de plus en plus prisée est Matomo (auto-hébergé, sans transfert de données hors UE) ou Plausible (analytics sans cookies, conforme par nature). Ces solutions évitent la complexité du consentement analytique tout en fournissant des données de performance utiles.

Checklist RGPD site internet 2026 — les essentiels
✓ Mentions légales complètes et à jour
✓ Politique de confidentialité accessible
✓ Bandeau cookies conforme (CMP)
✓ Bouton « Refuser » aussi visible qu' »Accepter »
✓ Lien « Gérer mes cookies » en pied de page
✓ GA4 configuré avec consentement préalable
✓ Formulaires avec mention d’usage des données
✓ Durée de conservation des données précisée
✓ Procédure de réponse aux droits (1 mois)
✓ SSL/HTTPS actif sur tout le site
Akyana · Agence web & Informatique en Vendée
Votre site est-il conforme RGPD en 2026 ?
Chez Akyana, nous intégrons les mentions légales, la politique de confidentialité et le bandeau cookies conforme CNIL dans tous nos projets de création web. Sur les sites existants, nous réalisons un audit de conformité et mettons en place les correctifs nécessaires — pour que votre site soit en règle sans que vous ayez à devenir expert en droit du numérique.
Demander un audit gratuit →

Références : CNIL — bilan des sanctions 2025, recommandations cookies 2023-2025 · RGPDKit — RGPD 2025 bilan amendes CNIL · Provigis — RGPD et données personnelles 2026 · Blaaaz — RGPD 2026 nouvelles obligations PME · SK-web.fr — checklist conformité légale site web 2026 · Plateya.fr — cookies RGPD 2026

conformité PME protection des données RGPD site internet professionnel
Partager cet article
Écrit par Anthony Paré

Fondateur d'Akyana, agence web et informatique en Vendée. J'accompagne les TPE, artisans et professions libérales dans leur transition numérique avec des solutions concrètes et accessibles.

En savoir plus