La CNIL multiplie les contrôles ciblés sur les PME depuis 2023. Les amendes restent rares mais les mises en demeure publiques ont un effet réputationnel immédiat et chiffrable. Voici les huit chantiers de conformité RGPD à mener en priorité en 2026.
1. Registre des traitements à jour
Obligatoire au-delà de 250 salariés ou en cas de traitement non occasionnel, à risque, ou de données sensibles. En pratique, la CNIL le demande systématiquement en contrôle. Modèle disponible sur CNIL.fr.
2. Désignation d'un DPO
Obligatoire pour les autorités publiques, les organismes traitant des données sensibles à grande échelle, ou opérant un suivi régulier et systématique des personnes. Pour les autres PME : recommandé pour les e-commerces, SaaS, plateformes. Possibilité de DPO externalisé (1 500 à 5 000 €/an selon la taille).
3. Contrats sous-traitants (art. 28 RGPD)
Tout sous-traitant traitant des données personnelles pour votre compte (hébergeur, CRM, paie, marketing automation, agence) doit être lié par un contrat conforme à l'article 28 RGPD : DPA (Data Processing Agreement). Sans DPA : co-responsabilité non maîtrisée et risque CNIL.
4. Encadrement des transferts hors UE
Depuis l'arrêt Schrems II et la décision d'adéquation US 2023 (Trans-Atlantic Data Privacy Framework), les transferts vers les États-Unis sont à nouveau possibles vers les opérateurs certifiés. Pour les autres pays : clauses contractuelles types 2021, BCR, dérogations art. 49. Analyse documentée requise (TIA).
5. Mesures de sécurité documentées
Chiffrement, pseudonymisation, contrôle d'accès, sauvegardes, journalisation, gestion des correctifs. La doctrine de l' ANSSI fait référence. Pour les entités NIS 2, mesures renforcées et déclaration d'incident sous 24h.
6. Procédure d'exercice des droits
Droit d'accès, rectification, effacement, portabilité, opposition, limitation. Procédure interne de réponse sous 1 mois (extensible à 3 mois pour les demandes complexes). Adresse de contact dédiée (DPO ou contact RGPD).
7. Gestion des violations de données
Notification à la CNIL sous 72h (téléservice dédié), information des personnes concernées si risque élevé. Tenue d'un registre interne des violations.
8. Sensibilisation des équipes
Formation annuelle minimale, charte informatique, procédures de gestion des demandes. Documenter (CNIL et juge sont sensibles à la preuve d'effort).
Focus cookies
Lignes directrices CNIL : consentement granulaire par finalité, refus aussi simple que l'acceptation (bouton "Tout refuser" au même niveau visuel), gestion fine via Trust Management Platform certifié. Sanctions CNIL 2023-2025 : 50 000 à 60 M€ selon les acteurs. Voir CNIL.fr.
Questions fréquentes
Quel est le risque réel pour une PME ?
Mise en demeure publique fréquente, amende rare mais possible (jusqu'à 4 % du CA mondial), action de groupe en croissance, atteinte réputationnelle immédiate.
Faut-il un DPO en interne ou externe ?
Externe pour les PME < 100 salariés (coût/efficacité), interne au-delà.
Combien coûte une mise en conformité initiale ?
3 000 à 15 000 € HT selon la taille et la sensibilité des traitements.
Voir aussi notre article CGV, CGU, RGPD pour un site e-commerce.