Selon le bilan officiel CNIL 2025 publié en février 2026, la commission a prononcé 486,8 millions d'euros d'amendes sur l'année et adressé 143 mises en demeure, dont une part importante visait des sites web qui déposaient des cookies sans respecter le consentement des personnes. Vingt-et-un organismes ont été condamnés pour des manquements aux règles cookies, dont Google (325 millions d'euros) et Shein (150 millions d'euros) sur le seul terrain du consentement. Si vous lisez cet article parce que vous vous demandez ce que la loi impose à votre site, partez du principe que le vôtre n'est probablement pas conforme. Les obligations légales site web ne se limitent pas à coller un bloc « Mentions légales » au pied de page : il s'agit de plusieurs textes qui se cumulent (LCEN, RGPD, code de la consommation, code pénal pour les cookies) et qui exposent votre entreprise à des amendes allant de 3 000 € en procédure simplifiée à 20 millions d'euros pour les manquements graves.
Je rédige des sites depuis Marseille pour des TPE et PME partout en France. Sur les audits que je fais avant une refonte, je trouve presque toujours quatre à six défauts de conformité. Aucun n'est volontaire. Tous sont coûteux à corriger en aval. Voici la liste exacte à connaître en 2026, sans détour, avec les sources et les montants réels.
Mentions légales : la première obligation imposée depuis 2004
Tout site internet édité depuis la France doit afficher des mentions légales. C'est la loi pour la confiance dans l'économie numérique du 21 juin 2004 qui le dit, dans son article 6. L'objectif est simple : permettre à un visiteur d'identifier qui édite le site et qui l'héberge. Sans cette page, vous êtes en infraction dès la mise en ligne.
Pour une entreprise, voici ce qui doit y figurer
- Raison sociale ou nom commercial
- Forme juridique (SARL, SAS, EURL, micro-entreprise, etc.)
- Adresse du siège social
- Numéro RCS et ville d'immatriculation
- Numéro de TVA intracommunautaire
- Capital social pour les sociétés
- Nom du directeur de la publication
- Coordonnées de l'hébergeur (nom, adresse, téléphone)
- Pour les professions réglementées : numéro RPPS, ordre, autorité de tutelle
Pour un auto-entrepreneur, ajoutez votre numéro SIREN et la mention « EI » ou « Entrepreneur Individuel » depuis la réforme de 2022. Si vous vendez en ligne, vous devez aussi publier vos CGV et vos conditions d'utilisation, mais ce n'est pas le sujet de cet article.
Le piège classique : copier-coller des mentions légales trouvées sur un site concurrent. J'ai vu des entreprises afficher pendant des années une raison sociale qui n'était pas la leur. Le générateur officiel de la CNIL et celui de service-public.fr font le travail correctement.
RGPD : ce n'est pas réservé aux grosses boîtes, et les TPE le découvrent en 2026
Le Règlement Général sur la Protection des Données s'applique dès que votre site collecte une donnée personnelle. Une donnée personnelle, c'est un email, un nom, une adresse IP, un identifiant client. Donc dès qu'il y a un formulaire de contact, un Google Analytics, un pixel Meta, une newsletter, vous êtes concerné. Que vous soyez plombier seul à Aix ou PME industrielle de 80 personnes.
Sur un audit récent d'un site vitrine pour une PME du secteur services, j'ai listé six points RGPD à corriger : pas de politique de confidentialité, formulaire sans case à cocher de consentement, transfert de données vers les États-Unis non documenté, durées de conservation absentes, droits des personnes non mentionnés, et bien sûr, un Google Analytics qui se déclenchait avant tout consentement. Aucune de ces erreurs n'était volontaire. Toutes étaient sanctionnables.
Les quatre documents que votre site doit publier
- Mentions légales (vu plus haut)
- Politique de confidentialité : qui collecte, quelles données, dans quel but, combien de temps, à qui elles sont transmises, comment exercer vos droits
- Politique de gestion des cookies : la liste exacte des traceurs, leur finalité, leur durée
- Conditions générales d'utilisation ou de vente si vous vendez
Le consentement RGPD doit être libre, spécifique, éclairé et univoque selon l'article 7 du règlement. Une case pré-cochée, ce n'est pas un consentement. Un texte du type « En continuant à naviguer, vous acceptez nos cookies », ce n'est pas un consentement. La CNIL le rappelle régulièrement.
Cookies : le bouton « Tout refuser » doit être aussi visible que « Tout accepter »
C'est la règle la plus simple à vérifier, et celle que la CNIL contrôle le plus en automatique. Sa position est constante depuis 2020 : le refus doit être aussi simple que l'acceptation. Concrètement, si votre bandeau cookies a un bouton vert « Accepter tout » bien visible et un lien « Paramétrer » en gris en petit, vous êtes en infraction. La CNIL parle de « parcours d'acceptation déséquilibré ».
Sur les bandeaux que j'audite, voici les cinq erreurs les plus fréquentes :
- Pas de bouton « Tout refuser » au premier niveau
- Bouton « Tout refuser » plus petit ou plus pâle que « Tout accepter »
- Cookies déposés avant l'interaction de l'utilisateur
- Pas de moyen de retirer le consentement après l'avoir donné
- Bandeau qui réapparaît à chaque page tant que l'utilisateur n'accepte pas (consentement forcé)
Les cookies de mesure d'audience (Google Analytics, Matomo) ne sont exemptés de consentement que sous conditions strictes : configuration anonymisée, pas de croisement avec d'autres traitements, pas de transfert hors UE. Google Analytics 4 dans sa configuration par défaut ne respecte pas ces conditions. La CNIL a tranché en 2022 et n'est pas revenue dessus. En 2025, Google a été sanctionné de 325 millions d'euros pour des pratiques cookies non conformes, comme le précise le bilan officiel des sanctions CNIL 2025.
HTTPS : passez à la version sécurisée avant octobre 2026, sinon Chrome bloque vos visiteurs
Le HTTPS n'est pas une obligation légale au sens strict, mais à partir d'octobre 2026, vos visiteurs ne pourront plus accéder à votre site sans une alerte explicite. Google a annoncé en octobre 2025 que Chrome 154, prévu pour octobre 2026, activera par défaut le mode « Always Use Secure Connections ». Avant chaque chargement d'un site en HTTP, le navigateur affichera une page d'avertissement demandant à l'utilisateur s'il veut vraiment continuer.
Sur le plan business, ça veut dire trois choses :
- Si votre site est encore en HTTP, vos visiteurs vont voir une alerte rouge à partir d'octobre 2026
- Le taux d'abandon devant ce type d'écran est très élevé selon les tests Google internes (la documentation de Google sur HTTPS est claire à ce sujet)
- Les pages en HTTP sont systématiquement déclassées par l'algorithme depuis 2014, comme je l'explique dans mon article sur ce que Google regarde vraiment pour classer votre site
HTTPS est aussi indirectement imposé par le RGPD : transmettre des données personnelles via un formulaire en clair, c'est une violation de l'obligation de sécurité des données (article 32 du RGPD). Concrètement, un certificat SSL coûte 0 € avec Let's Encrypt et tous les hébergeurs sérieux l'activent en un clic. Si votre site est encore en HTTP en 2026, c'est un signal très clair sur la qualité technique de votre prestataire actuel. C'est exactement ce que je détaille dans mon article sur le prix réel d'un site web.
Accessibilité numérique : le RGAA n'est plus réservé aux administrations
L'accessibilité numérique a changé d'échelle avec la transposition de l'European Accessibility Act, applicable depuis le 28 juin 2025. Avant cette date, le RGAA (Référentiel Général d'Amélioration de l'Accessibilité) ne s'imposait qu'aux services publics et aux entreprises de plus de 250 salariés faisant plus de 50 millions d'euros de chiffre d'affaires.
Depuis 2025, le périmètre s'étend aux services de e-commerce, aux services bancaires, aux applications de transport, aux contenus audiovisuels et à la billetterie. Une PME e-commerce de 30 salariés est concernée si elle vend des biens ou services à des consommateurs. Une TPE de moins de 10 salariés et moins de 2 millions d'euros de CA est exemptée pour l'instant, mais les exigences continueront de descendre.
Concrètement, l'accessibilité, c'est : contrastes suffisants, navigation clavier complète, alternatives textuelles aux images, structure de titres logique, formulaires utilisables avec un lecteur d'écran. Si votre site a été développé sur un template récent, vous êtes probablement à 60 % du chemin. Les 40 % restants ne se rattrapent pas en une journée. C'est exactement le genre de choses que je cale dès la phase de conception, parce que les corriger après coup coûte trois fois plus cher.
Le coût réel d'ignorer ces obligations en 2026
Les chiffres ne sont pas théoriques. En 2025, la CNIL a prononcé 67 amendes, dont une majorité via la procédure simplifiée. Les amendes en procédure simplifiée pour les TPE et PME oscillent entre 3 000 € et 20 000 €. Les sanctions classiques, elles, peuvent monter à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. Sur l'ensemble de 2025, la CNIL a sanctionné 21 organismes uniquement sur le terrain des cookies.
Mais l'amende n'est pas le risque principal. Voici ce que je vois plus souvent en pratique :
- Mises en demeure publiées sur le site de la CNIL : votre nom apparaît dans les résultats Google pendant des années
- Plaintes clients qui obligent à réagir vite : 30 jours pour répondre à une demande d'accès aux données, sinon contrôle CNIL automatique
- Refus de partenariats B2B : les grands comptes exigent désormais une revue RGPD du fournisseur
- Coût de mise en conformité d'urgence : 3 à 5 fois plus cher que de faire les choses correctement dès le départ
Le calcul est simple. Faire un site conforme dès la conception coûte typiquement entre 500 € et 1 500 € en plus du prix de base : audit juridique, rédaction des politiques, configuration du bandeau cookies, paramétrage RGPD du tracking. Faire un audit de remise en conformité après deux ans de site non conforme, en intégrant la rédaction des documents manquants, la refonte du tracking, l'ajout d'un système de consentement, ça démarre à 2 500 € et ça peut monter beaucoup plus haut s'il faut refondre le formulaire de contact ou la base de données.
Ce que vous devez vérifier sur votre site cette semaine
Si vous voulez faire un premier diagnostic en 15 minutes, voici l'ordre dans lequel je procède sur un audit :
- Ouvrez votre site en navigation privée. Le bandeau cookies a-t-il un bouton « Tout refuser » au même niveau que « Tout accepter » ?
- Cliquez sur « Mentions légales » en pied de page. La page existe-t-elle, et contient-elle les neuf éléments listés plus haut ?
- Cliquez sur « Politique de confidentialité ». Mentionne-t-elle les durées de conservation et les transferts hors UE ?
- Tapez votre URL dans la barre, sans préciser https://. Le navigateur force-t-il une connexion sécurisée ?
- Ouvrez l'inspecteur réseau du navigateur (F12, onglet Réseau). Avant de cliquer sur le bandeau cookies, des requêtes vers Google, Meta ou un autre tiers sont-elles déjà parties ?
Si vous échouez sur trois points ou plus, votre site n'est pas en conformité. Ce n'est pas grave en soi, mais ça mérite d'être traité avant le prochain contrôle. Si vous voulez un diagnostic complet plus une feuille de route de mise en conformité, vous pouvez me décrire votre site sur ma page contact et je reviens vers vous sous 48 heures avec un audit chiffré.
Une dernière chose. Aucun générateur automatique ne remplace une revue manuelle. Les modèles gratuits sont un bon point de départ mais ne couvrent pas votre cas spécifique : les durées de conservation dépendent de votre métier, le périmètre RGPD dépend des outils tiers que vous utilisez, et le bandeau cookies dépend de votre stack technique. Faites le travail une fois, correctement, et passez à autre chose.
