RGPD pour PME : la checklist pratique pour mettre votre site en conformité
Le RGPD vous fait peur ? À tort. Voici la checklist 2026 en 12 points concrets pour mettre un site PME en conformité, sans payer 3 000 € à un consultant.
Le RGPD a 8 ans, et beaucoup de PME continuent de le subir comme une menace abstraite. La vérité : en 2026, la conformité de base se résume à 12 points. Aucun ne coûte cher, tous sont à votre portée. Voici la checklist, point par point, pour passer en conformité ce week-end.
1. Hébergement européen documenté
Vos données client (formulaires, comptes, paniers) doivent être stockées en Union européenne. Vercel (Frankfurt), Supabase (eu-west), OVH (France), Scaleway (Paris) sont conformes. AWS US, Google Firebase US, Heroku US — non, ou avec clauses contractuelles types signées.
Comment vérifier : demandez à votre hébergeur la région de stockage. Pour Supabase : Project Settings → General → Region. Pour Vercel : Project Settings → Functions → Region.
2. Bannière de cookies conforme
Trois règles non négociables :
- Pas de cookie tiers avant consentement explicite (et le consentement, c'est un clic actif, pas un "continuer à naviguer vaut acceptation")
- Le refus doit être aussi facile que l'acceptation (donc 2 boutons "Accepter / Refuser" de même taille, même couleur, même hiérarchie)
- Le consentement doit pouvoir être retiré aussi facilement qu'il a été donné
Si vous utilisez juste Plausible Analytics ou un tracking maison sans cookie, vous n'avez techniquement pas besoin de bannière (Plausible est exempté CNIL).
3. Politique de confidentialité claire
Page dédiée (URL /legal/privacy) avec :
- Identité du responsable (votre raison sociale, SIRET, contact)
- Liste des données collectées et finalité de chacune
- Base légale (intérêt légitime, exécution contrat, consentement…)
- Durée de conservation
- Destinataires (sous-traitants : Stripe, Resend, etc.)
- Transferts hors UE (s'il y en a) + clauses contractuelles types
- Droits des personnes (accès, rectification, effacement…) et modalités
4. Mentions légales conformes
Obligatoire dès qu'il y a un site internet pour une activité pro. Doit contenir : identité, SIRET, capital social, hébergeur (raison sociale + adresse + téléphone), directeur de la publication. Absence = amende possible.
5. CGV / CGU
Obligatoires si vous vendez en ligne (CGV) ou si vous proposez un service avec compte (CGU). À faire valider par un avocat la première fois (Captain Contrat, LegalStart, ou indépendant ; budget 200-600 €).
6. Registre des activités de traitement (Art. 30)
Obligatoire dès que vous traitez des données personnelles. C'est un document interne qui liste vos traitements (gestion clients, commerce électronique, newsletter, analytics…). Un template simple suffit — pas besoin de logiciel. Voir notre checklist 30 points qui inclut un modèle.
7. Sous-traitants connus et listés
Pour chaque outil externe qui traite vos données (Stripe, Resend, Supabase, Brevo…), vous devez signer un DPA (Data Processing Agreement). Tous les outils sérieux en proposent un automatiquement à l'ouverture du compte. Vérifiez et archivez-les.
8. Droits utilisateurs activables
Vos utilisateurs doivent pouvoir :
- Accéder à leurs données (export)
- Les rectifier
- Les supprimer (droit à l'oubli) — bouton "Supprimer mon compte" dans l'espace client
- Les exporter (portabilité — format JSON ou CSV)
- S'opposer au traitement (désinscription newsletter en 1 clic)
Le délai de réponse à une demande RGPD est de 1 mois (extensible à 3 pour les
cas complexes). Un email à contact@ suffit comme canal — pas besoin d'outil.
9. HTTPS partout + HSTS
Tout en HTTPS, sans exception. HSTS (HTTP Strict Transport Security) en bonus pour forcer le navigateur à n'accepter que le HTTPS. Vercel le fait automatiquement, OVH avec Let's Encrypt aussi.
10. Mot de passe sécurisé côté utilisateur
Si vous gérez des comptes : longueur minimum 8 caractères, hashage bcrypt (jamais MD5/SHA1), 2FA optionnel. Supabase Auth fait tout ça par défaut — pas d'excuse pour rouler son propre auth maison.
11. Plan de réaction en cas de violation (Art. 33)
En cas de fuite de données, vous devez notifier la CNIL sous 72h et les personnes concernées si le risque est élevé. Préparez un mini-plan d'urgence : qui appeler (avocat + hébergeur + RGPD), comment notifier, quel canal de communication.
12. Audit régulier (1 fois par an)
Une fois par an, relisez votre checklist. Les outils changent, vos pratiques évoluent, des nouveaux traitements apparaissent. Le RGPD n'est pas un projet, c'est une habitude.
Ce qui n'est PAS obligatoire (et qu'on vous vend parfois en spam)
- ❌ Un DPO (Délégué à la Protection des Données) — pas obligatoire pour les PME < 250 employés sauf cas particulier
- ❌ Une certification ISO 27001 — utile, mais pas obligatoire RGPD
- ❌ Un logiciel "RGPD compliance" à 99 €/mois — un Google Doc bien tenu suffit
- ❌ Un audit externe payant chaque année — votre prestataire web devrait le faire en interne
Et chez Brava Labs ?
Tous les sites qu'on livre sont conformes RGPD par défaut : hébergement Vercel + Supabase EU, cookies maison sans tracking tiers, politique de confidentialité pré-rédigée, registre des traitements personnalisé en pièce jointe à la livraison, bouton "Supprimer mon compte" activé en 1 clic. Vous n'avez rien à faire en plus.
Aller plus loin
Téléchargez gratuitement notre checklist 30 points (PDF interactif) qui couvre RGPD + sécurité + SEO + performance. Ou lancez notre audit gratuit qui repère certaines non-conformités RGPD automatiquement.
À lire ensuite
Refonte de site internet : 7 signes qu'il est temps de passer à l'acte
Comment savoir s'il faut refondre votre site internet ? 7 signes objectifs qui montrent que la refonte rapporte plus qu'elle ne coûte. Plus un calcul de ROI.
Comment cadrer un projet web en 1 heure avec un freelance
La méthode Brava Labs pour cadrer un projet web en 1 heure : brief, périmètre, budget, délai. Sortir du RDV avec un devis ferme sous 48h.
Stripe ou PayPal pour PME : tout savoir sur le paiement en ligne
Comparatif honnête Stripe vs PayPal pour PME en 2026 : commissions, intégration, expérience utilisateur, gestion abonnements. Notre recommandation chiffrée.