Le RGPD s'applique-t-il vraiment aux petites entreprises ?

Oui. Le RGPD s'applique a toute entreprise qui traite des donnees personnelles, quelle que soit sa taille. Une TPE avec un simple site vitrine et un formulaire de contact est concernee. La seule difference pour les PME de moins de 250 salaries : certaines obligations sont allegees (registre des traitements limite aux traitements reguliers ou sensibles).

Combien coute une mise en conformite RGPD pour une PME ?

Entre 450 et 1 500 euros chez Digital Work pour une PME type (site vitrine, CRM, newsletter). Cela comprend : audit initial, bandeau cookies conforme, politique de confidentialite sur mesure, registre des traitements, mise a jour des CGV, formation de l'equipe. A comparer avec une amende CNIL procedure simplifiee qui peut atteindre 20 000 euros pour une TPE.

Ma PME a-t-elle besoin d'un DPO ?

La plupart des PME ne sont pas legalement obligees d'avoir un DPO. L'obligation concerne les autorites publiques, les entreprises dont l'activite principale consiste en des traitements a grande echelle, ou celles qui traitent des donnees sensibles (sante, biometrie). Pour les autres, un referent RGPD interne suffit. Un DPO externalise (250-600 euros par mois) est recommande pour les PME qui veulent se rassurer ou qui manipulent des donnees clients a grande echelle.

Combien de temps prend une mise en conformite RGPD ?

Pour une PME standard : 2 a 4 semaines. La premiere semaine est consacree a l'audit (cartographie des traitements, identification des manques). Les 1 a 3 semaines suivantes a la mise en place des corrections (bandeau cookies, politique, registre, formation). La CNIL considere qu'une entreprise qui prouve sa demarche de conformite en cours beneficie d'une sanction allegee en cas de controle.

Que risque mon entreprise si la CNIL controle ?

Le RGPD prevoit deux niveaux de sanctions : niveau 1 jusqu'a 10 millions d'euros ou 2 pourcent du CA mondial (violations des obligations de base), niveau 2 jusqu'a 20 millions d'euros ou 4 pourcent du CA mondial (violations des principes fondamentaux). Pour les TPE et PME, la CNIL utilise la procedure simplifiee : amendes plafonnees a 20 000 euros, decision en quelques semaines. Rapide et couteuse.

RGPD 2026 : les 7 obligations des PME francaises (et les 4% de CA en amende)

Pourquoi 2026 est une annee critique pour le RGPD

Vous avez un site internet, une base clients, ou vous collectez des emails ? Alors le RGPD vous concerne. Et en 2026, la CNIL a durci ses controles pour les PME francaises. Voici les 7 obligations concretes que vous devez respecter, avec les sanctions encourues et comment les mettre en place.

Cet article est ecrit par Bilel, developpeur chez Digital Work. Nous accompagnons les PME de PACA dans leur mise en conformite RGPD depuis 2020.

Le RGPD est entre en vigueur en mai 2018. Pendant les 5 premieres annees, la CNIL a surtout fait de la pedagogie. Depuis 2023, elle est passee a la vitesse superieure : en 2024, la CNIL a prononce 331 mises en demeure et 87 sanctions contre des entreprises francaises, dont une bonne partie etaient des PME. En 2026, les controles ne visent plus seulement les grandes entreprises : les PME sont desormais dans le viseur, et les amendes peuvent atteindre 4 pourcent du chiffre d'affaires annuel mondial.

Obligation 1 - Afficher un bandeau de consentement cookies conforme

Si votre site utilise des cookies autres que strictement necessaires (Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight, etc.), vous devez afficher un bandeau qui permet au visiteur de refuser tous les cookies non essentiels, d'accepter tous les cookies, ou de personnaliser son choix categorie par categorie.

Ce qui est non conforme en 2026 : un bandeau "OK" sans option de refus, un bandeau ou "refuser" est cache dans un menu a 2 clics, les cookie walls (obligation d'accepter pour acceder au site), des cases pre-cochees. Sanction : jusqu'a 150 000 euros d'amende (precedent CNIL 2023).

Obligation 2 - Publier une politique de confidentialite detaillee

Chaque site qui collecte des donnees personnelles (meme un simple formulaire de contact) doit avoir une page "Politique de confidentialite" qui detaille : qui est le responsable du traitement (votre entreprise), quelles donnees sont collectees (nom, email, telephone, etc.), pourquoi elles sont collectees (base legale), combien de temps elles sont conservees, avec qui elles sont partagees (sous-traitants : Stripe, Mailchimp, etc.), les droits des utilisateurs (acces, rectification, suppression), comment exercer ces droits.

Ce qui est non conforme : copier-coller un template generique sans l'adapter a votre cas.

Obligation 3 - Tenir un registre des traitements

Toute entreprise qui traite des donnees personnelles doit tenir un "registre des activites de traitement". Pour les PME de moins de 250 salaries, ce registre n'est obligatoire que pour les traitements reguliers, les traitements de donnees sensibles, ou les traitements susceptibles de presenter un risque.

Dans la pratique, des que vous avez un fichier client ou une newsletter, vous devez tenir un registre. Il ne faut pas grand-chose : un tableau Excel suffit, avec pour chaque traitement le nom, la finalite, les categories de donnees, les destinataires, la duree de conservation. Modele gratuit : la CNIL met a disposition un modele sur son site (cnil.fr).

Obligation 4 - Designer un DPO (ou pas)

Un Delegue a la Protection des Donnees (DPO) est obligatoire si votre entreprise est une autorite publique, si votre activite de base consiste en des traitements de donnees a grande echelle, ou si vous traitez des donnees sensibles (sante, opinions politiques, orientation sexuelle).

Dans les faits, la plupart des PME n'ont pas l'obligation d'avoir un DPO. Mais vous devez au moins designer un "referent RGPD" en interne, qui est le point de contact pour les questions de conformite. Pour les PME qui manipulent des donnees sensibles ou qui veulent rassurer leurs clients, un DPO externalise est une solution economique (a partir de 250 euros par mois).

Obligation 5 - Faire signer des contrats avec vos sous-traitants

Chaque outil que vous utilisez et qui manipule des donnees personnelles est un "sous-traitant" au sens RGPD. Exemples : Stripe (paiements), Google Analytics (tracking), Mailchimp / Brevo (emailing), Zendesk / Crisp (support client), OVH / AWS (hebergement).

Vous devez signer avec chacun d'eux un Data Processing Agreement (DPA). Bonne nouvelle : la plupart des outils fournissent un DPA automatique dans leurs conditions generales. Vous devez le sauvegarder et vous assurer qu'il est bien a jour.

Obligation 6 - Securiser vos donnees

Le RGPD impose une obligation de moyens : vous devez mettre en place des mesures "techniques et organisationnelles appropriees" pour securiser les donnees. Concretement : HTTPS sur votre site (certificat SSL valide), mots de passe forts pour tous les acces, sauvegardes regulieres, antivirus et pare-feu, acces limite aux donnees sensibles (seules les personnes qui en ont besoin), sensibilisation de vos equipes.

En cas de fuite de donnees, si vous n'avez pas pris ces mesures, l'amende peut etre tres lourde.

Obligation 7 - Notifier les fuites de donnees en 72h

Si vos donnees sont compromises (piratage, fuite, perte d'ordinateur), vous avez 72 heures pour notifier la CNIL et informer les personnes concernees. Ne pas notifier = amende supplementaire. Notifier a temps = sanction reduite, voire annulee. Procedure : un formulaire dedie existe sur cnil.fr pour les notifications de violation.

Comment se mettre en conformite en 2026 ?

Si vous avez reconnu votre PME dans au moins 3 de ces 7 points, vous etes probablement en non-conformite. Rassurez-vous : la mise en conformite ne coute pas necessairement cher, surtout si vous anticipez plutot que d'attendre un controle.

Chez Digital Work, nous proposons un audit RGPD gratuit qui vous donne un plan d'action concret. Pour les PME de PACA, nous pouvons egalement accompagner la mise en conformite complete (bandeau cookies, politique de confidentialite, registre, DPA) pour un budget compris entre 450 et 1 500 euros.