RGPD et cookies pour artisan : ce que votre site doit respecter (sans se prendre la tête)

Le RGPD fait peur. Dès qu'on entend ce sigle, on pense à des amendes astronomiques, des avocats, des formulaires en 12 pages. Sauf que pour un artisan avec un site vitrine simple, la réalité est bien plus tranquille.

On va aller droit au but : ce que vous devez vraiment faire, ce qui est optionnel, et ce qui ne vous concerne pas.

C'est quoi le RGPD, en deux mots

Le Règlement Général sur la Protection des Données est une loi européenne qui encadre la façon dont les entreprises collectent et traitent les données personnelles. "Données personnelles", ça désigne tout ce qui permet d'identifier une personne : nom, email, téléphone, adresse IP...

Dès que vous avez un formulaire de contact sur votre site, vous collectez des données personnelles. Donc le RGPD vous concerne.

Ce que votre formulaire de contact impose

Quand quelqu'un remplit votre formulaire avec son nom, son email et son numéro de téléphone, vous devenez "responsable de traitement" de ces données. Ce que ça implique concrètement :

Informer l'utilisateur : il doit savoir pourquoi vous collectez ces données (pour le rappeler et lui envoyer un devis), combien de temps vous les gardez, et qui d'autre peut y accéder.

Ne garder les données que le temps nécessaire : si quelqu'un vous contacte et qu'il ne devient pas client, vous n'avez pas le droit de garder ses coordonnées indéfiniment. En pratique : 3 ans est une durée raisonnable pour des prospects, 10 ans pour des clients actifs (durée légale comptable).

Permettre à l'utilisateur d'accéder à ses données ou de les supprimer : si quelqu'un vous envoie un email en disant "supprimez mes données", vous devez le faire. En pratique, ça arrive rarement, mais vous devez pouvoir le faire.

Comment appliquer ça concrètement sur votre site ? Ajoutez sous votre formulaire une ligne simple : "Les données collectées via ce formulaire sont utilisées uniquement pour vous répondre et vous adresser un devis. Elles ne sont pas cédées à des tiers. Conformément au RGPD, vous pouvez exercer vos droits en nous écrivant à [email]."

C'est suffisant dans 90% des cas pour un site artisan.

La newsletter : une autre catégorie

Si vous collectez des emails pour envoyer des newsletters ou des promotions, c'est plus strict. Vous devez :

• Avoir un consentement explicite (une case à cocher, pas pré-cochée)
• Permettre de se désabonner à chaque email
• Garder la preuve du consentement

Pour un artisan, la newsletter est rare. Si vous n'en envoyez pas, ce point ne vous concerne pas.

Google Analytics : bannière cookies obligatoire ou pas ?

Là, c'est la vraie question que tout le monde se pose.

Si vous avez Google Analytics, Hotjar, ou tout autre outil d'analytics sur votre site : oui, vous avez besoin d'une bannière de consentement aux cookies. Ces outils déposent des cookies de traçage qui permettent d'identifier les visiteurs. La CNIL l'exige.

Si votre site est une vitrine simple sans analytics : pas de bannière obligatoire. Les cookies "techniques" (mémoriser qu'un formulaire a été rempli, par exemple) ne nécessitent pas de consentement.

La solution intermédiaire : utiliser un outil d'analytics dit "cookieless" comme Matomo en mode conforme, ou le "Google Analytics 4 sans cookies". Ces solutions ne déposent pas de cookies d'identification et sont exemptées de bannière si correctement configurées.

La politique de confidentialité

Que vous ayez ou non une bannière cookies, si vous avez un formulaire de contact, vous avez besoin d'une politique de confidentialité accessible depuis votre site (généralement en pied de page).

Ce que doit contenir une politique de confidentialité pour un site artisan :

• Qui collecte les données (votre nom, votre SIRET)
• Quelles données sont collectées (nom, email, téléphone, message)
• Pourquoi (pour répondre aux demandes de devis)
• Combien de temps elles sont conservées
• Qui y a accès (vous seul, et éventuellement votre hébergeur)
• Comment exercer ses droits (email de contact)

Pas besoin d'un texte de 15 pages. Une page bien structurée de 400 à 600 mots, c'est largement suffisant.

Ce que ça implique en pratique avec votre email pro

Quand un client vous envoie un email, vous traitez ses données personnelles. La bonne pratique est de :

• Ne pas garder les emails de prospects non convertis au-delà de 3 ans
• Ne pas partager les coordonnées d'un client sans son accord
• Utiliser votre boîte email pro (et non Gmail perso) si possible

En pratique, si vous êtes artisan seul et que vous répondez à des emails de clients depuis votre téléphone, personne ne va venir vérifier. L'essentiel est de ne pas revendre des fichiers de contacts ou faire des campagnes de masse sans consentement.

Le vrai risque CNIL pour un artisan

Soyons honnêtes : la CNIL ne va pas s'attaquer à un artisan qui a oublié d'écrire la durée de conservation dans sa politique de confidentialité. Les sanctions sévères visent les grandes entreprises qui revendent des données en masse ou qui ignorent sciemment les demandes de suppression.

Le vrai risque pour vous est indirect : un litige client qui s'appuie sur l'absence de mentions RGPD pour contester un devis. Ça reste rare mais ça arrive.

Faites le minimum correctement (politique de confidentialité, mention sous formulaire, bannière si analytics) et vous êtes tranquille.

Ce qui est optionnel vs obligatoire — récapitulatif rapide

Obligatoire si vous avez un formulaire de contact :

• Mention d'information sous le formulaire
• Politique de confidentialité accessible

Obligatoire si vous avez des cookies de traçage :

• Bannière de consentement aux cookies
• Politique cookies

Recommandé mais pas obligatoire :

• DPO (Délégué à la Protection des Données) — seulement obligatoire pour les grosses structures
• Registre des traitements complet — en pratique pour un artisan, un tableau simple suffit

Checklist rapide pour votre site

• Formulaire de contact avec mention d'information RGPD en dessous
• Page "Politique de confidentialité" en bas de page
• Bannière cookies si vous avez Google Analytics ou équivalent
• Email de contact opérationnel pour exercer les droits

C'est tout. En 2 heures, c'est réglé.

---

Avec Aveko Builder, la conformité RGPD de base est intégrée : politique de confidentialité pré-remplie selon vos informations, mention sous formulaire automatique, et bannière cookies déjà en place si vous activez les analytics. Vous n'avez rien à configurer manuellement.