Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis 2018, mais en 2026, beaucoup d'entrepreneurs alsaciens naviguent encore à vue. Voici ce que vous devez réellement savoir pour être en conformité sans perdre de temps.

1. Ce que le RGPD vous oblige vraiment à faire

Contrairement à ce que beaucoup pensent, le RGPD ne concerne pas uniquement les grandes entreprises. Dès que vous collectez une adresse email sur votre site (formulaire de contact, newsletter), que vous utilisez Google Analytics, ou que vous installez un pixel Facebook, vous traitez des données personnelles et le RGPD s'applique. En tant que TPE ou PME alsacienne, vous êtes concerné.

Les obligations principales : obtenir un consentement explicite et éclairé avant de collecter des données, informer clairement les utilisateurs de l'utilisation de leurs données, permettre aux personnes de demander la suppression de leurs données, et documenter vos traitements dans un registre (même simplifié pour les petites structures). Ce n'est pas une option : les sanctions de la CNIL peuvent atteindre 4% du chiffre d'affaires annuel mondial.

2. Les cookies : la zone grise où beaucoup se trompent

La gestion des cookies est souvent bâclée sur les sites des PME. Afficher une simple bannière "ce site utilise des cookies" ne suffit plus depuis 2021. La CNIL exige que les cookies non essentiels (analytics, publicité, réseaux sociaux) ne soient déposés qu'après un consentement actif de l'utilisateur — un vrai clic sur "Accepter", pas un simple scrolling ou la poursuite de la navigation.

Votre bandeau cookies doit proposer trois options claires : tout accepter, tout refuser, et paramétrer ses choix. Le bouton "Refuser" doit être aussi accessible que le bouton "Accepter" — même couleur, même taille. Des solutions comme Axeptio (française) ou Cookiebot permettent d'implémenter facilement une gestion conforme. Chez SiteWeb67, nous intégrons systématiquement une solution de gestion du consentement dans tous nos projets.

3. La politique de confidentialité : que doit-elle contenir ?

Votre politique de confidentialité n'est pas une formalité à copier-coller depuis un modèle générique. Elle doit mentionner : l'identité du responsable de traitement (vous, avec vos coordonnées), la liste exhaustive des données collectées, la finalité de chaque traitement, la durée de conservation, les destinataires des données (prestataires, outils tiers), les droits des utilisateurs et comment les exercer, et si vos données sont transférées hors UE (cas de nombreux outils américains).

La page doit être accessible depuis toutes les pages du site (généralement dans le footer), rédigée en français clair et compréhensible — pas en jargon juridique — et mise à jour dès que vous intégrez un nouvel outil ou changez vos pratiques. Une politique de confidentialité obsolète ou incomplète est une infraction au RGPD aussi grave que son absence.

4. Formulaires, emailing et prospection : les règles

Pour les formulaires de contact : vous pouvez conserver les données pour traiter la demande, mais pas indéfiniment. La durée de conservation recommandée par la CNIL est de 3 ans après le dernier contact pour une relation commerciale potentielle. Au-delà, vous devez supprimer ou anonymiser les données.

Pour l'emailing commercial : vous devez disposer d'un consentement préalable explicite pour envoyer des emails marketing à des particuliers (B2C). Pour les professionnels (B2B), la prospection par email est tolérée si elle concerne leur activité professionnelle et qu'un lien de désinscription est présent. Chaque newsletter doit inclure un lien de désabonnement fonctionnel — l'absence de ce lien est une infraction caractérisée.

5. Les sanctions réelles et comment s'y préparer

La CNIL effectue des contrôles, notamment après des plaintes de particuliers. En 2025, elle a infligé des amendes à des PME françaises pour des montants allant de 5 000€ à 50 000€. La mise en demeure précède généralement l'amende, avec un délai pour se mettre en conformité. L'essentiel est de montrer une démarche proactive.

Notre conseil pratique : commencez par un audit RGPD de votre site (nous le proposons gratuitement). Identifiez tous les outils qui collectent des données, mettez en place une vraie solution de gestion des cookies, rédigez une politique de confidentialité complète, et tenez un registre des traitements même simplifié. Ces quatre actions couvrent 90% des obligations d'une TPE alsacienne et montrent votre bonne foi en cas de contrôle.