Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018. Huit ans plus tard, en 2026, force est de constater que beaucoup d'entreprises — surtout les TPE et PME — ne sont toujours pas en conformité. Pourtant, la CNIL n'a jamais été aussi active en matière de contrôles et de sanctions. Rien qu'en 2025, elle a prononcé plus de 40 sanctions pour un montant total dépassant les 200 millions d'euros. Ce guide vous accompagne pas à pas vers la conformité.
Qui est concerné par le RGPD ?
La réponse courte : tout le monde, ou presque. Le RGPD s'applique à toute organisation — entreprise, association, administration — qui traite des données personnelles de personnes situées dans l'Union européenne, quel que soit le pays d'établissement de l'organisation.
Une donnée personnelle, c'est toute information permettant d'identifier directement ou indirectement une personne physique : nom, email, numéro de téléphone, adresse IP, données de géolocalisation, identifiant client, mais aussi des données moins évidentes comme un numéro de commande lié à un compte client.
Un traitement de données, c'est toute opération effectuée sur des données personnelles : collecte, enregistrement, stockage, modification, consultation, extraction, communication, suppression. Si vous avez un site web avec un formulaire de contact, une newsletter, un fichier clients Excel ou un logiciel de facturation avec les coordonnées de vos clients — vous traitez des données personnelles.
- Nommer un référent RGPD interne ou un DPO si obligatoire.
- Cartographier tous les traitements de données personnelles de l'entreprise.
- Rédiger le registre des traitements obligatoire.
- Mettre à jour les mentions légales et la politique de confidentialité.
- Recueillir le consentement explicite pour chaque traitement.
- Former l'ensemble des collaborateurs aux bonnes pratiques.
Les grands principes du RGPD
Le RGPD repose sur six principes fondamentaux que toute entreprise doit respecter :
1. Licéité, loyauté et transparence
Vous ne pouvez traiter des données que sur une base légale légitime. Les six bases légales prévues par le RGPD sont : le consentement, l'exécution d'un contrat, l'obligation légale, la sauvegarde des intérêts vitaux, la mission d'intérêt public et l'intérêt légitime. Pour la plupart des entreprises, les bases les plus utilisées sont le contrat (vous avez besoin des coordonnées du client pour honorer sa commande), le consentement (pour l'envoi de newsletters) et l'intérêt légitime (pour la prospection B2B).
2. Limitation des finalités
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Vous ne pouvez pas collecter des données « au cas où » ou les réutiliser pour un objectif incompatible avec la finalité initiale sans informer les personnes concernées.
3. Minimisation des données
Ne collectez que les données strictement nécessaires à la finalité déclarée. Si vous vendez des T-shirts en ligne, vous avez besoin du nom, de l'adresse de livraison et du moyen de paiement. Vous n'avez pas besoin de la date de naissance, du numéro de téléphone fixe ou de la situation familiale.
4. Exactitude
Les données doivent être exactes et tenues à jour. Mettez en place des processus pour rectifier ou supprimer les données inexactes sans délai.
5. Limitation de la conservation
Les données ne doivent pas être conservées au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées. Un fichier prospects que vous n'avez pas contacté depuis 3 ans devrait être purgé. Les données de facturation doivent être conservées 10 ans (obligation légale), mais les données marketing associées peuvent être supprimées plus tôt.
6. Intégrité et confidentialité
Vous devez assurer la sécurité des données contre les accès non autorisés, les pertes et les destructions. Cela implique des mesures techniques (chiffrement, sauvegardes, mises à jour de sécurité) et organisationnelles (gestion des accès, sensibilisation du personnel).
Les étapes concrètes de mise en conformité
Étape 1 : Nommer un référent RGPD
La désignation d'un DPO (Délégué à la Protection des Données) est obligatoire pour les organismes publics, les entreprises dont l'activité de base implique un suivi régulier et systématique des personnes à grande échelle, ou celles qui traitent des données sensibles à grande échelle. Pour les autres, c'est recommandé mais pas obligatoire.
Si vous êtes une PME de 10 salariés, vous n'avez pas besoin d'un DPO à temps plein. Mais désignez au moins un référent interne ou faites appel à un DPO externalisé (500 à 2 000 €/an pour une petite structure). Pour en savoir plus, consultez notre article sur Contrat de travail CDI, CDD, intérim.
Étape 2 : Cartographier vos traitements
Établissez un registre des traitements. C'est le document central de votre conformité RGPD. Pour chaque traitement, documentez : la finalité, les catégories de données traitées, les personnes concernées, les destinataires, la durée de conservation, les mesures de sécurité et la base légale.
La CNIL met à disposition un modèle de registre gratuit sur son site. Pour une PME classique, les traitements courants sont : gestion clients, gestion fournisseurs, gestion RH, marketing/prospection, vidéosurveillance, site web/cookies.
Étape 3 : Vérifier la conformité de votre site web
Votre site web est souvent le premier point de contrôle de la CNIL. Vérifiez :
Les cookies : un bandeau de consentement conforme doit s'afficher dès la première visite. L'internaute doit pouvoir refuser les cookies aussi facilement qu'il les accepte (pas de dark pattern). Les cookies non essentiels ne doivent pas être déposés avant le consentement. En 2026, la CNIL continue de sanctionner lourdement les manquements sur les cookies.
Les formulaires : chaque formulaire collectant des données personnelles doit mentionner l'identité du responsable de traitement, la finalité, la base légale, la durée de conservation, les droits des personnes et les éventuels transferts hors UE.
La politique de confidentialité : elle doit être accessible, claire et complète. Pas un copier-coller juridique illisible — un texte que vos clients peuvent comprendre.
Étape 4 : Sécuriser les données
Pas besoin d'un budget cybersécurité à six chiffres pour respecter le RGPD. Les mesures de base sont :
Mots de passe robustes et uniques pour chaque service. Authentification à deux facteurs sur les comptes sensibles. Chiffrement des disques durs des ordinateurs portables. Mises à jour régulières des logiciels et systèmes d'exploitation. Sauvegardes régulières testées. Antivirus et pare-feu à jour. Gestion des droits d'accès : chaque employé n'accède qu'aux données nécessaires à sa fonction.
Étape 5 : Gérer les droits des personnes
Le RGPD confère aux personnes huit droits sur leurs données : accès, rectification, effacement (« droit à l'oubli »), limitation, portabilité, opposition, ne pas faire l'objet d'une décision automatisée, et retrait du consentement.
Vous devez être en mesure de répondre à toute demande d'exercice de droit dans un délai d'un mois. En pratique, cela implique d'avoir un processus interne clair : qui reçoit les demandes ? Qui les traite ? Comment vérifier l'identité du demandeur ? Comment extraire ou supprimer les données dans vos différents systèmes ?
Étape 6 : Gérer les sous-traitants
Si vous utilisez des services tiers qui traitent des données personnelles pour votre compte — hébergeur web, logiciel CRM, outil d'emailing, expert-comptable — vous devez formaliser la relation par un contrat de sous-traitance incluant les clauses obligatoires de l'article 28 du RGPD.
Vérifiez que vos sous-traitants présentent des garanties suffisantes en matière de protection des données. Pour les transferts de données hors UE (hébergement aux États-Unis par exemple), des garanties supplémentaires sont nécessaires : clauses contractuelles types, décision d'adéquation ou exceptions spécifiques. Pour en savoir plus, consultez notre article sur Convention collective.
Étape 7 : Se préparer aux violations de données
Une violation de données (piratage, fuite, perte) doit être notifiée à la CNIL dans les 72 heures suivant sa découverte si elle est susceptible de présenter un risque pour les droits et libertés des personnes. Si le risque est élevé, les personnes concernées doivent également être informées.
Préparez un plan de réponse aux incidents : qui contacter en interne, comment évaluer la gravité, comment notifier la CNIL (formulaire en ligne sur cnil.fr), comment communiquer auprès des personnes affectées.
Les sanctions en 2026
La CNIL dispose de pouvoirs de sanction considérables :
Avertissement ou mise en demeure pour les manquements mineurs.
Amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, les amendes pour les PME sont plus modestes (quelques milliers à quelques dizaines de milliers d'euros), mais elles existent.
Injonction de cesser le traitement, ce qui peut avoir un impact opérationnel majeur si le traitement est essentiel à votre activité.
En 2025-2026, les sanctions les plus fréquentes concernent : les cookies non conformes, l'absence de politique de confidentialité, la prospection commerciale sans consentement, la conservation excessive de données et les défauts de sécurité.
Les outils pour faciliter la conformité
Plusieurs outils peuvent vous aider dans votre démarche :
Le guide pratique de la CNIL pour les TPE-PME, téléchargeable gratuitement sur cnil.fr. Clair, concret, avec des modèles de documents.
Les CMP (Consent Management Platforms) pour gérer les cookies : Axeptio, Didomi, CookieBot, Tarteaucitron (open source). Comptez entre 0 € (open source) et 50 €/mois pour une PME.
Les outils de registre des traitements : le tableur CNIL (gratuit), Dastra, Witik, Data Legal Drive (payants, à partir de 50 €/mois).
| Obligation RGPD | Concerne | Sanction maximale |
|---|---|---|
| Registre des traitements | Toute entreprise | 20 M€ ou 4 % du CA |
| Consentement explicite | Données personnelles | 20 M€ ou 4 % du CA |
| Notification de violation | Fuite de données | 10 M€ ou 2 % du CA |
| DPO obligatoire | Données sensibles | 10 M€ ou 2 % du CA |
En résumé
La conformité RGPD n'est pas un projet ponctuel, c'est une démarche continue. Commencez par les bases — registre des traitements, politique de confidentialité, cookies, sécurité — et améliorez progressivement. N'attendez pas un contrôle de la CNIL pour vous y mettre. La conformité RGPD est aussi un argument commercial : dans un contexte où les consommateurs sont de plus en plus sensibles à la protection de leurs données, afficher une vraie démarche de conformité renforce la confiance.