RGPD et cookies pour les sites de petite entreprise : une checklist en français clair
Ce que le RGPD exige vraiment d'un site de petite entreprise — politique de confidentialité, bandeau cookies, bases légales, minimisation — expliqué sans alarmisme.

Si votre entreprise sert des clients quelque part dans l'Union européenne, le RGPD s'applique — et oui, cela inclut le consultant indépendant avec un seul formulaire de contact. La bonne nouvelle : c'est nettement moins compliqué que l'industrie de la conformité veut vous le faire croire.
Cette checklist est ce dont un site de petite entreprise a réellement besoin pour être conforme au RGPD en 2026. Pas d'alarmisme, pas de gros titre à '20 millions d'amende', pas de politique de confidentialité de 47 pages piquée à une multinationale. Juste les parties qui comptent.
Ce que dit vraiment le RGPD (en deux paragraphes)
Le RGPD dit : si vous collectez des données personnelles auprès de quelqu'un dans l'UE, vous devez (a) avoir une raison légale, (b) dire à la personne ce que vous en faites, (c) les garder en sécurité et seulement le temps nécessaire, et (d) permettre à la personne de les consulter ou les effacer. C'est tout l'esprit.
Une donnée personnelle, c'est tout ce qui identifie une personne — nom, e-mail, téléphone, adresse IP, même un identifiant cookie. Dès qu'un visiteur charge votre site, vous en collectez déjà une partie. C'est pourquoi tout site moderne a besoin au minimum d'une politique de confidentialité et (la plupart du temps) d'un bandeau cookies.
Les cinq éléments que tout site de petite entreprise doit avoir
- Une politique de confidentialité qui dit quelles données vous collectez, pourquoi, combien de temps vous les gardez et avec qui vous les partagez. Liée depuis le pied de page de chaque page.
- Un bandeau cookies si vous posez UN SEUL cookie non essentiel (analytics, pixels marketing, YouTube embarqué). 'Essentiel' = strictement nécessaire au fonctionnement — session, langue, jeton CSRF.
- Une base légale pour chaque type de traitement. Pour la plupart des sites : 'consentement' pour le marketing, 'contrat' pour les commandes, 'intérêt légitime' pour la prévention de la fraude. Notez ce qui s'applique où.
- Une sécurité raisonnable : HTTPS partout, mots de passe admin robustes, sauvegardes, un hébergeur qui ne fuit pas.
- Un moyen pour les personnes de vous contacter au sujet de leurs données. En général un e-mail type [email protected] lu par un humain.
Bandeau cookies : la partie la plus souvent ratée
Un bandeau conforme a quatre propriétés. Si l'une manque, corrigez.
- Il se charge avant que tout cookie non essentiel ne soit posé. Si le script analytics se déclenche avant le clic sur 'accepter', le bandeau est décoratif — pas conforme.
- Refuser doit être aussi simple qu'accepter. Un gros bouton vert 'Tout accepter' à côté d'un lien gris minuscule 'Gérer' est l'exemple type que les autorités sanctionnent désormais.
- Consentement granulaire par catégories — analytics, marketing, personnalisation. L'utilisateur peut en accepter certaines et en refuser d'autres.
- Le consentement est journalisé. Si quelqu'un accepte l'analytics lundi, vous devez pouvoir le prouver vendredi.
Si votre site utilise Google Analytics, Facebook Pixel, Hotjar, YouTube embarqué ou n'importe quel chat tiers, il vous faut un bandeau. S'il n'utilise rien de tout cela et pose simplement un cookie de session pour le login, non.
Politique de confidentialité : ce qu'il faut vraiment y écrire
Une politique de petite entreprise peut tenir sur une page. Couvrez ces six points en français clair.
- Qui vous êtes (raison sociale, adresse, e-mail de contact).
- Quelles données vous collectez (ex. 'nom et e-mail du formulaire de contact ; adresse IP et données de navigation, anonymisées sous 30 jours').
- Pourquoi vous les collectez (fournir le service, répondre aux demandes, analytics).
- Combien de temps vous les gardez (ex. 'envois de formulaire : 12 mois ; compte : tant que vous avez un compte').
- Avec qui vous les partagez (hébergeur, e-mail, outil analytics — nommez-les).
- Les droits et comment les exercer (accès, rectification, suppression, contacter confidentialite@…).
Copier un long modèle d'un générateur gratuit en changeant juste le nom produit une politique techniquement valable mais illisible. Votre politique est aussi un signal de confiance. Quiconque la lit devrait penser 'ces gens me respectent' — pas 'aucune idée de ce qu'ils font de mes données'.
La politique de confidentialité conforme la plus courte qu'on ait livrée faisait 600 mots. Elle couvrait tout. La première version en faisait 3 800 et ne disait rien d'utile.
Minimisation : l'astuce de conformité la moins chère
La moitié de la conformité, c'est collecter moins. Chaque champ est un risque. Pour chaque champ, demandez-vous : est-ce que j'utilise vraiment cette donnée, ou je la demande parce que la bibliothèque de formulaire l'incluait ?
- Formulaire de contact : nom, e-mail, message. Peut-être téléphone si le rappel est votre suivi principal. Point.
- Formulaire de réservation : uniquement ce qu'il faut pour le rendez-vous. Demander la date de naissance pour une coupe, ce n'est pas minimiser.
- Inscription newsletter : e-mail uniquement. Ajouter 'prénom' passe ; ajouter 'fonction' est de trop.
- Suivi cookies : seulement les catégories que vous utilisez vraiment. Pas de campagnes remarketing, pas de cookies remarketing.
Erreurs courantes qui valent une amende aux petites entreprises
- Poser les cookies analytics avant consentement. Solution : faire attendre l'analytics, ou choisir une alternative sans cookie.
- Cases de consentement pré-cochées. Toujours opt-in, jamais opt-out.
- 'Tout accepter' sans bouton 'Refuser' équivalent. Les autorités ont arrêté d'être polies à ce sujet en 2025.
- Base légale floue. 'Nous traitons sur la base de notre intérêt légitime' ne suffit pas. Dites QUEL intérêt, dans QUEL cas.
- Pas de vraie suppression sur demande. La demande doit aboutir à une suppression sous 30 jours, pas à une réponse polie.
Là où Brimky intervient
Chaque site Brimky est livré avec un bandeau qui respecte 'refuser', une politique de confidentialité de départ que vous adaptez, HTTPS, et un hébergeur enregistré comme sous-traitant UE. La moitié technique de la conformité est faite au lancement. La moitié politique et consentement vous appartient — et on la parcourt avec vous pendant l'onboarding, pas devant un modèle blanc.