Passer au contenu
smarterlogicwebAccueil

Site vitrine TPE 2026 : les 5 obligations légales à ne pas rater (sans devenir juriste)

Par Sonia

Introduction

Beaucoup de dirigeants de TPE me disent la même chose :

“Je veux un site propre et sérieux, mais je ne veux pas devenir juriste ni passer mes soirées sur le RGPD.”

Résultat fréquent :

  • mentions légales incomplètes ou copiées-collées,
  • politique de confidentialité générique qui ne reflète pas la réalité,
  • bandeau cookies purement décoratif (qui ne bloque rien),
  • contrat flou sur qui possède vraiment le site,
  • newsletters envoyées sans cadre clair.

En 2026, vous n’êtes pas obligé de devenir expert en droit numérique. En revanche :

  • la loi vous vise vous en tant qu’éditeur du site,
  • un minimum de cadrage vous évite des ennuis,
  • et un site “propre” inspire beaucoup plus confiance.

Dans cet article, on fait un point synthétique sur 5 obligations légales clés pour un site vitrine TPE, et surtout :

  • ce qui est vraiment attendu,
  • qui fait quoi entre vous et votre prestataire,
  • comment rester raisonnable sans tomber dans l’usine à gaz.

1. Mentions légales : votre carte d’identité publique

1.1. Ce que la loi impose

La loi pour la confiance dans l’économie numérique (LCEN) impose à tout site professionnel d’afficher des mentions légales.

Pour une TPE, cela signifie :

  • votre identité :
    • dénomination sociale ou nom/prénom,
    • forme juridique (micro, EURL, SARL, SAS…),
    • adresse du siège,
    • numéro SIRET / RCS,
    • capital social (si société),
  • vos coordonnées :
    • email de contact,
    • téléphone (recommandé),
  • votre hébergeur :
    • nom,
    • adresse,
    • téléphone ou moyen de contact,
  • éventuellement :
    • directeur de la publication,
    • responsable de la rédaction.

Ces mentions doivent être :

  • accessibles depuis toutes les pages (lien en pied de page),
  • rédigées en français,
  • à jour (adresse, SIRET, forme juridique…).

1.2. Qui fait quoi entre vous et votre prestataire ?

  • Vous fournissez :
    • vos infos légales exactes (nom, forme juridique, SIRET, siège, etc.),
  • votre prestataire :
    • structure la page “Mentions légales”,
    • ajoute les infos sur l’hébergeur,
    • met le lien en pied de page.

Ce n’est pas “cadeau optionnel” :
une prestation sérieuse de création de site inclut la mise en place de ces mentions.

2. RGPD et politique de confidentialité : être clair sur les données

2.1. Quand le RGPD s’applique-t-il à une TPE ?

Le RGPD s’applique dès que vous traitez une donnée personnelle :

  • formulaire de contact (nom, email, téléphone),
  • outil d’analytics (Google Analytics, Plausible, Matomo…),
  • CRM, newsletters, prises de rendez-vous…

En pratique, tous les sites vitrines pros sont concernés.

2.2. Ce que doit contenir votre politique de confidentialité

Une politique de confidentialité TPE raisonnable doit expliquer, en français simple :

  • quelles données vous collectez :
    • via les formulaires,
    • via les cookies/traceurs,
  • pourquoi vous les collectez (finalités),
  • combien de temps vous les gardez,
  • avec qui vous les partagez (hébergeur, outils tiers),
  • quels sont les droits des personnes :
    • accès, rectification, effacement,
    • opposition, limitation,
  • comment exercer ces droits (email, adresse postale),
  • s’il y a des transferts hors UE (ex. outils US).

Pas besoin de 20 pages de jargon, mais il faut que ce soit :

  • fidèle à la réalité,
  • compréhensible pour un humain normal.

2.3. Qui fait quoi ?

  • Vous :
    • décrivez vos pratiques réelles (combien de temps vous gardez les mails de contact, comment vous gérez vos listes, etc.),
    • désignez un email pour les demandes RGPD.
  • Votre prestataire :
    • part d’un modèle adapté à ce qu’il installe (formulaire, analytics, CMP…),
    • intègre techniquement la page sur le site,
    • fait le lien avec le bandeau cookies.

L’erreur classique :
une agence qui dit “le RGPD c’est votre problème” et ne fournit même pas de modèle minimal.
À l’inverse, une agence qui rédige tout à votre place sans jamais vous questionner sur vos pratiques réelles… n’est pas plus sérieuse.

3. Cookies et bandeau de consentement : ne pas faire semblant

3.1. Ce que la CNIL exige vraiment

La CNIL distingue :

  • les cookies strictement nécessaires (pas de consentement requis) :
    • fonctionnement du site,
    • panier e-commerce,
    • choix de langue,
  • les cookies soumis à consentement préalable :
    • analytics type GA4,
    • pubs (Google Ads, Meta Pixel),
    • retargeting,
    • trackers de réseaux sociaux.

Pour ces derniers, il faut :

  • informer clairement,
  • proposer “Tout accepter” et “Tout refuser” de façon équivalente,
  • bloquer les scripts tant qu’il n’y a pas consentement.

Le simple bandeau “En poursuivant votre navigation, vous acceptez…” n’est plus conforme.

3.2. CMP (Consent Management Platform) : ce qu’elle doit faire

Une CMP (Axeptio, Didomi, Cookiebot, etc.) doit :

  • afficher un bandeau clair,
  • enregistrer les choix,
  • bloquer/débloquer les scripts en fonction,
  • permettre de changer d’avis (lien “Gérer mes cookies”).

3.3. Qui fait quoi ?

  • Vous :
    • décidez quels outils vous voulez vraiment (Analytics ? Pixel Meta ?),
    • validez les textes de consentement (avec l’aide du prestataire).
  • Votre prestataire :
    • paramètre la CMP,
    • branche les scripts (Analytics, Ads, etc.) à travers la CMP,
    • vérifie que rien ne se charge avant consentement.

Mettre un bandeau visuel qui ne bloque aucun cookie est pire que rien :
vous donnez l’impression d’être conforme… tout en ne l’étant pas.

4. Propriété du site et contrat : ne pas se faire enfermer

4.1. Cession des droits : vous devez posséder le code sur mesure

Le code d’un site web est protégé par le droit d’auteur. Par défaut :

  • le développeur / agence est propriétaire,
  • vous n’avez qu’un droit d’usage.

Pour un site vitrine sur-mesure, c’est problématique :

  • difficile de changer de prestataire,
  • impossible de revendre l’entreprise en transmettant clairement les droits,
  • dépendance juridique.

La solution :
une clause de cession de droits claire dans le contrat, qui indique notamment :

  • que les droits patrimoniaux sur le code développé pour vous sont cédés,
  • pour le monde entier,
  • pour toute la durée de protection du droit d’auteur,
  • à titre exclusif sur la partie sur-mesure.

4.2. Réversibilité & sauvegardes

Le contrat doit aussi préciser :

  • ce qui vous est remis à la fin (code source, contenus, base de données…),
  • sous quel format,
  • dans quels délais,
  • avec quel coût (raisonnable, pas dissuasif).

Sans cela, vous êtes juridiquement et techniquement coincé.

4.3. Qui fait quoi ?

  • Vous :
    • exigez ces clauses dans le contrat (ou un avenant),
    • validez les implications.
  • Votre prestataire :
    • les rédige (souvent à partir d’un modèle),
    • s’engage à vous remettre le nécessaire en cas de fin de relation.

5. Emailing et prospection : rester dans les clous sans se paralyser

5.1. B2C vs B2B : subtilités

En B2C, l’email marketing repose en général sur le consentement (opt-in):

  • case à cocher,
  • ou inscription volontaire à une newsletter.

En B2B, il existe une tolérance plus grande dans certains cas (prospection “en lien avec la profession”), mais :

  • il est plus simple et plus propre de garder une logique d’opt-in clair,
  • surtout pour une TPE qui ne veut pas jouer aux frontières de la ligne.

5.2. Ce que votre site doit prévoir

  • formulaires avec :
    • case explicite si la personne accepte de recevoir vos emails (newsletter, offres),
    • liens vers votre politique de confidentialité,
  • emails envoyés avec :
    • lien de désabonnement évident,
    • expéditeur identifiable.

5.3. Qui fait quoi ?

  • Vous :
    • décidez ce que vous envoyez (type de contenu, fréquence),
    • respectez les désabonnements,
    • gérez votre base correctement.
  • Votre prestataire :
    • met la case d’opt-in au bon endroit,
    • relie les formulaires à l’outil email (Brevo, MailerLite, etc.),
    • vérifie que les mentions RGPD sont présentes.

Résumé : vos 5 priorités légales TPE 2026

Pour un site vitrine TPE réaliste, vos priorités sont :

  1. Mentions légales complètes, accessibles, à jour.
  2. Politique de confidentialité claire, fidèle à vos pratiques.
  3. Bandeau cookies qui bloque réellement les traceurs soumis à consentement.
  4. Contrat avec cession de droits, réversibilité et sauvegardes cadrées.
  5. Formulaires & emailing alignés avec le RGPD (opt-in, liens de désabonnement, etc.).

Rien de tout cela ne nécessite d’être juriste, mais ces éléments doivent être :

  • pensés dès le début du projet,
  • intégrés proprement par votre prestataire,
  • relus au moins une fois par an.

FAQ — Obligations légales site vitrine TPE 2026

Est-ce que je risque vraiment une amende RGPD avec une “simple” TPE ?

Oui, même si les montants ne sont pas ceux des GAFAM. La CNIL contrôle aussi des petites structures, parfois sur simple plainte ou via des campagnes thématiques (cookies, newsletters…).

Les risques principaux :

  • mise en demeure de se mettre en conformité dans un délai donné,
  • amende (quelques milliers d’euros suffisent à faire mal),
  • obligation de communiquer publiquement sur la sanction (image).

L’objectif n’est pas de paniquer, mais de se mettre à un niveau raisonnable de conformité.

Est-ce que mon prestataire peut “prendre la responsabilité RGPD à ma place” ?

Non. Juridiquement, c’est vous le responsable du traitement. Le prestataire peut :

  • vous conseiller,
  • implémenter techniquement ce que vous décidez,
  • vous fournir des modèles.

Mais en cas de contrôle, c’est votre nom / votre société qui est en première ligne.
D’où l’intérêt de choisir un prestataire qui maîtrise un minimum ces sujets.

Puis-je réutiliser des modèles de mentions légales trouvés en ligne ?

Vous pouvez vous en inspirer, mais:

  • il faut que le contenu reflète vos données (raison sociale, hébergeur, etc.),
  • attention aux copies intégrales non adaptées (erreurs, incohérences).

Le plus simple reste :

  • partir d’un modèle sérieux,
  • l’adapter avec votre prestataire,
  • le faire relire si besoin par un conseiller juridique.

Faut-il un avocat pour chaque site vitrine ?

Pas forcément. Pour un site vitrine TPE “classique” :

  • un bon prestataire + des modèles corrects peuvent suffire,
  • à condition d’être honnête sur vos pratiques (durées de conservation, emails, etc.).

Si votre activité touche des données sensibles (santé, enfants, finance…), ou si vous répondez à des appels d’offre publics, un passage chez un avocat spécialisé peut être un très bon investissement.

Vous voulez un site vitrine statique livré déjà “propre” côté légal (niveau TPE réaliste) ?

Si vous souhaitez :

  • un site vitrine statique livré avec :
    • mentions légales,
    • politique de confidentialité,
    • bandeau cookies correctement branché,
  • un contrat clair (propriété, réversibilité) et un minimum de cadrage RGPD,
  • sans vous noyer dans le jargon juridique et technique,

c’est exactement le cadre dans lequel je travaille avec des TPE, professions libérales et petites PME.

Pages locales liées (pour approfondir)

Articles recommandés

Citation & réutilisation du contenu

Licence CC BY 4.0 : réutilisation, adaptation et usage commercial autorisés avec attribution (auteur + lien source + lien licence).

Source : /blog/obligations-legales-site-vitrine-tpe-2026 · Politique détaillée · CC BY 4.0