Le RGPD a 8 ans en 2026 et reste mal compris. Entre les bandeaux cookies obligatoires, les nouvelles obligations sur l'IA et les risques de sanctions, beaucoup d'entreprises naviguent à vue. Voici un guide pratique de ce qui s'applique vraiment à votre site internet aujourd'hui.
Les bandeaux cookies en 2026
Depuis 2024, la CNIL a serré la vis : le bouton « refuser tout » doit être aussi visible que le bouton « accepter tout ». Plus de bandeau qui force le consentement. Plus de cases pré-cochées. Plus de design qui décourage le refus (motifs trompeurs). Une amende de 50 000 € attend les contrevenants. Si votre site n'est pas conforme, mettez-le aux normes immédiatement.
Cookies essentiels vs cookies non essentiels
Vous n'avez PAS besoin de demander le consentement pour les cookies strictement nécessaires au fonctionnement du site (panier, login, langue). Vous DEVEZ le demander pour tout le reste : analytics, publicité, réseaux sociaux. Si vous utilisez Google Analytics, c'est non essentiel. Solution propre : Plausible ou Matomo en mode RGPD-compliant, sans cookie.
Les nouvelles obligations IA Act 2026
L'IA Act européen, entré en vigueur en 2025, impose de nouvelles obligations dès 2026. Si votre site utilise un chatbot IA, une recommandation algorithmique ou une fonctionnalité IA, vous devez l'indiquer clairement à l'utilisateur. Pour les systèmes à risque élevé (recrutement, scoring crédit, etc.), évaluation d'impact obligatoire.
Le registre des traitements obligatoire
Toute entreprise qui traite des données personnelles (donc quasi toutes) doit tenir un registre des traitements. C'est un document interne qui liste : quelles données, dans quel but, qui y accède, combien de temps elles sont conservées. La CNIL fournit un modèle gratuit. C'est le premier document qu'elle demandera en cas de contrôle.
Politique de confidentialité : ce qu'elle doit contenir
Une politique de confidentialité conforme contient : identité du responsable de traitement, données collectées, finalités, base légale, durée de conservation, destinataires (sous-traitants), droits des utilisateurs (accès, rectification, effacement, opposition), coordonnées du DPO si vous en avez un, droit d'introduire une réclamation auprès de la CNIL.
Le droit à l'effacement (droit à l'oubli)
Tout utilisateur peut demander la suppression de ses données. Vous avez 1 mois pour répondre, gratuitement. Cela inclut : les comptes utilisateurs, les commandes archivées, les logs, les sauvegardes (oui, même les sauvegardes). Préparez un process clair pour gérer ces demandes — elles deviennent fréquentes.
Les sous-traitants et le DPA
Si vous utilisez Google, AWS, Stripe, Mailchimp, vous avez des sous-traitants qui traitent les données de vos utilisateurs. Vous devez signer un DPA (Data Processing Agreement) avec chacun. La plupart proposent un DPA standard téléchargeable. Conservez-les avec votre registre.
Hébergement : France, UE ou hors UE ?
Un site hébergé hors UE (USA, Royaume-Uni post-Brexit, etc.) doit garantir un niveau de protection équivalent, via les Standard Contractual Clauses ou des accords spécifiques (Data Privacy Framework UE-US). Le plus simple : héberger en UE (OVH, Scaleway, Hetzner, Infomaniak). Pour les données sensibles (santé, finance), HDS ou ISO 27001 obligatoires.
Sanctions concrètes en 2026
La CNIL prononce des sanctions de plus en plus lourdes. En 2025, plusieurs amendes de 50 000 € à 250 000 € sur des PME pour bandeaux cookies non conformes ou collecte abusive. Au-delà de l'amende, la publication de la sanction (« publication et dénonciation publique ») peut endommager votre réputation.
Conclusion
Le RGPD n'est pas optionnel et les sanctions sont réelles en 2026. La bonne nouvelle : être conforme n'est pas si compliqué. Commencez par auditer vos cookies, mettez à jour votre politique de confidentialité, signez vos DPA, et préparez un process pour les demandes d'effacement. Ces 5 actions vous mettent à l'abri de 90 % des problèmes.