Le RGPD a six ans. Et pourtant, en 2026, je vois encore 70 % des sites de TPE en France qui ne sont pas conformes. Pas par malice, par méconnaissance. Et par confusion entretenue par les bandeaux cookies génériques qui font croire que tout va bien.
Voilà ce que votre site doit vraiment faire pour respecter la loi. Sans jargon juridique, juste avec ce qu’un développeur sérieux doit mettre en place.
Ce que la loi exige réellement
Trois choses, simplifiées.
Recueillir le consentement de l’utilisateur AVANT de déposer un cookie non essentiel (analytics, pub, retargeting). C’est-à-dire avant qu’il ne s’affiche, et avant que ses données ne soient envoyées à Google, Meta ou autres.
Permettre à l’utilisateur de refuser aussi facilement qu’accepter. Si « Tout accepter » est un gros bouton vert et « Refuser » est planqué dans un sous-menu, vous n’êtes pas conforme.
Conserver une preuve du consentement (date, version du bandeau, choix exprimé) pour pouvoir prouver à la CNIL que tout a été correctement géré.
C’est ça le minimum. Le reste est de la finition.
Ce que la plupart des sites font mal
Premier problème : le bandeau cookies arrive après que les cookies aient été posés. L’utilisateur n’a pas encore cliqué qu’il est déjà tracé. Non conforme.
Deuxième problème : le bouton « Refuser tout » n’existe pas, ou est planqué après plusieurs clics. Non conforme.
Troisième problème : le site continue à charger Google Analytics ou Meta Pixel même après « Refuser ». Le bandeau est cosmétique mais les scripts tournent. Non conforme.
Quatrième problème : aucune preuve de consentement n’est stockée. Si la CNIL contrôle, vous ne pouvez pas démontrer que vous avez recueilli le consentement.
Sur les vingt derniers sites que j’ai audités, treize avaient au moins deux de ces problèmes.
Les amendes ne sont pas que pour les grosses entreprises
Tout le monde pense que la CNIL ne sanctionne que les multinationales. C’est faux.
En 2024, une PME française dans le e-commerce a pris 50 000 € d’amende pour des cookies non conformes et un défaut d’information sur les données. Pas un grand groupe : une boîte de 35 personnes. La CNIL contrôle de plus en plus systématiquement, et les sanctions se multiplient.
Mais le risque d’amende n’est pas le seul. C’est aussi la perte de confiance client si un signalement passe sur les réseaux sociaux. Et le blocage de campagnes pub sur Google Ads ou Meta, qui exigent maintenant des sites avec consentement géré sérieusement.
La solution propre : le Consent Mode V2
Depuis 2024, Google demande à tous les sites qui utilisent ses outils de mettre en place le Consent Mode V2. C’est un système qui dit explicitement à Google : l’utilisateur a-t-il accepté ou refusé les cookies analytics ? Le marketing ?
Sans Consent Mode V2, vous perdez 30 à 50 % des données dans Google Analytics. Et vos campagnes Google Ads ne reçoivent plus les conversions. Concrètement, c’est de la pub que vous payez aveuglément.
Mettre en place le Consent Mode V2 demande un outil dédié de gestion de consentement (Axeptio, Didomi, CookieYes, Cookiebot, ou Tarteaucitron en open source). Tarif : 0 à 50 € par mois selon le volume et l’outil.
Au-delà des cookies : les données utilisateurs
Le RGPD ne s’arrête pas aux cookies. Il concerne aussi tous les traitements de données personnelles que vous faites.
Un formulaire de contact qui enregistre un nom, un email, un numéro de téléphone : c’est un traitement de données personnelles. Vous devez avoir une mention explicite sur l’usage des données (« vos données seront utilisées uniquement pour vous répondre »). Conserver une politique de confidentialité claire et accessible. Prévoir un mécanisme pour que l’utilisateur puisse demander la suppression de ses données. Ne pas conserver les données plus longtemps que nécessaire.
Sur un e-commerce, les obligations sont plus lourdes : informations sur les données de paiement, durée de conservation des commandes, modalités de portabilité.
Ce que je mets en place sur les sites de mes clients
Sur tout site WordPress que je livre, j’ajoute un outil de consentement bien configuré (Axeptio ou CookieYes selon les budgets), un bandeau qui bloque les scripts non essentiels jusqu’au consentement, des boutons « Tout accepter » et « Tout refuser » de même importance visuelle, et une page Politique de confidentialité rédigée à partir d’un modèle CNIL adapté au site.
Sur un e-commerce, en plus, une page Politique des données personnelles plus détaillée, un mécanisme de demande de suppression et de portabilité accessible depuis le compte client, une vérification des plugins tiers (newsletter, analytics, retargeting) pour s’assurer qu’ils respectent le consentement.
Sur des sites métier ou des SaaS, c’est encore plus poussé : DPA (data processing agreement) avec les sous-traitants, registre des traitements, parfois nomination d’un DPO.
Le coût d’une mise en conformité
Pour un site existant non conforme, l’audit plus mise en place RGPD basique coûte entre 600 et 1 500 € selon la complexité. C’est rapide à faire (deux jours), c’est obligatoire, et ça protège.
Pour un nouveau site, prévoyez 300 à 500 € de configuration RGPD à inclure dans le devis initial. Ce n’est pas du tape-à-l’œil, c’est de la conformité légale de base.
Mon conseil pratique
Si votre site existe déjà et que vous n’avez jamais fait d’audit RGPD, faites-le. Pas parce que la CNIL va débarquer demain, mais parce que vous aurez la conscience tranquille, et vous éviterez des problèmes en cas de signalement client.
Si vous lancez un site, intégrez le RGPD dès la conception. C’est dix fois moins coûteux que d’ajouter ça après coup, et ça vous évite de devoir tout retoquer.
Le RGPD est moins compliqué qu’on le dit. Mais c’est plus exigeant que le bandeau cookie générique installé en deux clics.