Site internet non conforme : ce que ça coûte vraiment
Site internet non conforme : sanctions record (Temu 200 M€, Shein 150 M€), obligations légales 2026 et checklist pour mettre votre site en conformité.
Temu, Shein : l'ère de la sanction a commencé
Le 28 mai 2026, la Commission européenne a infligé à Temu une amende de 200 millions d'euros au titre du DSA, pour défaut d'évaluation des risques liés à la diffusion de produits illégaux sur sa marketplace. C'est la plus lourde sanction prononcée à ce jour en application de ce règlement. Quelques mois plus tôt, le 1ᵉʳ septembre 2025, la CNIL sanctionnait Shein à hauteur de 150 millions d'euros pour des cookies déposés sans le consentement des internautes — et, le même jour, Google à hauteur de 325 millions d'euros, pour le même motif.
Ces montants visent des géants, sanctionnés sur des fondements parfois réservés aux grandes plateformes, comme le DSA. Mais le socle de règles qui encadre toute présence en ligne — RGPD, règles cookies de la CNIL, droit de la consommation — s'applique, lui, à tous les sites internet, du site vitrine d'un artisan à la boutique en ligne d'une PME. La vraie question n'est donc plus « est-ce que je risque quelque chose ? », mais « qu'est-ce qu'un site conforme en 2026, et comment y arriver sans en faire un chantier ? ».
Un site internet non conforme est un site qui ne respecte pas une ou plusieurs des règles encadrant sa présence en ligne : protection des données personnelles, information du consommateur, sécurité. Il s'expose à trois risques cumulés : la sanction financière, la perte de confiance des visiteurs et une visibilité dégradée.
Qu'est-ce qu'un site internet « non conforme » ?
Trois corpus de règles forment le socle de la conformité légale d'un site internet en 2026.
Le RGPD : les données personnelles
Le RGPD (Règlement général sur la protection des données) s'applique dès qu'un site collecte ou traite des données personnelles : formulaire de contact, inscription à une newsletter, mesure d'audience, cookies publicitaires. Il impose d'informer les visiteurs, de ne collecter que le nécessaire, de sécuriser les données et de recueillir un consentement valable quand il est requis. Contrairement à une idée répandue, il n'existe pas de seuil de taille : une TPE avec un simple formulaire de contact est concernée au même titre qu'une marketplace.
Le droit de la consommation : information et transparence
Pour un site marchand, le Code de la consommation encadre l'information précontractuelle : identité du vendeur, prix, frais de livraison, conditions générales de vente, droit de rétractation. C'est la DGCCRF qui contrôle ce volet, alimentée notamment par les signalements des consommateurs. Un site e-commerce sans CGV, ou avec des CGV copiées d'un concurrent et jamais adaptées, est un site non conforme.
Le DSA : la responsabilité des plateformes
Le DSA (Digital Services Act) est le règlement européen qui responsabilise les services en ligne sur les contenus et produits qu'ils diffusent. Ses obligations les plus lourdes visent les très grandes plateformes — c'est sur ce fondement que Temu a été sanctionné. Une PME n'est généralement concernée que si elle opère une place de marché ou héberge des contenus de tiers, mais le DSA fixe la direction : la responsabilité des acteurs du web se renforce, à tous les étages.
Ce que risquent vraiment les sites non conformes
Les sanctions financières
Les plafonds prévus par les textes sont dissuasifs : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour le RGPD, jusqu'à 6 % du chiffre d'affaires mondial pour le DSA. Les affaires Temu (au titre du DSA) et Shein (au titre des règles cookies) montrent que les autorités n'hésitent plus à prononcer des amendes massives. Pour une PME, les amendes sont proportionnées à la taille et à la gravité du manquement — mais la CNIL publie régulièrement des sanctions contre des structures modestes, et un contrôle peut être déclenché par une simple plainte d'un client ou d'un concurrent.
La réputation : des sanctions publiques
Les sanctions de la CNIL et de la Commission européenne sont publiées et reprises par la presse. Pour Shein comme pour Temu, le coût médiatique s'ajoute à l'amende. À l'échelle d'une PME, le mécanisme est le même en plus petit : une mise en demeure publique, un avis négatif documenté ou un signalement relayé localement suffisent à entamer une réputation construite sur des années.
La confiance des visiteurs — et le référencement
Un site sans HTTPS est signalé « non sécurisé » par les navigateurs, et Google utilise le HTTPS comme signal de classement depuis des années. Un bandeau cookies agressif ou trompeur fait fuir une partie des visiteurs. Des mentions légales absentes font douter de la fiabilité de l'entreprise — les acheteurs B2B, en particulier, vérifient. La non-conformité n'attend donc pas le contrôle d'une autorité pour coûter de l'argent : elle dégrade silencieusement la conversion et la visibilité, chaque jour.
Les obligations légales d'un site internet en 2026
Les mentions légales obligatoires
Tout site professionnel doit afficher l'identité de son éditeur (raison sociale, adresse, SIREN), un moyen de contact, le nom du directeur de la publication et les coordonnées de l'hébergeur. C'est l'obligation la plus simple à remplir — et l'une des plus fréquemment négligées, alors que son absence est pénalement sanctionnée par la loi pour la confiance dans l'économie numérique (LCEN).
Un consentement cookies conforme aux règles de la CNIL
Dès qu'un site dépose des cookies non essentiels (mesure d'audience non exemptée, publicité, vidéos intégrées, boutons sociaux), il doit recueillir un consentement préalable, libre et éclairé. Concrètement, selon les règles de la CNIL : aucun cookie non essentiel avant le choix de l'utilisateur, un bouton « Refuser » aussi accessible que le bouton « Accepter », et la possibilité de retirer son consentement à tout moment.
CGV et droit de rétractation pour l'e-commerce
Un site marchand doit présenter des conditions générales de vente adaptées à son activité réelle : prix et frais affichés avant la commande, modalités de livraison, garanties légales, et droit de rétractation de 14 jours pour les consommateurs (avec ses exceptions, qui doivent être mentionnées). Le tunnel de commande doit aussi respecter des règles précises, comme le bouton de paiement indiquant sans ambiguïté l'obligation de payer.
HTTPS, sécurité et minimisation des données
Le RGPD impose de sécuriser les données collectées : HTTPS sur tout le site, formulaires limités aux champs réellement nécessaires, durées de conservation définies, et un registre des traitements qui documente ce que l'entreprise fait des données. Ce volet englobe aussi vos outils : si vos formulaires alimentent un CRM ou des scénarios d'automatisation, le lieu d'hébergement des données compte — notre comparatif Make, n8n ou Zapier détaille justement l'angle RGPD (hébergement européen, self-hosting) de ces outils.
La méthode Webdiz : la conformité par défaut
Chez Webdiz, la conformité n'est pas une option à cocher sur le devis : c'est un prérequis de livraison, intégré dès la conception de chaque projet de création de site internet conforme. Voici, concrètement, la checklist appliquée à chaque site livré :
| Point de conformité | Ce qui est intégré à chaque site Webdiz |
|---|---|
| Mentions légales | Page complète : éditeur, SIREN, directeur de la publication, hébergeur, contact |
| Bandeau cookies conforme CNIL | Aucun cookie non essentiel avant consentement, refus en un clic, choix modifiable à tout moment |
| Politique de confidentialité | Rédigée à partir de vos traitements réels, pas un modèle générique recopié |
| HTTPS | Certificat SSL sur l'ensemble du site, redirections propres, aucun contenu mixte |
| Minimisation des données | Formulaires limités aux champs nécessaires à la demande |
| Hébergement UE | Données des formulaires hébergées dans l'Union européenne |
| Registre des traitements | Trame de registre remise à la livraison, pré-remplie pour votre site (article 30 du RGPD) |
| Durées de conservation | Purge des données de contact définie dès la conception |
| E-commerce | CGV structurées, droit de rétractation, parcours de commande conforme |
Cette approche a un double intérêt. Pour vous : un site livré avec le socle de conformité déjà en place, conçu pour vous éviter un chantier correctif après la mise en ligne — pour les situations particulières (données de santé, secteur réglementé), un conseil juridique reste le bon relais. Pour votre budget : la conformité intégrée en amont coûte une fraction d'une mise en conformité corrective, et elle fait partie du périmètre normal d'un site professionnel, comme le détaille notre guide des prix d'un site internet en 2026.
Vérifier et signaler : les ressources officielles
Trois ressources publiques permettent de vérifier un site ou un produit, et de signaler un manquement :
- SignalConso — la plateforme de la DGCCRF pour signaler un problème avec un site marchand : livraison, prix, pratiques commerciales trompeuses. Si vous vendez en ligne, c'est aussi par ce canal que vos clients peuvent vous signaler — mieux vaut être conforme avant.
- RappelConso — le site officiel des rappels de produits. Un e-commerçant est tenu de ne pas vendre un produit rappelé : une vérification régulière de son catalogue fait partie d'une gestion conforme.
- Les enquêtes DSA de la Commission européenne — pour les plateformes, la Commission publie ses décisions et enquêtes en cours, comme dans l'affaire Temu. Une lecture utile pour comprendre où va la régulation du commerce en ligne.
Questions fréquentes
Un simple site vitrine doit-il être conforme au RGPD ?
Oui. Dès qu'un site collecte des données personnelles — un formulaire de contact, un outil de mesure d'audience, une adresse e-mail — le RGPD s'applique, quelle que soit la taille de l'entreprise. Un site vitrine doit donc afficher des mentions légales, informer sur les traitements de données et recueillir le consentement avant de déposer des cookies non essentiels.
Quelles sanctions risque un site internet non conforme ?
Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En pratique, les autorités frappent fort : la CNIL a sanctionné Shein de 150 millions d'euros en 2025 au titre des règles cookies, et la Commission européenne a infligé 200 millions d'euros à Temu en 2026 au titre du DSA. Pour une PME, les sanctions sont proportionnées à la taille de l'entreprise, mais elles s'ajoutent toujours au préjudice de réputation.
Le bandeau cookies est-il obligatoire sur tous les sites ?
Il est obligatoire dès que le site dépose des cookies non essentiels à son fonctionnement : mesure d'audience non exemptée, publicité, boutons de réseaux sociaux. La CNIL exige un consentement préalable et libre — refuser doit être aussi simple qu'accepter. Un site qui n'utilise aucun cookie non essentiel peut, lui, se passer de bandeau.
Qui contrôle la conformité des sites internet en France ?
La CNIL contrôle la protection des données personnelles et les cookies. La DGCCRF contrôle le droit de la consommation (CGV, prix, pratiques commerciales), notamment à partir des signalements déposés sur SignalConso. La Commission européenne supervise directement les très grandes plateformes au titre du DSA.
Un site conforme est un site qui inspire confiance
La conformité légale d'un site internet n'est pas une contrainte administrative de plus : c'est un signal de sérieux envoyé à vos clients, aux autorités et aux moteurs de recherche. Les sanctions Temu et Shein ont ouvert une ère où ce signal se vérifie — et où son absence se paie.
Vous voulez savoir où en est votre site ? Notre diagnostic numérique gratuit évalue en quelques minutes votre présence en ligne, conformité comprise. Et si votre site est à créer ou à refondre, demandez un devis : les fondamentaux de conformité font partie du périmètre, réponse sous 48 h.
Xavier Chesneau est le fondateur de Webdiz, studio technique digital basé en Normandie et Activateur France Num référencé par la Direction Générale des Entreprises (DGE). Il accompagne les TPE et PME françaises sur la création de sites internet, le SEO et l'automatisation.
À lire aussi
Pourquoi votre site n'apparaît pas sur Google : 5 causes
Votre site n'apparaît pas sur Google ? Les 5 causes réelles — indexation, blocage technique, contenu, autorité, visibilité — et comment diagnostiquer en 10 minutes.
Référencement IA : apparaître dans ChatGPT et Perplexity
Référencement IA : comment être cité dans les réponses de ChatGPT, Perplexity et Google AI. Les 5 leviers concrets pour une PME, et ce qui change vraiment vs le SEO classique.
Référencement local en Normandie : le guide PME 2026
Référencement local en Normandie : les 3 piliers pour rendre votre PME visible sur Google, la méthode pour repérer le trafic qui dort, et les erreurs à éviter.