Article MAJ le 19/03/2026 – La plupart des indépendants ne sont pas au courant de leurs obligations RGPD. Jusqu’au jour où ça leur coûte cher. Ce que tout professionnel avec un site, un formulaire ou une newsletter doit savoir.
Je vais être directe.
La grande majorité des professionnel·les indépendant·es que je rencontre ne sont pas au courant de leurs obligations RGPD. Iels ne me disent pas « je sais que ça existe mais je n’ai pas eu le temps ». Iels ne sont vraiment pas au courant ou au courant et convaincus que ça ne les concerne pas vraiment, que c’est pour les grandes entreprises, que personne ne va venir chercher une TPE.
Ça m’énerve. Parce que cette indifférence a un prix, et ce prix se paie cash le jour où vous tombez sur le mauvais client.
Le client mécontent qui cherche un levier. Le prospect que vous avez refusé. L’ex-collaborateur·trice qui a une dent contre vous. La personne qui, pour une raison ou une autre, décide de regarder de près ce que vous faites avec ses données. Et qui découvre que votre site collecte des informations via un formulaire de contact sans politique de confidentialité, que votre bannière cookies est absente ou non conforme, que vous n’avez pas de mentions légales complètes.
Une plainte à la CNIL ne nécessite pas d’avocat. Elle est gratuite, accessible en quelques clics, et elle peut déclencher un contrôle qui vous coûtera en temps, en énergie, en réputation et potentiellement en amendes.
C’est pour ça que j’ai enregistré un épisode de podcast sur ce sujet en 2021. Les bases n’ont pas changé depuis. Je le laisse ici comme point de départ et je complète dans cet article ce qu’il ne couvrait pas.
Épisode de podcast
Un point de départ pour comprendre ce qu’est le RGPD et pourquoi il vous concerne si vous avez un site, une newsletter ou un simple formulaire de contact. Les principes fondamentaux restent valables. Certaines pratiques et outils mentionnés ont peut-être évolué. Complétez avec la lecture de cet article.
Ce que le RGPD dit concrètement (sans jargon)
Le Règlement Général sur la Protection des Données est entré en vigueur en mai 2018. Il s’applique à toute organisation (entreprise, association, indépendant·e) qui collecte, stocke ou traite des données personnelles de personnes situées dans l’Union européenne.
Une donnée personnelle, c’est n’importe quelle information qui permet d’identifier une personne directement ou indirectement : un nom, une adresse email, un numéro de téléphone, une adresse IP, un cookie de navigation.
Si vous avez un site internet avec un formulaire de contact, vous collectez des données personnelles. Si vous avez une newsletter, vous collectez et stockez des données personnelles. Si vous utilisez Google Analytics sur votre site, vous collectez des données personnelles via des cookies. Si vous avez un fichier client sur votre ordinateur, vous stockez des données personnelles.
Autrement dit : si vous êtes professionnel·le indépendant·e avec une présence en ligne, vous êtes concerné·e. Sans exception.
Ce que votre site doit avoir et ce que la plupart des sites n’ont pas
La conformité RGPD pour un site professionnel, ce n’est pas un audit de 6 mois et un budget de consultant juridique. C’est un ensemble d’éléments concrets, vérifiables, que tout prestataire web sérieux devrait mettre en place à la livraison et que vous devriez pouvoir contrôler vous-même.
Les mentions légales sont obligatoires sur tout site professionnel français. Elles doivent mentionner l’identité de l’éditeur du site, le nom de l’hébergeur, et les coordonnées de contact. Leur absence expose à une amende pouvant atteindre 75 000 € pour une personne physique.
La politique de confidentialité explique à vos visiteurs quelles données vous collectez, pourquoi, combien de temps vous les conservez, et quels sont leurs droits. Elle doit être accessible depuis chaque page du site, généralement en pied de page. Si vous avez un formulaire de contact, cette politique doit être mentionnée ou liée directement dans ou sous ce formulaire.
La bannière de gestion des cookies informe vos visiteurs des cookies déposés sur leur navigateur et leur demande leur consentement avant tout dépôt non nécessaire au fonctionnement du site. La CNIL a durci ses critères : un bouton « Accepter » sans bouton « Refuser » accessible au même niveau n’est pas conforme. Un bandeau qui disparaît sans action de l’utilisateur·trice n’est pas conforme.
Les outils de statistiques méritent une attention particulière. Google Analytics dépose des cookies de traçage et transfère des données vers des serveurs américains∞ ce qui pose des problèmes de conformité RGPD documentés. La CNIL a émis des mises en demeure à ce sujet. L’alternative conforme par défaut en France est Matomo, hébergeable sur vos propres serveurs, qui bénéficie d’une dispense de consentement sous conditions.
30 minutes, c’est tout
30 minutes peuvent changer la trajectoire de ton activité.
Un diagnostic de site bien mené, c’est souvent le déclic qui manquait. Tu repars avec une vision claire, 3 à 5 actions concrètes, et enfin une réponse à « pourquoi ça ne marche pas ».
→ Profiter de ces 30 minutes offertesCe que ça coûte de ne pas être conforme
Les sanctions de la CNIL peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les infractions les plus graves. Pour une TPE, les montants réels en cas de contrôle sont évidemment sans commune mesure avec ces plafonds, mais ils existent et ils s’accompagnent d’une injonction de mise en conformité sous délai.
Ce n’est pas le risque financier direct qui devrait vous préoccuper en premier. C’est ce qu’une plainte fait à votre image professionnelle.
Une plainte CNIL est publique dans son principe. Un contrôle laisse des traces. Et dans les secteurs où la confiance est le principal actif commercial (conseil, formation, accompagnement, service aux entreprises), être associé·e à une procédure de protection des données, même mineure, crée une dissonance immédiate avec ce que vous prétendez incarner.
Votre site est la première chose que vos prospects visitent avant de vous contacter. Si quelqu’un cherche à vous nuire (client mécontent, concurrent, tiers procédurier), votre non-conformité RGPD est un levier accessible, gratuit, et redoutablement efficace. Une plainte à la CNIL se dépose en quelques minutes sur le site signalement.cnil.fr. Elle ne nécessite pas de preuve d’un préjudice personnel. Elle déclenche une instruction.
C’est la réalité d’un outil juridique que vous laissez chargé entre les mains de n’importe qui, aussi longtemps que votre site n’est pas conforme.
La conformité RGPD comme signal de crédibilité
Il y a un angle que les guides techniques sur le RGPD ne mentionnent jamais : la conformité dit quelque chose de vous à vos prospects avant même qu’ils vous aient contacté.
Un site avec des mentions légales complètes, une politique de confidentialité claire, une bannière cookies conforme, c’est un site qui dit que son propriétaire prend au sérieux ce qu’il fait. Que les détails comptent. Que la relation avec les clients est pensée, pas improvisée.
C’est exactement l’inverse du message que renvoie un site sans mentions légales, avec un formulaire de contact qui collecte des emails sans explication, et un Google Analytics qui traque silencieusement chaque visiteur sans leur demander leur accord.
Pour un·e professionnel·le dont l’image de marque repose sur l’expertise et la confiance, cette dissonance entre ce qu’on affiche et ce qu’on pratique est un problème commercial autant qu’un problème légal.
La conformité RGPD n’est pas une contrainte administrative. C’est une décision sur ce que vous voulez que votre site dise de vous.
→ Demander l’audit gratuit de votre site.
L’audit couvre la conformité technique de votre site (mentions légales, cookies, formulaires, hébergement) et identifie ce qui doit être corrigé en priorité.
