RGPD pour les TPE et artisans : ce que ça change concrètement pour votre site

Illustration RGPD avec boucliers et document européen symbolisant la protection des données pour les TPE et artisans

Vous avez un site internet pour votre activité. Parfait. Mais avez-vous pensé à la RGPD ?

« Oui oui, j’ai mis la bannière cookies, ça suffit non ? »

Non. Et c’est précisément là que le bât blesse pour des milliers d’artisans et de TPE françaises.

La RGPD n’est pas une formalité administrative de plus. C’est une obligation légale depuis 2018, avec de vraies sanctions. Des sanctions qui tombent, de plus en plus fréquemment, sur des structures comme la vôtre.

En 2024, la CNIL a prononcé 87 sanctions pour 55 millions d’euros d’amendes. Le chiffre qui doit vous alerter : huit sanctions sur dix concernent des TPE et PME.

Artisans, indépendants, gérants de TPE, vous êtes concernés dès que vous collectez des données clients. Un email, un nom, un numéro de téléphone sur un formulaire. Tout ça tombe sous le coup de la RGPD.

Dans cet article, je vous explique ce que vous risquez vraiment et comment vous mettre en conformité sans y passer des jours.

Qu’est-ce que la RGPD, concrètement ?

La RGPD, c’est un règlement européen qui protège les données personnelles des internautes.

Derrière ce terme un peu sec se cache une idée simple : vos clients, vos prospects, tous ces visiteurs qui passent sur votre site ont le droit de savoir ce que vous faites de leurs informations personnelles. Et ils ont le droit de dire non.

Concrètement pour votre site internet, dès que vous collectez des informations sur vos visiteurs ou clients, vous devez les informer clairement de ce que vous en faites, leur demander leur consentement, protéger ces données comme la prunelle de vos yeux, et leur permettre de les supprimer s’ils le souhaitent. Ce n’est pas négociable. C’est la loi.

Mais qu’est-ce qu’une donnée personnelle exactement ? C’est tout ce qui permet d’identifier une personne. Son nom, son prénom bien sûr. Mais aussi son email, son numéro de téléphone, son adresse postale. Et même son adresse IP ou les cookies déposés sur son navigateur lorsqu’elle visite votre site. Si vous avez un formulaire de contact, si vous proposez une newsletter, si vous utilisez des cookies pour analyser le trafic de votre site, vous êtes concerné.

Les vrais risques pour les TPE et artisans

Parlons maintenant de ce qui vous attend si vous ne respectez pas ces règles. Parce que oui, il y a des conséquences. Des conséquences qui peuvent faire très mal.

Les amendes existent vraiment

Sur le papier, la CNIL peut vous sanctionner jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel mondial. Des chiffres qui donnent le vertige. Des chiffres qui semblent tellement énormes qu’on a du mal à les prendre au sérieux quand on est artisan ou gérant d’une petite entreprise.

« Oui mais moi je suis artisan, ils ne vont pas me contrôler. » Combien de fois ai-je entendu cette phrase ? Combien de fois ai-je vu ce petit sourire entendu, cette conviction que les contrôles ne visent que les grandes entreprises, les géants du numérique, les multinationales ?

  • 87 sanctions prononcées par la CNIL en 2024 pour 55 millions d’euros d’amendes
  • 8 sanctions sur 10 visaient des TPE et PME, pas des géants du numérique
  • +300% d’augmentation des contrôles entre 2023 et 2024
  • 38 sanctions en procédure simplifiée, ciblant spécifiquement les petites structures
  • 16 000 plaintes reçues en 2023, et la CNIL traite 100% des plaintes

Des cas réels qui donnent à réfléchir

Laissez-moi vous raconter quelques histoires. Des histoires vraies, vérifiables, documentées dans le registre public des sanctions de la CNIL.

Un site e-commerce de vêtements → 20 000€
En décembre 2024, une boutique en ligne spécialisée dans l’habillement a été sanctionnée à hauteur de 20 000 euros. Le problème ? Sa bannière cookies. Les visiteurs ne pouvaient pas refuser aussi facilement qu’accepter. Un bouton « Accepter » bien visible, mais pour refuser, il fallait naviguer dans plusieurs menus. Vingt mille euros pour une bannière mal configurée.

Une société d’édition de logiciels → 20 000€
Même mois, même sanction. Un site web proposant des logiciels en ligne. Même erreur : des cookies qui se déposaient avant que le visiteur ait eu le temps de faire un choix. Google Analytics, Facebook Pixel, tous ces outils de tracking qui démarraient dès l’arrivée sur le site. Résultat : 20 000 euros d’amende et une injonction pour tout corriger.

Un site de vente en ligne → 18 000€
En décembre 2024, un site marchand a écopé de 18 000 euros. Cette fois-ci, ce n’était pas les cookies le problème, mais le non-respect du droit d’accès. Un client avait demandé à consulter toutes les données que le site détenait sur lui. La société n’a jamais répondu. Ou plutôt, elle a répondu avec six mois de retard. Trop tard.

Un comparateur d’auto-écoles → 10 000€
Toujours en 2024, un site permettant de comparer les auto-écoles a été sanctionné de 10 000 euros. Motif : non-respect du droit d’accès et défaut d’information sur l’exercice des droits. Les utilisateurs ne savaient pas comment récupérer ou supprimer leurs données. Et quand ils demandaient, personne ne répondait.

Une agence de voyage en ligne → 2 000€
En décembre 2024, une petite agence de voyage avec un site de réservation en ligne a été sanctionnée de 2 000 euros pour sa gestion des cookies. Encore et toujours cette fameuse bannière : pas de bouton « Refuser » au même niveau que « Accepter », et des cookies qui se déposaient automatiquement.

Au-delà de l’argent

Mais l’amende n’est pas le seul risque. La CNIL peut rendre sa décision publique. Votre nom, celui de votre site, apparaît alors sur le registre officiel. N’importe qui peut le voir. Vos clients actuels. Vos prospects. Vos concurrents. Tapez votre nom dans Google, et la sanction RGPD apparaît en première page. Votre réputation en prend un coup.

La CNIL peut aussi prononcer une injonction sous astreinte. Concrètement, elle vous ordonne de vous mettre en conformité dans un délai donné. Si vous ne le faites pas, vous payez une somme par jour de retard. Mille euros par jour dans certains cas documentés.

Et puis il y a la perte de confiance. De plus en plus de clients sont sensibles à la protection de leurs données. Voir « Sanctionné par la CNIL » associé à votre nom, ça fait fuir. De plus en plus d’entreprises, même de taille modeste, exigent une preuve de conformité RGPD avant de travailler avec vous.

Comment se mettre en conformité RGPD en 5 étapes

Vous vous dites : « Bon d’accord, mais concrètement, qu’est-ce que je dois faire ? » La bonne nouvelle, c’est que pour un site d’artisan ou de TPE, se mettre en conformité prend environ deux heures. Voici les cinq actions essentielles.

1. Créer une politique de confidentialité complète

Créez une page dédiée qui explique qui vous êtes, quelles données vous collectez, pourquoi, combien de temps vous les gardez, et comment les personnes peuvent exercer leurs droits. Soyez précis et transparent.

2. Installer une bannière cookies conforme

Si vous utilisez des cookies, installez une bannière avec deux boutons de même importance : « Accepter » ET « Refuser ». Les cookies non essentiels ne doivent pas se charger avant le consentement. Sur WordPress, utilisez Complianz, Cookiebot ou Axeptio.

3. Sécuriser vos formulaires

Ajoutez une case à cocher (non pré-cochée) sur tous vos formulaires avec un texte clair : « J’accepte que mes données soient utilisées pour répondre à ma demande » avec un lien vers votre politique de confidentialité.

4. Activer HTTPS

Vérifiez que votre site WordPress utilise HTTPS (cadenas dans la barre d’adresse). La plupart des hébergeurs proposent des certificats SSL gratuits. Maintenez aussi votre site à jour et mettez en place des sauvegardes automatiques.

5. Respecter les droits des utilisateurs

Les personnes ont le droit d’accéder à leurs données, de les modifier, de les supprimer. Prévoyez une adresse email de contact et répondez dans un délai d’un mois maximum.

La bonne nouvelle, c’est que ces éléments sont intégrés dès la livraison dans chaque site internet créé en Bretagne Sud : bannière cookies conforme, HTTPS activé, politique de confidentialité en place.

FAQ – Les questions que mes clients me posent souvent

Oui, sans exception. La RGPD s’applique à toute structure qui collecte des données personnelles, quelle que soit sa taille. Un artisan avec un simple formulaire de contact sur son site est concerné au même titre qu’une grande entreprise. La taille de la structure influe uniquement sur le montant potentiel des sanctions, pas sur l’obligation de se conformer.

Oui, dès que vous utilisez des cookies non essentiels sur votre site, ce qui est le cas si vous avez Google Analytics, un pixel Facebook, ou tout outil de tracking. La bannière doit proposer un bouton « Refuser » aussi visible et accessible que le bouton « Accepter ». Une bannière avec uniquement « Accepter » ou « Fermer » n’est pas conforme.

Une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, une injonction sous astreinte (jusqu’à 1 000 €/jour de retard), une publication de la sanction sur le registre public de la CNIL visible par vos clients et concurrents, et une perte de confiance durable auprès de votre clientèle.

Pour un site vitrine d’artisan ou de TPE, comptez environ deux heures pour couvrir les cinq actions essentielles : politique de confidentialité, bannière cookies conforme, sécurisation des formulaires, activation du HTTPS et mise en place d’un canal pour répondre aux demandes de droits. Se faire accompagner par un professionnel permet d’aller encore plus vite et d’éviter les erreurs.

Oui. En tant que développeuse WordPress basée à Quimperlé, j’accompagne les artisans et TPE de Bretagne dans la mise en conformité de leur site : audit RGPD, installation et configuration de la bannière cookies, sécurisation des formulaires, rédaction de la politique de confidentialité. Un appel gratuit de 15 minutes suffit pour faire le point sur votre situation.

Conclusion

La RGPD n’est pas une option. C’est une obligation légale qui s’applique à tous les sites internet dès qu’ils collectent des données personnelles.

Les amendes sont réelles. Les contrôles sont de plus en plus fréquents. Huit sanctions sur dix visent des TPE et PME. Le nombre de contrôles a augmenté de 300% entre 2023 et 2024.

Mais se mettre en conformité ne prend que deux heures environ. Deux heures pour protéger vos visiteurs, votre réputation et votre activité.

La période de tolérance est terminée. Ne prenez pas de risques inutiles. Ne vous dites pas que ça n’arrive qu’aux autres.

Bannière cookies, politique de confidentialité, formulaires sécurisés, HTTPS… autant d’éléments intégrés dès la livraison dans chaque création de site internet en Bretagne Sud. Vous partez sur des bases solides sans avoir à tout vérifier vous-même après coup.

  • Source : Données CNIL 2024, analyses Mon Expert RGPD et cabinets
    juridiques spécialisés en protection des données.