MLMentions Légales · Facilitateur Numérique← Retour
Guide pratique

RGPD pour une TPE : le strict minimum à mettre sur son site

Le RGPD peut faire peur. Pourtant, pour un petit site vitrine avec un formulaire de contact, les obligations sont souvent bien plus simples qu'on ne le croit. Voici ce qu'il faut vraiment faire, étape par étape, sans jargon inutile.

Pourquoi le RGPD concerne aussi les plus petites entreprises

Le RGPD (règlement général sur la protection des données, UE 2016/679) s'applique à toute entreprise qui traite des données personnelles, quelle que soit sa taille. Si vous avez un site web avec un formulaire de contact, vous collectez des données personnelles (nom, email, téléphone). Vous êtes donc concerné. La bonne nouvelle : pour un petit site vitrine, le « strict minimum » est souvent suffisant. Pas besoin d'un DPO dédié ni d'un registre des traitements de 50 pages.

La politique de confidentialité : le document indispensable

La politique de confidentialité est le document le plus important. Elle informe vos visiteurs sur la façon dont vous utilisez leurs données. Le RGPD impose qu'elle soit facilement accessible, c'est-à-dire qu'un visiteur doive pouvoir la trouver en un ou deux clics.

Quelles informations doit-elle contenir ?

Voici les éléments essentiels à inclure :

  • L'identité du responsable du traitement : c'est vous, avec votre dénomination sociale et vos coordonnées.
  • Les finalités : pourquoi vous collectez les données ? (par exemple : répondre aux demandes de contact, envoyer une newsletter).
  • La base légale : sur quel fondement légal repose le traitement ? Le plus souvent, il s'agit du consentement de la personne ou de l'exécution de mesures précontractuelles.
  • Les destinataires : qui a accès aux données ? En général, seul le responsable du site. Précisez si vous utilisez un outil tiers (hébergeur, CRM).
  • Les droits des personnes : droit d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité.
  • La durée de conservation : combien de temps conservez-vous les données ?
  • Le contact : comment exercer ces droits (un email suffit).

Où la placer sur son site ?

La pratique la plus courante est de créer une page dédiée accessible via un lien dans le pied de page (footer) de chaque page du site. Vous pouvez aussi ajouter un lien dans votre menu principal, ou dans les paramètres du site. L'essentiel est qu'elle soit visible.

Le bandeau cookies : quand est-il obligatoire ?

Le bandeau cookies n'est obligatoire que si vous utilisez des cookies ou traceurs tiers qui ne sont pas strictement nécessaires au fonctionnement du site. Par exemple :

  • Google Analytics (mesure d'audience)
  • Meta Pixel (publicité Facebook / Instagram)
  • Outils de chat en ligne tiers
  • Vidéos embarquées depuis YouTube

Si votre site n'utilise aucun de ces outils, vous n'avez pas besoin de bandeau. Les cookies strictement nécessaires (session, panier, préférences) ne nécessitent pas de consentement. Pour savoir exactement ce que vous devez faire selon votre situation, consultez la fiche de la CNIL sur les cookies.

Le formulaire de contact : que peut-on demander ?

Un principe fondamental du RGPD est la minimisation des données : ne collectez que ce qui est strictement nécessaire. Pour un formulaire de contact classique, cela signifie :

  • Nom et prénom (ou juste le nom, selon vos besoins)
  • Adresse email
  • Numéro de téléphone (uniquement si vous devez rappeler)
  • Objet et message

Évitez de demander des informations superflues (date de naissance, adresse postale complète) si elles ne servent pas à la finalité poursuivie. Et surtout, faites cocher une case de consentement explicite avant l'envoi du formulaire, mentionnant que l'utilisateur accepte que ses données soient traitées conformément à votre politique de confidentialité.

Les droits des visiteurs : ce que vous devez savoir

Le RGPD confère plusieurs droits aux personnes dont vous traitez les données. Voici les principaux, résumés simplement :

  • Droit d'accès : la personne peut vous demander quelles données vous détenez sur elle.
  • Droit de rectification : elle peut demander la correction de données inexactes.
  • Droit à l'effacement (« droit à l'oubli ») : elle peut demander la suppression de ses données.
  • Droit d'opposition : elle peut s'opposer au traitement de ses données (par exemple pour la prospection).
  • Droit à la portabilité : elle peut récupérer ses données dans un format structuré.

Vous devez répondre à ces demandes dans un délai d'un mois. Pour une TPE, la procédure peut être très simple : un email de demande, une vérification manuelle, une suppression dans votre boîte mail ou votre CRM. L'important est d'avoir un processus clair.

Générez votre politique de confidentialité en deux minutes

Vous n'avez pas besoin d'être avocat pour rédiger une politique de confidentialité conforme. Notre générateur gratuit vous guide étape par étape : identité de l'entreprise, données collectées, cookies utilisés, durées de conservation. Vous obtenez un document prêt à publier, rédigé en français clair, que vous pouvez copier-coller sur votre site.

Générer ma politique de confidentialité — gratuit, sans inscription

Foire aux questions

Je n'utilise pas de cookies, dois-je quand même mettre un bandeau ?

Si vous n'utilisez aucun cookie ni traceur tiers (Google Analytics, Facebook Pixel, etc.), vous n'avez pas à afficher de bandeau. Les cookies strictement nécessaires au fonctionnement du site ne nécessitent pas de consentement. Pour plus de détails, consultez la fiche de la CNIL sur les cookies.

Combien de temps puis-je conserver les emails reçus via mon formulaire de contact ?

Le RGPD impose de ne conserver les données que le temps nécessaire à la finalité poursuivie. Pour un email de contact, une durée de 1 à 3 ans après le dernier échange est généralement considérée comme raisonnable. La CNIL fournit des recommandations précises sur les durées de conservation.

Dois-je nommer un DPO (Délégué à la Protection des Données) ?

Non, dans la très grande majorité des TPE et PME. Le DPO est obligatoire uniquement pour certaines catégories d'organismes publics ou pour les entreprises dont le cœur d'activité consiste en des traitements de données à grande échelle ou des données sensibles. Pour un site vitrine classique, ce n'est pas requis.

Que faire si un visiteur me demande de supprimer ses données ?

Vous devez honorer sa demande dans un délai d'un mois (pouvant être prolongé à trois mois pour des demandes complexes). Cela signifie supprimer ses données de vos emails, de votre CRM et de vos bases de données, sauf si la loi vous impose de les conserver (obligations comptables, par exemple).

Sources et ressources officielles : CNIL — RGPD : passer à l'action · CNIL — Cookies et traceurs · Légifrance — Règlement UE 2016/679. Les informations fournies sont données à titre indicatif et ne constituent pas un conseil juridique.