En 2026, un nombre alarmant de sites web français ne sont toujours pas conformes au RGPD. Absence de politique de confidentialité, cookies déposés sans consentement, formulaires de contact sans information sur le traitement des données : les manquements sont souvent basiques mais les sanctions peuvent atteindre 300 000 € pour une PME, et jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les plus grandes structures. Si vous avez un site web, vous êtes très probablement concerné.
Qu’est-ce qu’un site non conforme au RGPD ?
Un site web est considéré comme non conforme dès lors qu’il collecte ou traite des données personnelles sans respecter les exigences du règlement général sur la protection des données. Et la collecte de données personnelles commence bien plus tôt que la plupart des entrepreneurs ne l’imaginent.
Votre site collecte des données personnelles si :
- Il dispose d’un formulaire de contact (nom, email, message)
- Il utilise Google Analytics, Meta Pixel ou tout outil de tracking
- Il propose une newsletter ou un compte client
- Il dépose des cookies non essentiels au fonctionnement
- Il affiche un chat en ligne ou un système de commentaires
Pour savoir précisément si votre entreprise est concernée, consultez notre guide complet sur le champ d’application du RGPD. En pratique, la quasi-totalité des sites web professionnels sont soumis au RGPD.
Les sanctions encourues : bien au-delà de l’amende symbolique
L’article 83 du RGPD prévoit deux niveaux de sanctions administratives :
Sanctions de premier niveau (article 83§4) : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les manquements aux obligations du responsable de traitement (registre des traitements, sécurité, notification des violations).
Sanctions de second niveau (article 83§5) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les violations des principes fondamentaux (licéité du traitement, consentement, droits des personnes).
En France, la CNIL dispose également de la procédure simplifiée permettant de prononcer des amendes jusqu’à 20 000 € pour les dossiers les moins complexes — une procédure qui cible particulièrement les PME. Pour mesurer l’ampleur des sanctions déjà prononcées, consultez notre top 15 des amendes CNIL.
Au-delà des amendes, la CNIL peut ordonner :
- Une mise en demeure publique (atteinte à la réputation)
- Une injonction de cessation du traitement
- Une limitation temporaire du traitement
- Le retrait d’une certification
Les 7 manquements les plus courants sur les sites web
1. Absence de politique de confidentialité
Les articles 13 et 14 du RGPD imposent d’informer les personnes concernées de manière claire et accessible. Un site sans politique de confidentialité — ou avec une politique incomplète — est en infraction directe. C’est le manquement le plus fréquemment constaté par la CNIL.
2. Cookies déposés sans consentement
Depuis les lignes directrices CNIL de 2020, aucun cookie non essentiel ne peut être déposé avant le recueil du consentement. Les sites qui chargent Google Analytics, des pixels publicitaires ou des boutons de partage social dès l’arrivée du visiteur s’exposent à des sanctions lourdes.
3. Mentions légales absentes ou incomplètes
La loi LCEN impose des mentions légales obligatoires sur tout site web professionnel. Leur absence est sanctionnée d’une amende pouvant atteindre 75 000 € pour une personne physique.
4. Formulaires sans information RGPD
Chaque formulaire collectant des données personnelles doit être accompagné d’une mention d’information : identité du responsable de traitement, finalité, base juridique, durée de conservation, droits des personnes.
5. Absence de registre des traitements
L’article 30 du RGPD impose la tenue d’un registre des activités de traitement. Ce registre doit documenter chaque traitement de données : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité.
6. Transferts de données hors UE non encadrés
L’utilisation de services américains (hébergement, analytics, emailing) implique souvent des transferts de données hors de l’Union européenne. Ces transferts doivent être encadrés par des garanties appropriées (clauses contractuelles types, décision d’adéquation).
7. Droits des personnes non garantis
Le RGPD garantit aux personnes concernées un droit d’accès (article 15), de rectification (article 16), d’effacement (article 17) et de portabilité (article 20). Un site qui ne permet pas l’exercice effectif de ces droits est en infraction.
Comment la CNIL détecte les sites non conformes
La CNIL utilise plusieurs mécanismes pour identifier les sites en infraction :
Les plaintes : la CNIL reçoit des milliers de plaintes chaque année. Un client mécontent, un concurrent, un ancien salarié peut signaler un manquement. C’est le déclencheur le plus fréquent.
Les contrôles en ligne : la CNIL peut vérifier la conformité d’un site à distance, sans prévenir. Elle vérifie la présence de mentions légales, de politique de confidentialité, le comportement des cookies, et la conformité des formulaires.
Les thématiques prioritaires : chaque année, la CNIL définit des secteurs qu’elle contrôle en priorité. Les sites e-commerce, les applications mobiles et la gestion des données des mineurs ont été des thèmes récents.
Les violations de données : une faille de sécurité entraînant une notification de violation (article 33 RGPD) peut déclencher un contrôle approfondi de l’ensemble des pratiques du site.
Comment mettre votre site en conformité
La mise en conformité n’est pas aussi complexe qu’elle peut paraître. Voici les options disponibles :
Faire appel à un avocat spécialisé (500-2 000 € pour un audit complet) : un avocat en droit du numérique réalisera un audit exhaustif et rédigera les documents nécessaires. C’est la solution la plus personnalisée, recommandée pour les sites traitant des données sensibles.
Faire soi-même avec des modèles en ligne (0 € mais risqué) : des modèles existent, mais ils sont rarement adaptés à votre situation spécifique et souvent obsolètes. Le risque de lacunes est élevé.
Utiliser une IA générique (ChatGPT, Claude) (0 € + révision avocat 150-300 €) : ces outils peuvent produire des ébauches, mais les spécificités juridiques du RGPD nécessitent une expertise pointue. Une révision professionnelle reste indispensable.
Utiliser une IA juridique spécialisée (14,90-19,90 €) : des solutions comme WebLegal.ai génèrent l’ensemble de vos documents légaux obligatoires — politique de confidentialité, politique de cookies, CGU, CGV — en quelques minutes, conformes au RGPD et adaptés à votre activité.
Conclusion
Un site non conforme au RGPD n’est pas seulement un risque juridique : c’est une bombe à retardement. Les amendes peuvent atteindre des montants dévastateurs pour une PME, et la CNIL intensifie chaque année ses contrôles. Les manquements les plus sanctionnés sont souvent les plus basiques : absence de politique de confidentialité, cookies sans consentement, formulaires sans information. En 2026, la mise en conformité est accessible et rapide. N’attendez pas un contrôle pour agir.