Capo Studio
Retour au blog
Juridique

RGPD : ce qu'une petite structure doit vraiment respecter

05 juillet 2026 · 6 min de lecture

Beaucoup d'indépendants pensent que le RGPD ne concerne que les grands groupes qui traitent des millions de données. En réalité, dès qu'un formulaire de contact ou une newsletter collecte un nom et un e-mail, la réglementation s'applique — quelle que soit la taille de la structure. Et ce n'est plus seulement une question de principe : la CNIL a prononcé plus de 280 sanctions en une seule année récente, et plus de 60 % d'entre elles visaient des petites et moyennes structures, pas des grands groupes.

Deux documents sont à prévoir sur tout site professionnel. D'abord les mentions légales, obligatoires en vertu de la loi pour la confiance dans l'économie numérique (LCEN) : identité et coordonnées de l'éditeur du site, numéro SIRET, coordonnées de l'hébergeur. Leur absence n'est pas une simple formalité négligeable : elle expose à une amende pouvant atteindre 75 000 € pour un entrepreneur individuel, et jusqu'à 375 000 € pour une société. Ensuite une politique de confidentialité, qui explique simplement quelles données sont collectées, pourquoi, et comment les visiteurs peuvent exercer leurs droits.

Les obligations de fond restent accessibles sans avoir besoin d'un juriste : informer clairement les visiteurs sur les données collectées et leur usage, obtenir un consentement explicite et préalable pour tout ce qui n'est pas strictement nécessaire au fonctionnement du site (newsletter, cookies de mesure d'audience, publicité ciblée...), et permettre à toute personne de demander l'accès, la rectification ou la suppression de ses données facilement, sans démarche compliquée.

Le bandeau cookies mérite une attention particulière, car c'est précisément le point que la CNIL contrôle désormais de façon automatisée, y compris pour les petites structures : elle utilise un robot logiciel qui vérifie systématiquement la conformité des bandeaux et des outils de gestion du consentement sur un grand nombre de sites. Un bandeau non conforme (case pré-cochée, refus plus difficile à trouver que l'acceptation, absence de granularité par finalité...) expose à une sanction pouvant aller de 3 000 à 20 000 € dans le cadre de la procédure simplifiée prévue pour les petites structures — un montant loin d'être symbolique rapporté à l'activité d'un indépendant ou d'une TPE.

Dernier réflexe utile, souvent négligé : ne collectez que ce dont vous avez réellement besoin. Un formulaire de contact qui demande dix champs quand trois suffisent alourdit à la fois l'expérience utilisateur et votre responsabilité en cas de fuite de données — moins vous stockez d'informations sensibles, moins le risque (et l'obligation qui l'accompagne) est important.

Rien de tout ça n'exige de devenir juriste — juste d'adopter quelques réflexes simples dès la conception du site plutôt que de les ajouter après coup, une fois que la CNIL ou un visiteur en fait la remarque.

Un projet en tête ?

Décrivez votre projet en quelques minutes et recevez un devis personnalisé.

Demander un devis