LogoGNTH Audit & Conseil
Diagnostic gratuit
← Retour aux articles
Blog

RGPD 2026 : votre TPE/PME risque-t-elle une amende CNIL ?

En 2025, un tiers des amendes CNIL visaient des structures de moins de 250 salariés. Cinq questions concrètes pour mesurer votre exposition réelle au risque RGPD.

60 000 € d'amende pour un cabinet de 45 salariés. Pas de fuite de données, pas de scandale. Juste un registre des traitements jamais mis à jour depuis cinq ans. Votre situation ressemble peut-être à la leur.

En 2025, plus d'un tiers des sanctions CNIL visaient des TPE et PME — et la plupart n'avaient commis aucune violation flagrante. Elles avaient simplement arrêté de s'occuper du RGPD après 2018. C'est exactement ce que contrôle la CNIL en 2026, souvent depuis son bureau, sans prévenir.

Cinq questions. Chacune ancrée dans une sanction réelle.

C'est le contrôle le plus simple à effectuer à distance. Un agent de la CNIL ouvre votre site, teste votre bandeau cookies, note le résultat.

La règle est précise : refuser les cookies doit être aussi simple qu'accepter. Un bouton "Tout accepter" bien visible, un lien "Continuer sans accepter" en gris discret — c'est un dark pattern, et c'est sanctionnable.

En 2025, un e-commerce de taille intermédiaire a écopé de 25 000 € pour exactement cette configuration. Ouvrez votre site en navigation privée et comptez les clics nécessaires pour refuser tous les cookies. Si la réponse est "plus d'un", vous êtes exposé.

Votre registre des traitements RGPD date-t-il de 2018 ?

Toute entreprise qui traite des données personnelles doit tenir un registre des traitements. Il recense ce que vous collectez, pourquoi, pendant combien de temps, et qui y a accès.

La plupart des TPE/PME en ont créé un en 2018. Depuis, elles ont changé de CRM, adopté un outil de visioconférence, migré vers un nouveau logiciel de facturation — sans jamais mettre le registre à jour.

C'est précisément le motif de la sanction à 60 000 € citée en ouverture. Aucune violation. Un dossier figé. Votre registre reflète-t-il les outils que vous utilisez aujourd'hui ?

Avez-vous des contrats DPA avec vos prestataires numériques ?

Votre hébergeur, votre outil emailing, votre logiciel de prise de rendez-vous en ligne : chacun est un sous-traitant au sens du RGPD. La loi vous impose de conclure avec chacun un contrat de traitement des données — le DPA (Data Processing Agreement).

Sans ce contrat, votre responsabilité est engagée même si c'est le prestataire qui commet l'erreur. Mailchimp, Brevo, Calendly et la plupart des outils SaaS proposent ces contrats dans leurs paramètres. Encore faut-il les avoir signés.

Vérifiez vos trois prestataires principaux. S'il manque un DPA, le risque est documenté.

Vos durées de conservation sont-elles définies — et appliquées ?

"On garde les données tant que le client est actif" n'est pas une durée de conservation. Le RGPD exige des durées précises, liées à la finalité du traitement.

Quelques repères : données de prospects non convertis — 3 ans maximum. CV de candidats non retenus — 2 ans maximum. Les durées exactes varient selon le type de données et le secteur.

La question n'est pas seulement de les définir. C'est de les appliquer. Une politique de suppression écrite mais jamais exécutée n'a aucune valeur légale.

Vos formulaires affichent-ils une mention RGPD lisible ?

Chaque formulaire qui collecte des données — contact, devis, inscription, création de compte — doit informer l'utilisateur de quatre choses : qui traite ses données, dans quel but, pendant combien de temps, et comment exercer ses droits.

Cette mention est souvent absente. Parfois copiée-collée d'un modèle générique qui ne correspond plus à vos pratiques. Parfois enterrée dans une politique de confidentialité introuvable.

Ouvrez un de vos formulaires. Trouvez la mention RGPD. Si vous avez changé d'outil emailing depuis qu'elle a été rédigée, elle est probablement obsolète.

Ce que vos réponses révèlent

Deux "non" ou "je ne sais pas" suffisent à matérialiser un risque réel. La CNIL ne sanctionne pas seulement les violations graves : elle sanctionne l'absence de démarche sérieuse et documentée.

Ces points se corrigent. Un audit de conformité RGPD sérieux prend quelques semaines, pas plusieurs mois. Il identifie ce qui est urgent, ce qui peut attendre, et ce qui ne représente aucun risque concret.

Mieux vaut répondre à ces questions vous-même, avant que la CNIL ne vous les pose avec une mise en demeure en guise de réponse.

Votre site est-il à la hauteur ?

Obtenez un audit gratuit et découvrez ce qui freine votre visibilité en ligne.

Demander un audit gratuit