Blog/Cybersécurité & Technique

Cookies, consentement, RGPD : ce que votre site doit vraiment faire en 2026

Entre les bandeaux cookies illégaux, les polices de caractères qui fuitent vers Google et les formulaires trop bavards, la plupart des sites de PME sont hors des clous sans le savoir. Le point, sans jargon juridique.

J
Julien
Expert Wizz You
8 juin 2026
9 min de lecture
Cookies, consentement, RGPD : ce que votre site doit vraiment faire en 2026

Pourquoi ce sujet revient sur la table

Le RGPD a huit ans, et pourtant les mises en demeure de la CNIL continuent de tomber, y compris sur des PME. La raison : les contrôles se sont industrialisés (des robots scannent les sites), les plaintes de particuliers ont explosé, et des associations spécialisées ratissent large. Le risque n'est plus théorique, et la bonne nouvelle, c'est que se mettre en règle est surtout une affaire de méthode.

Précision d'usage : nous ne sommes pas juristes, et cet article ne remplace pas un conseil juridique. C'est le retour d'expérience d'une agence qui met des sites en conformité toutes les semaines, sur les points qui reviennent tout le temps.

Le bandeau cookies : les trois règles que la moitié des sites violent

Règle un : refuser doit être aussi simple qu'accepter. Un bandeau avec un gros bouton « Tout accepter » et un « Paramétrer » planqué en gris clair est non conforme, la CNIL l'a répété et sanctionné. Il faut un « Tout refuser » au même niveau visuel.

Règle deux : rien ne se dépose avant le consentement. Sur une part étonnante des sites que nous auditons, les traceurs partent au chargement de la page, avant tout clic ; le bandeau n'est alors qu'un décor. Le test prend deux minutes dans l'onglet Réseau du navigateur.

Règle trois : le refus doit être mémorisé et le choix modifiable à tout moment, via un lien permanent (footer, en général). Redemander à chaque page pour user le visiteur jusqu'à l'acceptation est une pratique explicitement visée.

Et rappelons l'exception utile : les cookies strictement nécessaires (panier, session, préférences de langue) ne demandent aucun consentement. Un site vitrine sans tracking publicitaire ni mesure d'audience intrusive peut légitimement vivre sans aucun bandeau, et c'est même l'expérience la plus propre qu'on puisse offrir.

Google Fonts, YouTube, reCAPTCHA : les fuites qu'on ne voit pas

Les polices Google chargées depuis les serveurs de Google transmettent l'adresse IP du visiteur à un acteur américain, sans consentement : la justice allemande a condamné, la CNIL a le même cadre d'analyse. La solution coûte une heure de travail : héberger les polices sur votre propre serveur. C'est notre standard sur tous les sites que nous développons.

Même logique pour les vidéos YouTube embarquées (utilisez le mode « nocookie » et une façade qui ne charge la vidéo qu'au clic), les cartes Google Maps (une image statique cliquable suffit souvent) et reCAPTCHA (des alternatives européennes existent, ou des mécanismes anti-spam sans traceur, très efficaces sur les formulaires de PME).

La mesure d'audience sans bandeau, c'est possible

Bonne nouvelle méconnue : la CNIL exempte de consentement les outils de mesure d'audience configurés pour produire des statistiques anonymes. Plusieurs solutions, notamment européennes, entrent dans ce cadre. Résultat : des chiffres de fréquentation fiables à 100 % (aucun refus de cookie ne les ampute, contrairement à Google Analytics dont les données sont trouées par les refus), et un bandeau en moins. Pour une PME qui veut juste savoir combien de visiteurs lisent quelles pages, c'est objectivement le meilleur choix en 2026.

Formulaires : ne collectez que ce qui sert

Le principe de minimisation est simple : chaque champ doit avoir une justification. La date de naissance dans un formulaire de contact n'en a pas. Ajoutez une mention d'information claire sous le formulaire (qui traite les données, pour quoi, combien de temps), un lien vers la politique de confidentialité, et si vous faites de la prospection par email, une case à cocher non précochée. Côté durées : des contacts de prospection ont vocation à être purgés au bout de trois ans sans interaction. Le nettoyage annuel de la base fait partie de la conformité, pas seulement de l'hygiène commerciale.

Par où commencer sans se noyer

L'ordre que nous appliquons en mission de mise en conformité : audit technique des traceurs réellement déposés (on est souvent surpris), bascule des ressources tierces en local ou en façade, choix d'un outil de mesure exempté ou d'une vraie plateforme de gestion du consentement, revue des formulaires et mentions, puis registre des traitements pour documenter le tout. Comptez deux à cinq jours de travail pour un site vitrine ou un petit e-commerce : c'est un budget raisonnable face à une amende, et le site ressort en général plus rapide, débarrassé de la moitié de ses scripts tiers. D'une pierre deux coups : la conformité rejoint la performance. Un doute sur votre site ? Demandez-nous l'audit express : en une demi-journée, vous savez où vous en êtes.

Ce qui déclenche un contrôle, dans la vraie vie

Trois portes d'entrée dominent. La plainte d'un particulier d'abord : un client mécontent, un concurrent, un salarié parti fâché ; la CNIL en reçoit des dizaines de milliers par an et les instruit. Les campagnes thématiques ensuite : chaque année, l'autorité annonce ses priorités de contrôle (les cookies y ont figuré plusieurs fois) et scanne en masse. Les violations de données enfin : un piratage vous oblige à notifier la CNIL sous 72 heures, et cette notification ouvre naturellement le dossier de votre conformité générale. Moralité : la sécurité du site (mises à jour, maintenance, sauvegardes) et la conformité RGPD sont le même sujet vu de deux fenêtres.

Les mentions obligatoires qu'on oublie encore en 2026

Au-delà des cookies, un site d'entreprise doit afficher : des mentions légales complètes (éditeur, directeur de publication, hébergeur), une politique de confidentialité qui décrit réellement vos traitements (pas un modèle copié où il reste le nom d'une autre société, on le voit chaque mois), et des CGV pour la vente en ligne. Points souvent manquants : la durée de conservation des données par finalité, la base légale de chaque traitement, et les coordonnées du référent RGPD ou du DPO quand il existe. Rien d'insurmontable : c'est une après-midi de travail sérieux, une fois qu'on a cartographié ses traitements.

Sous-traitants : votre responsabilité ne s'externalise pas

Votre newsletter part d'un outil américain, vos formulaires alimentent un CRM en ligne, votre hébergeur est chez un géant du cloud : chacun est un sous-traitant au sens du RGPD, et vous restez responsable de ce qu'ils font de vos données. Concrètement : vérifier l'existence d'un accord de traitement des données (DPA) chez chaque prestataire, privilégier les hébergements européens quand c'est possible, et tenir la liste à jour dans votre registre. Ce registre des traitements, obligatoire au-delà de cas très marginaux, tient pour une PME dans un tableur de deux onglets. L'avoir, même imparfait, change complètement la physionomie d'un contrôle : il prouve la démarche.

Le mot de la fin : la conformité comme avantage commercial

On présente toujours le RGPD comme une contrainte. Sur le terrain, nous observons l'inverse chez les clients qui l'ont pris au sérieux : un site plus rapide (moins de scripts tiers), des statistiques plus fiables (mesure exemptée de consentement), des bases de contacts plus saines qui délivrent mieux en emailing, et un argument face aux acheteurs B2B qui intègrent désormais la conformité dans leurs grilles fournisseurs. La mise en règle n'est pas le prix à payer pour éviter l'amende ; c'est du nettoyage qui rapporte. Et si vous voulez savoir en une demi-journée où en est votre site, notre audit express liste les écarts par ordre de risque, avec le chiffrage de chaque correction.

Partager cet article :Twitter / XLinkedIn
J
Julien
Expert Digital — Wizz You

Expert en stratégie digitale chez Wizz You, agence web à Toulouse. Spécialisé dans l'accompagnement des entreprises dans leur transformation numérique — SEO, UX, IA et développement web.

Passez à l'action

Audit gratuit sous 24h. Plan d'action concret — sans engagement.