Sept ans après l’entrée en vigueur du RGPD, la CNIL prononce désormais en moyenne plus de 100 sanctions par an, dont une part croissante de PME. Les amendes record (jusqu’à 290 millions d’euros pour Uber, 50 millions pour Google, 60 millions pour Meta) font les gros titres. Les sanctions à 5 000, 20 000 ou 75 000 € qui frappent les TPE et PME passent souvent inaperçues mais explosent en volume. Le constat est implacable : huit obligations restent massivement ignorées, et chacune d’elles peut justifier une amende administrative.
1. Le registre des activités de traitement
Obligation de l’article 30 du RGPD. Toute entreprise traitant des données personnelles (clients, prospects, salariés) doit tenir un registre listant chaque traitement, sa finalité, les catégories de données, les destinataires et la durée de conservation. La CNIL met à disposition un modèle gratuit utilisable en quelques heures, mais moins d’une PME sur trois dispose d’un registre à jour selon les contrôles récents.
L’absence de registre constitue un motif de sanction immédiat lors d’un contrôle. C’est aussi le premier document demandé en cas de plainte d’un salarié ou d’un client. Investissement réel pour le mettre en place : 4 à 8 heures pour une PME standard.
2. La base légale de chaque traitement
Chaque collecte de donnée doit reposer sur une base légale parmi les six prévues par le RGPD : consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime. La confusion entre ces bases est massive en PME. Stocker des prospects « au cas où » sans consentement n’est pas couvert par l’intérêt légitime. 59 % des e-commerçants français recourent à des cookies publicitaires sans recueil valide du consentement, selon un audit CNIL de 2024.
3. La gestion des cookies tiers
Depuis 2020, le consentement aux cookies non essentiels doit être recueilli de manière active, libre, spécifique et révocable aussi facilement qu’il a été donné. Les bandeaux qui n’offrent pas un bouton « Refuser » aussi visible que « Accepter » sont régulièrement sanctionnés. Amende moyenne pour une PME e-commerce : 20 000 à 100 000 € selon le volume de données concernées.
Solutions pratiques conformes : Axeptio, Tarte au Citron, Didomi en plan starter facturent entre 0 et 50 € par mois pour une PME. Le coût d’un défaut de conformité est sans commune mesure.
4. Les durées de conservation des données
L’article 5 du RGPD impose une conservation limitée à ce qui est nécessaire à la finalité du traitement. En pratique, la majorité des PME conservent les données indéfiniment. Quelques repères : 3 ans pour les prospects sans activité, 5 ans après la fin du contrat pour les clients (durée de prescription commerciale), 5 ans après le départ pour les anciens salariés sur les données paie.
L’absence de purge automatique des bases est un manquement régulièrement sanctionné. Mettre en place une procédure de suppression annuelle systématique sécurise ce point en moins d’une demi-journée de travail.
5. Les contrats avec les sous-traitants
Tout prestataire qui traite des données pour le compte de l’entreprise (hébergeur, expert-comptable, agence webmarketing, prestataire RH, logiciel SaaS) est juridiquement un sous-traitant au sens du RGPD. L’article 28 impose un contrat de sous-traitance écrit incluant des clauses spécifiques. Sans ce contrat, le responsable de traitement (vous) reste seul responsable en cas d’incident.
La majorité des éditeurs SaaS proposent désormais ce type de contrat sous forme de Data Processing Agreement (DPA) téléchargeable et signable en ligne. Le réflexe : signer ces DPA dès la mise en service de chaque outil et les centraliser dans un dossier dédié.
6. La notification des violations sous 72 heures
L’article 33 impose de notifier à la CNIL toute violation de données susceptible d’engendrer un risque pour les personnes concernées dans un délai de 72 heures. Une fuite de base clients, un accès frauduleux à la messagerie, un vol de portable contenant des données salariales : autant de cas qui imposent notification.
Le piège : ne pas savoir comment réagir au moment où ça arrive. Préparer en amont un kit de gestion d’incident (fiche de notification CNIL pré-remplie, procédure interne, contact référent) prend 2-3 heures et fait gagner un temps précieux le jour J.
7. L’information des personnes concernées
Toute collecte de données doit être accompagnée d’une information claire sur l’identité du responsable, les finalités, les destinataires, la durée de conservation et les droits des personnes. En pratique, cette information passe par une politique de confidentialité accessible et lisible.
Les PME utilisent souvent des modèles génériques téléchargés en ligne, génériques au point d’être inapplicables à leur cas réel. Une politique de confidentialité non spécifique au site et à ses traitements n’a aucune valeur juridique. Investir 200 à 800 € chez un avocat ou DPO externe pour une politique sur-mesure reste l’option la plus prudente.
8. La désignation d’un DPO quand c’est obligatoire
La désignation d’un Délégué à la Protection des Données (DPO) est obligatoire dans trois cas : organismes publics, traitements à grande échelle de données sensibles, et activités de base impliquant un suivi régulier et systématique de personnes à grande échelle. Beaucoup de PME ignorent qu’elles peuvent tomber dans ces cas (e-commerce, marketing digital, santé, RH).
Coût d’un DPO externalisé pour une PME : entre 2 400 et 8 400 € annuels selon la taille et la complexité. Le DPO interne reste possible mais demande de la disponibilité et une formation dédiée.
Le récap express
- Registre des traitements : obligatoire et premier document demandé en contrôle
- Base légale : à identifier pour chaque collecte, attention à l’intérêt légitime mal compris
- Cookies : bouton Refuser aussi visible qu’Accepter
- Durées de conservation : 3 ans prospects, 5 ans clients et anciens salariés
- Sous-traitants : signer un DPA avec chaque prestataire SaaS
- Violations : notification CNIL sous 72 heures, kit à préparer en amont
- Information : politique de confidentialité spécifique, pas un modèle générique
- DPO : obligatoire dans plus de cas qu’on ne le pense, à 2 400-8 400 € en externe
FAQ
Quel est le risque réel pour une PME en cas de manquement ?
Au-delà des amendes (qui peuvent atteindre 4 % du CA mondial ou 20 millions d’euros en théorie, mais restent en pratique entre 5 000 et 200 000 € pour les PME), le risque est aussi commercial. Les grands donneurs d’ordre exigent désormais des attestations de conformité RGPD avant tout référencement.
Peut-on régulariser après un contrôle CNIL ?
Oui. La CNIL privilégie l’accompagnement et la mise en demeure avant la sanction dans la majorité des cas. Une régularisation rapide et complète divise généralement par deux ou trois le montant final de la sanction. L’attitude proactive (transparence, plan d’action, calendrier) compte autant que la conformité technique.
Faut-il craindre les contrôles aléatoires ?
Les contrôles CNIL sont rarement aléatoires. Ils découlent dans plus de 80 % des cas d’une plainte (salarié, client, ancien prestataire) ou d’une thématique annuelle (cookies, vidéosurveillance, démarchage, etc.). Identifier les sources potentielles de plainte (RH, communication, e-commerce) permet de prioriser les chantiers de mise en conformité.
La mise en garde finale
Le RGPD n’est pas un projet à finir, c’est une discipline à entretenir. Une mise en conformité réalisée en 2019 et jamais retouchée n’a plus aucune valeur en 2026 : les outils ont changé, la jurisprudence aussi, et les attentes de la CNIL se sont durcies. Un audit annuel, même léger (2 heures, à partir d’une grille interne), suffit à maintenir un niveau de conformité acceptable. C’est probablement le rapport temps/risque le plus favorable de toutes les obligations légales qui pèsent sur une PME.
