⚖️ Conformité·7 min read

RGPD pour PME : ce que vous devez avoir en place en 2026 (checklist 8 points)

La checklist concrète des 8 points RGPD obligatoires pour une PME française en 2026, avec le coût réaliste et le risque CNIL en cas de manquement.

Lex
Conformité juridique · published on April 27, 2026

TL;DR

Le RGPD a 8 ans et la CNIL a sanctionné 87 entreprises en France en 2024-2025. La conformité n'est plus optionnelle. Mais pour une PME, on parle de 8 points concrets — pas d'un département juridique. Voici la checklist, le coût réaliste pour une boîte de 5-50 personnes, et ce qui se passe si vous êtes contrôlé.

Pourquoi la CNIL durcit le ton en 2026

Le RGPD a été adopté en 2016 et appliqué en 2018. Pendant les premières années, la CNIL était dans une posture pédagogique — beaucoup de mises en demeure, peu de sanctions financières. Depuis 2023, le ton change : 87 sanctions financières en France en 2024-2025, dont une trentaine contre des PME (les autres concernent des grands groupes ou des secteurs sensibles).

La cause principale des contrôles PME en 2025-2026 : les plaintes de salariés et d''anciens clients. Quand un salarié quitte l''entreprise et demande la suppression de ses données, ou quand un client se plaint d''être démarché sans consentement, la CNIL est saisie. Et elle contrôle.

La bonne nouvelle : la CNIL ne sanctionne pas brutalement. Le pattern habituel est mise en demeure → 6 mois pour se mettre en conformité → contrôle de suivi → sanction si non-respect. Donc même en cas de contrôle, vous avez le temps de corriger — à condition de répondre dans les délais.

La checklist en 8 points pour une PME française

Cette liste est suffisante pour 95 % des PME (commerce, service, e-commerce, SaaS sans données sensibles). Si vous traitez des données de santé, des données biométriques ou plus de 250 fiches RH, ajoutez les obligations supplémentaires (analyse d''impact, DPO, etc.).

  1. Un registre des traitements à jour, listant : la finalité (prospection, paie, facturation…), les données collectées, la base légale, la durée de conservation, les destinataires. La CNIL fournit un modèle gratuit.
  2. Une politique de confidentialité publique sur votre site, accessible depuis chaque page (pied de page), expliquant les points 1.
  3. Une bannière cookies conforme : refuser doit être aussi simple qu''accepter. Pas de pré-cochage. Pas de scroll = consentement.
  4. Une procédure de réponse aux droits : un email dédié (privacy@… ou dpo@…), une procédure interne pour répondre en moins d''un mois aux demandes d''accès, rectification, suppression.
  5. Un contrat avec chaque sous-traitant qui touche à vos données (hébergeur, prestataire IT, agence marketing, outil CRM…) — c''est ce qu''on appelle un DPA (Data Processing Agreement).
  6. Des mesures techniques : chiffrement des données sensibles, sauvegardes régulières, mots de passe forts + MFA pour les comptes admin, mise à jour régulière des logiciels.
  7. Une procédure de violation de données : qui appelle qui, dans quel délai, comment notifier la CNIL (72h max après prise de conscience).
  8. Si plus de 250 salariés OU données sensibles : un DPO (Délégué à la Protection des Données) interne ou externalisé.

CyberTool fournit un DPA agence pré-rempli pour les MSP et agences cyber qui sous-traitent à des PME — gain de temps et conformité juridique immédiate.

Combien ça coûte en pratique ?

Le mythe du « RGPD = 50 000 € de mise en conformité » concerne les grandes entreprises qui ont 200 traitements et 5 sous-traitants par traitement. Pour une PME de 5-50 personnes avec un site web, un CRM, un outil de paie et un hébergeur, on parle de :

  • Si vous le faites vous-même : 2-3 jours de travail d''un·e responsable RH ou direction administrative, plus quelques heures par mois pour le maintenir. Coût direct : zéro.
  • Si vous passez par un cabinet : entre 3 000 et 8 000 € pour une mise en conformité initiale (audit + registre + politiques + formation), puis 100-300 € par mois pour le suivi.
  • DPO externalisé (si nécessaire) : 250 à 500 € par mois pour une PME — moins cher que d''embaucher un junior.

Que se passe-t-il en cas de contrôle CNIL ?

Statistiquement, les contrôles d''une PME française se déclenchent par : 1) une plainte (salarié, client), 2) une violation de données déclarée publiquement, 3) une campagne thématique de la CNIL (cookies en 2022-2023, prospection en 2024, IA en 2025-2026).

Le déroulé typique

  • Notification : la CNIL vous envoie un courrier (lettre recommandée) annonçant un contrôle. Pas de visite surprise pour les PME en règle générale.
  • Demande de documents : registre, politiques, contrats sous-traitants, preuves de consentement collectées. Vous avez généralement 1 à 2 mois pour répondre.
  • Mise en demeure éventuelle : si manquements, vous avez 3 à 6 mois pour vous mettre en conformité.
  • Sanction si non-respect : amende calculée en pourcentage du chiffre d''affaires (max 4 %) ou en montant fixe (max 20 millions €). Pour une PME, les sanctions observées vont de 5 000 € à 50 000 €.

Le pire scénario, c''est de ne pas répondre à la mise en demeure. Là, la CNIL passe directement en sanction. Donc même si vous n''êtes pas en règle, répondez et montrez votre plan d''action.

Les 3 erreurs récurrentes des PME en 2025-2026

Sur les contrôles publics CNIL des dernières années, voici ce qui revient le plus souvent :

  • Bannière cookies non conforme : « refuser » caché dans un sous-menu, pré-cochage des cases, scroll considéré comme consentement. La CNIL a sanctionné Google et Facebook pour ça en 2022, et ne lâche pas le sujet pour les PME.
  • Pas de DPA avec les sous-traitants : votre CRM (HubSpot, Salesforce, Pipedrive), votre outil mail (Mailchimp, Brevo), votre hébergeur. Tous traitent des données de vos clients pour vous. Sans contrat de sous-traitance signé, vous êtes en infraction.
  • Conservation infinie des données : « on ne sait jamais, ça peut servir ». Le RGPD impose une durée de conservation définie pour chaque finalité. Garder un CV 5 ans après un recrutement, ou un fichier prospect 10 ans après le dernier contact, c''est non.

L''audit CyberTool ne vérifie pas la conformité juridique RGPD (ça reste un travail humain), mais il vérifie les mesures techniques (HTTPS, en-têtes sécurité, mots de passe par défaut) qui sont une partie du « niveau de sécurité approprié » exigé par l''article 32 du RGPD.

Frequently asked questions

Une PME française doit-elle nommer un DPO ?

Pas systématiquement. Le DPO (Délégué à la Protection des Données) est obligatoire dans 3 cas : 1) Vous êtes un organisme public, 2) Vous traitez à grande échelle des données sensibles (santé, biométrie, opinions, etc.), 3) Vos activités principales nécessitent un suivi régulier et systématique des personnes (réseau social, scoring, marketing comportemental). Pour 90 % des PME (commerce, service, B2B classique), le DPO n''est pas obligatoire — mais avoir un référent désigné en interne reste une bonne pratique pour répondre aux droits.

Quelle est la différence entre RGPD et NIS2 pour une PME ?

Le RGPD protège les données personnelles (clients, salariés, prospects) — il s''applique à toute organisation qui traite des données de citoyens européens, même les PME de 2 personnes. NIS2 (transposée en France en 2024-2025) protège la sécurité des réseaux et systèmes — elle s''applique aux entités essentielles et importantes de secteurs critiques (énergie, santé, finance, transport, fournisseurs cloud, etc.) avec des seuils de taille variables. La plupart des PME françaises ne sont PAS concernées directement par NIS2, sauf si elles fournissent des prestations à des entités NIS2 (effet de cascade).

Combien coûte une amende RGPD pour une PME ?

Le maximum théorique est de 20 millions € ou 4 % du chiffre d''affaires mondial annuel (le plus élevé des deux). En pratique, les amendes constatées contre des PME françaises depuis 2023 vont de 5 000 € à 50 000 €, avec une médiane autour de 15 000 €. La CNIL prend en compte la taille, la coopération de l''entreprise, la durée du manquement, et le préjudice causé. Une PME qui répond rapidement à une mise en demeure et corrige les manquements évite quasi-systématiquement la sanction financière.

Faut-il signer un DPA avec chaque sous-traitant qui touche à mes données ?

Oui, c''est l''article 28 du RGPD et c''est non négociable. Cela concerne votre hébergeur web, votre outil mail (Brevo, Mailchimp), votre CRM, votre comptable externe (s''il manipule des données de salariés ou clients via votre logiciel), votre prestataire IT, votre agence marketing. La majorité des grands éditeurs SaaS proposent un DPA standardisé téléchargeable depuis leur site — il suffit de le signer ou de l''accepter électroniquement. Pour les petits prestataires, vous devez le rédiger vous-même ou utiliser un modèle CNIL.

Comment notifier une violation de données à la CNIL ?

Vous devez notifier la CNIL dans les 72 heures suivant la prise de conscience de la violation, dès lors qu''elle présente un risque pour les droits des personnes. La notification se fait en ligne sur cnil.fr (formulaire dédié) en indiquant : la nature de la violation, les catégories de personnes touchées, le nombre approximatif, les conséquences probables, les mesures prises. Si le risque est élevé pour les personnes, vous devez aussi les informer directement. Conserver une trace écrite de la violation et de votre traitement, même si vous estimez ne pas devoir notifier.

Related reading