Pourquoi les PME continuent de se faire sanctionner par la CNIL
En 2025, la CNIL a prononcé 87 sanctions pour un total de 1,15 milliard d'euros. Ce qui est frappant : 69 de ces sanctions ont été prononcées via la procédure simplifiée, créée précisément pour sanctionner plus vite et plus largement les PME.
La procédure simplifiée permet à la CNIL de sanctionner en quelques semaines, avec des amendes pouvant atteindre 20 000 €. Ces sanctions concernent souvent les mêmes erreurs récurrentes — des erreurs évitables avec une mise en conformité correcte.
Voici les 10 erreurs les plus fréquemment relevées lors des audits RGPD de PME.
Erreur 1 — Pas de registre des traitements
C'est le document de base du RGPD. Sans lui, impossible de prouver votre conformité à la CNIL. Le registre liste tous vos traitements de données : finalité, catégories de données, durée de conservation, sous-traitants.
Solution : Établir le registre en commençant par les 5 traitements les plus importants (CRM, RH, site web, newsletter, facturation).
Erreur 2 — Bandeau cookies non conforme
C'est la cause la plus fréquente de signalement en 2025. Un bandeau conforme doit : - Proposer un refus aussi simple que l'acceptation ("Refuser tout" accessible au premier niveau) - Ne pas pré-cocher les cases de consentement - Présenter les finalités de chaque cookie
Solution : Utiliser une solution de Consent Management Platform (CMP) certifiée CNIL.
Erreur 3 — Politique de confidentialité incomplète ou générique
Copier-coller une politique générique ne suffit pas. La vôtre doit mentionner précisément : les données collectées, les finalités réelles, la durée de conservation, les droits des personnes, et les coordonnées de votre DPO.
Solution : Rédiger une politique sur mesure, revue par un DPO, et la mettre à jour à chaque nouveau traitement.
Erreur 4 — Absence de base légale documentée
Chaque traitement de données doit reposer sur une base légale : consentement, contrat, obligation légale, intérêt légitime, intérêt vital ou mission de service public. Beaucoup de PME traitent des données sans avoir documenté cette base.
Solution : Pour chaque traitement dans le registre, identifier et documenter la base légale applicable.
Erreur 5 — Données conservées indéfiniment
Le RGPD impose la limitation de la durée de conservation : les données ne doivent pas être conservées plus longtemps que nécessaire. Les emails de prospects non convertis ne peuvent pas rester 10 ans dans votre CRM.
Solution : Définir une durée de conservation pour chaque type de données et mettre en place une procédure de purge automatique ou manuelle.
Erreur 6 — Sous-traitants sans contrat DPA
Vos prestataires SaaS (CRM, RH, emailing, hébergeur…) traitent des données pour votre compte. L'article 28 du RGPD exige un contrat de sous-traitance (Data Processing Agreement) avec chacun d'eux.
Solution : Lister tous vos prestataires SaaS, vérifier l'existence d'un DPA, et en exiger un là où il manque.
Erreur 7 — Absence de procédure pour les droits des personnes
Un client vous écrit pour exercer son droit d'effacement. Que fait votre équipe ? Si vous n'avez pas de procédure écrite, le risque d'erreur ou de délai dépassé (1 mois légal) est élevé.
Solution : Rédiger une procédure simple (3 étapes) pour traiter les demandes de droits, et former les personnes concernées.
Erreur 8 — Transfert de données hors UE non encadré
Vous utilisez Google Drive, Salesforce, HubSpot ou tout autre outil américain ? Vous transférez des données hors UE. Ce transfert doit être encadré (clauses contractuelles types, décision d'adéquation, garanties appropriées).
Solution : Vérifier pour chaque outil SaaS s'il existe un mécanisme de transfert conforme et le documenter dans votre registre.
Erreur 9 — Aucune formation des équipes
Le phishing, les emails envoyés au mauvais destinataire, les mots de passe partagés… 85 % des violations de données impliquent une erreur humaine. Sans formation, vos équipes sont votre plus grand risque RGPD.
Solution : Former les équipes une fois par an minimum, avec une attention particulière aux personnes qui manipulent des données sensibles.
Erreur 10 — Absence de plan de réponse aux incidents
En cas de violation de données, vous avez 72 heures pour notifier la CNIL (si la violation présente un risque pour les personnes). Sans plan de réponse aux incidents, ces 72 heures peuvent facilement s'évaporer dans la confusion.
Solution : Rédiger une procédure de réponse aux incidents (qui fait quoi, dans quel délai, quel formulaire de notification) et la tester en exercice.
Checklist de l'audit RGPD PME
- [ ] Registre des traitements complet et à jour
- [ ] Bandeau cookies conforme (refus aussi simple qu'acceptation)
- [ ] Politique de confidentialité sur mesure
- [ ] Base légale documentée pour chaque traitement
- [ ] Durées de conservation définies et appliquées
- [ ] Contrats DPA signés avec tous les sous-traitants SaaS
- [ ] Procédure de traitement des droits des personnes
- [ ] Transferts hors UE encadrés
- [ ] Formation équipes réalisée dans les 12 derniers mois
- [ ] Plan de réponse aux incidents rédigé et testé