Introduction
Le RGPD en 2026 : de quoi les TPE/PME doivent-elles se soucier ?
Le Règlement Général sur la Protection des Données (RGPD) s'applique à tout organisme, quelle que soit sa taille, dès lors qu'il traite des données personnelles : fichiers clients, paie, candidatures, vidéosurveillance, cookies… Une TPE qui gère un fichier de 50 clients est tout autant concernée qu'une multinationale. En 2026, la CNIL a significativement renforcé ses contrôles et les sanctions financières s'alourdissent : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Pour les TPE/PME, les obligations clés sont au nombre de cinq :
- Le registre des traitements — documenter toutes les opérations de données personnelles que vous réalisez (obligatoire pour toutes les entreprises, pas seulement les grandes).
- Le consentement éclairé — obtenir un consentement libre, spécifique et éclairé avant toute collecte, notamment pour les cookies et la prospection commerciale.
- La sécurité des données — mettre en place des mesures techniques et organisationnelles adaptées (chiffrement, accès restreint, mots de passe solides).
- Les droits des personnes — informer les personnes concernées et répondre à leurs demandes d'accès, de rectification ou de suppression dans un délai d'un mois.
- La notification des violations — signaler toute faille de sécurité à la CNIL sous 72 heures si elle présente un risque pour les personnes.
Le registre des traitements : votre première obligation
Le registre des traitements est le document central de votre conformité RGPD. Il recense toutes les opérations impliquant des données personnelles au sein de votre entreprise : gestion des clients, paie, candidatures, vidéosurveillance, site web, etc.
Pour chaque traitement, le registre doit mentionner :
- La finalité : pourquoi collectez-vous ces données ? (ex. : gestion de la relation client, paiement des salaires)
- Les catégories de données : nom, email, numéro de téléphone, données bancaires, etc.
- Les catégories de personnes concernées : clients, prospects, salariés, candidats
- Les destinataires : qui a accès à ces données en interne et en externe (CAB, expert-comptable, hébergeur)
- La durée de conservation : combien de temps gardez-vous les données (ex. : factures 10 ans, candidatures 2 ans, données clients 3 ans après fin de relation)
- Les mesures de sécurité : chiffrement, accès restreint, sauvegarde, etc.
La CNIL propose un modèle gratuit de registre adapté aux TPE/PME sur son site (cnil.fr). Ce registre peut être tenu sous format numérique ou papier, mais doit pouvoir être présenté en cas de contrôle.
DPO obligatoire ou facultatif ? Comment décider pour votre TPE/PME
Le Délégué à la Protection des Données (DPO) est obligatoire uniquement dans trois cas :
- Votre organisme est une autorité publique ou un établissement public.
- Vos activités principales impliquent des opérations de traitement à grande échelle nécessitant un suivi régulier et systématique des personnes concernées (ex. : plateforme de e-commerce avec profiling comportemental).
- Vos activités principales impliquent un traitement à grande échelle de données sensibles (données de santé, opinions politiques, origine raciale, etc.).
Pour la grande majorité des TPE/PME, le DPO n'est pas obligatoire. la CNIL recommande de nommer un référent RGPD en interne — un salarié qui se forme aux bases du RGPD et coordonne la conformité. Cette personne n'a pas le statut juridique du DPO mais assure une fonction similaire à l'échelle de l'entreprise.
Si vous nommez un DPO (volontairement), celui-ci doit être déclaré à la CNIL et ne peut pas recevoir d'instructions dans l'exercice de sa mission. Pour une TPE, le coût d'un DPO externe (500 à 2 000 €/mois) est rarement justifié : un référent formé en interne est souvent suffisant.
Le consentement cookies et la prospection : deux pièges fréquents
Les TPE/PME sont particulièrement exposées sur deux points :
1. Le consentement aux cookies
Les recommandations CNIL de 2023 imposent :
- Un bandeau de consentement au premier accès, avec un bouton « Tout refuser » aussi visible et accessible que le bouton « Tout accepter ».
- Le consentement doit être recueilli avant tout dépôt de cookie (sauf cookies strictement nécessaires au fonctionnement du site).
- Les cookies de mesure d'audience (Google Analytics, etc.) nécessitent un consentement explicite — l'exception « mesure d'audience » de la CNIL impose des conditions strictes (anonymisation IP, opt-out, durée max 13 mois).
- Le consentement est révocable à tout moment via un bouton persistant sur chaque page.
2. La prospection commerciale par email
L'article L. 34-5 du Code des postes et des communications électroniques impose le consentement préalable (opt-in) pour toute prospection par email auprès des particuliers. Pour les professionnels (B2B), le régime est plus souple : l'opt-out est possible si les coordonnées sont obtenues légitimement et que la prospection porte sur des produits similaires. En pratique, mieux vaut toujours obtenir un consentement explicite.
Les sanctions CNIL : ce que risquent réellement les TPE/PME
Les sanctions du RGPD ne sont pas théoriques. En 2024-2025, la CNIL a prononcé des sanctions contre des entreprises de toutes tailles :
- Amende administrative : jusqu'à 20 millions d'euros ou 4 % du CA mondial annuel (le montant le plus élevé étant retenu). Pour une TPE, l'amende est adaptée à sa taille et à sa situation financière, mais reste significative (plusieurs milliers d'euros minimum).
- Mise en demeure : premier avertissement formel de la CNIL, avec obligation de se mettre en conformité dans un délai imparti (souvent 3 à 6 mois).
- Sanction pécuniaire simplifiée : depuis 2023, la CNIL peut prononcer des amendes forfaitaires pour les manquements les plus courants : absence de registre des traitements (7 500 €), non-respect des droits des personnes (15 000 €), cookies non conformes (20 000 €).
- Injonction de retrait de données : obligation de supprimer des données illégalement collectées.
En cas de violation de données impliquant un risque pour les personnes, vous devez notifier la CNIL sous 72 heures. Le non-respect de cette obligation est lui-même sanctionnable. Les personnes concernées doivent aussi être informées si le risque est élevé.
Étapes à suivre7
Établir votre registre des traitements
Listez toutes les opérations de données personnelles de votre entreprise : gestion clients, paie, candidatures, site web, vidéosurveillance, etc. Pour chaque traitement, indiquez la finalité, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité. Utilisez le modèle gratuit de la CNIL (cnil.fr/registre) adapté aux TPE/PME. Ce document doit être tenu à jour et pouvoir être présenté en cas de contrôle.
Nommer un référent RGPD (ou un DPO si nécessaire)
Pour la majorité des TPE/PME, un DPO n'est pas obligatoire. Nommez un référent RGPD en interne — un salarié qui suit une formation RGPD (la CNIL propose des webinaires gratuits). Si votre activité implique un traitement à grande échelle de données sensibles (santé, opinions), la nomination d'un DPO devient obligatoire. Déclarez-le sur le site de la CNIL (dpo.cnil.fr).
Mettre en conformité votre site web (cookies et consentement)
Installez un bandeau de consentement cookies conforme CNIL : bouton « Tout refuser » aussi visible que « Tout accepter », consentement recueilli avant tout dépôt de cookie (sauf cookies strictement nécessaires), bouton persistant pour retirer le consentement à tout moment. Vérifiez que Google Analytics est configuré en mode anonymisé (masquage IP, opt-out). Les cookies de mesure d'audience nécessitent un consentement explicite depuis les recommandations CNIL de 2023.
Sécuriser les données personnelles que vous traitez
Mettez en place les mesures de sécurité de base : chiffrement des données sensibles, mots de passe robustes (12 caractères minimum, gestionnaire recommandé), accès restreint selon le principe du moindre privilège, sauvegarde régulière des données, mise à jour automatique des logiciels et systèmes. Documentez ces mesures dans votre registre des traitements. Pour les données de santé ou bancaires, le chiffrement est obligatoire.
Informer les personnes et respecter leurs droits
Rédigez une politique de confidentialité claire et accessible depuis chaque formulaire de collecte. Elle doit mentionner : l'identité du responsable de traitement, les finalités, la durée de conservation, les droits des personnes (accès, rectification, suppression, portabilité), et le droit d'introduire une réclamation auprès de la CNIL. Répondez à toute demande d'exercice de droits dans un délai d'un mois. Les personnes doivent pouvoir exercer leurs droits facilement (formulaire en ligne, email dédié).
Préparer la notification des violations de données
En cas de violation de données (piratage, perte de fichier, envoi accidentel à un tiers), vous devez notifier la CNIL sous 72 heures via le portail notification.cnil.fr si la violation présente un risque pour les personnes concernées. Si le risque est élevé, informez également les personnes concernées directement. Préparez en amont un plan de gestion de crise : coordonnées du référent RGPD, contacts CNIL, procédure de notification, modèle de communication vers les personnes concernées.
Vérifier régulièrement votre conformité et tenir le registre à jour
La conformité RGPD n'est pas un projet ponctuel mais un processus continu. Planifiez un audit annuel de votre registre des traitements, vérifiez que chaque nouveau traitement est documenté avant sa mise en œuvre, assurez-vous que les durées de conservation sont respectées (supprimez les données expirées), et suivez les évolutions réglementaires sur le site de la CNIL. Les TPE/PME peuvent bénéficier de l'accompagnement gratuit de la CCI France et des chambres de commerce régionales.
Conseils pratiques
- Le registre des traitements est votre première obligation — commencez par là. La CNIL propose un modèle gratuit adapté aux TPE/PME sur cnil.fr/registre.
- Un DPO n'est obligatoire que pour les autorités publiques ou les traitements à grande échelle de données sensibles. Pour 90 % des TPE/PME, un référent formé en interne suffit.
- Les amendes forfaitaires CNIL depuis 2023 : 7 500 € pour absence de registre, 15 000 € pour non-respect des droits des personnes, 20 000 € pour cookies non conformes.
- Le consentement cookies doit être recueilli AVANT tout dépôt de cookie. Utilisez tarteaucitron.js (gratuit et conforme CNIL) ou une solution équivalente.
- En cas de violation de données, notifiez la CNIL sous 72 heures via notification.cnil.fr. Une notification prudente vaut mieux qu'une notification tardive.
Points d'attention
- Le RGPD s'applique à TOUTES les entreprises, même les auto-entrepreneurs et micro-entreprises, dès lors qu'elles traitent des données personnelles (fichier clients, paie, candidatures).
- Les sanctions CNIL ne sont pas théoriques : en 2024-2025, des amendes ont été prononcées contre des TPE pour absence de registre, cookies non conformes et non-respect des droits des personnes.
- Ne pré-cochez jamais les cases de consentement : le RGPD exige un consentement libre, spécifique et éclairé. Une case pré-cochée équivaut à l'absence de consentement.
- Les données de santé, opinions politiques et origine raciale sont des « données sensibles » soumises à des règles strictes. Leur traitement est interdit sauf exceptions limitées (consentement explicite, obligation légale).
- La durée de conservation n'est pas une option : chaque catégorie de données doit avoir une durée définie. Les données expirées doivent être supprimées automatiquement. Exemple : candidatures 2 ans, données clients 3 ans après fin de relation.
Questions fréquentes6
Le RGPD s'applique-t-il aux TPE et micro-entreprises ?
Oui, absolument. Le RGPD s'applique à tout organisme, quelle que soit sa taille, dès lors qu'il traite des données personnelles dans le cadre d'une activité professionnelle. Un auto-entrepreneur qui gère un fichier clients, une boulangerie qui utilise un système de vidéosurveillance, un artisan qui conserve les coordonnées de ses clients — tous sont concernés. Seules les activités purement personnelles ou domestiques (votre carnet d'adresses personnel) sont exclues du champ du RGPD. La CNIL le rappelle régulièrement : il n'y a pas de seuil de taille pour l'obligation de conformité.
Un DPO est-il obligatoire pour une TPE/PME ?
Dans la grande majorité des cas, non. Le Délégué à la Protection des Données (DPO) n'est obligatoire que dans trois situations : si vous êtes une autorité publique, si vos activités principales impliquent un suivi régulier et systématique des personnes à grande échelle (ex. : plateforme de e-commerce avec profiling comportemental), ou si vous traitez des données sensibles à grande échelle (santé, opinions politiques). Pour 90 % des TPE/PME, un salarié formé en interne comme référent RGPD suffit. Il n'a pas le statut juridique du DPO mais assure une mission similaire : coordonner la conformité, maintenir le registre, et être le point de contact avec la CNIL.
Quelles sont les amendes CNIL pour les TPE/PME ?
Depuis 2023, la CNIL peut prononcer des sanctions pécuniaires simplifiées (amendes forfaitaires) pour les manquements les plus courants : 7 500 € pour l'absence de registre des traitements, 15 000 € pour le non-respect des droits des personnes (droit d'accès, rectification, suppression), et 20 000 € pour des cookies non conformes. Les amendes maximales du RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, mais la CNIL adapte le montant à la taille de l'entreprise, à la gravité du manquement et aux efforts de mise en conformité. En pratique, les TPE sanctionnées reçoivent d'abord une mise en demeure avec un délai de mise en conformité.
Que faire en cas de violation de données (piratage, perte de fichier) ?
Vous devez notifier la CNIL sous 72 heures via le portail notification.cnil.fr si la violation présente un risque pour les droits et libertés des personnes concernées. Si le risque est élevé (données bancaires, données de santé, grand nombre de personnes touchées), vous devez aussi informer directement les personnes concernées. Préparez en amont un plan de gestion de crise : coordonnées du référent RGPD, contacts CNIL, procédure de notification, modèle de communication. Même si vous n'êtes pas certain du niveau de risque, notifiez : une notification prudente vaut mieux qu'une notification tardive, et la CNIL pourra vous accompagner dans la gestion de l'incident.
Quelles données conserver et combien de temps ?
La durée de conservation dépend de la catégorie de données et de la réglementation applicable : factures et comptabilité 10 ans (Code de commerce), données de paie 5 ans, candidatures non retenues 2 ans, données clients 3 ans après la fin de la relation commerciale, cookies de prospection 6 mois (recommandation CNIL), données de vidéosurveillance 30 jours maximum. Toute donnée dont la durée de conservation est expirée doit être supprimée ou anonymisée. Documentez ces durées dans votre registre des traitements — c'est l'un des premiers points vérifiés lors d'un contrôle CNIL.
Comment rendre mon site web conforme au RGPD pour les cookies ?
Installez un bandeau de consentement conforme aux recommandations CNIL 2023 avec : un bouton « Tout refuser » aussi visible et accessible que « Tout accepter » (pas de bouton pré-coché), le consentement recueilli AVANT tout dépôt de cookie (sauf cookies strictement nécessaires au fonctionnement du site), un bouton persistant sur chaque page pour retirer le consentement à tout moment, et des catégories de cookies clairement séparées (nécessaires, fonctionnels, analytiques, publicitaires). Utilisez une solution conforme comme tarteaucitron.js (gratuit et open source) ou OneTrust. Vérifiez régulièrement que votre bandeau ne pré-coche aucune case et que le refus est aussi simple que l'acceptation.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 17 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.