RGPD pour TPE / PME : ce que vous devez vraiment faire en 2026

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018. En 2026, c’est toujours mal compris par 70 % des TPE françaises selon les retours du Médiateur des entreprises. Voici le vrai état du droit, sans jargon, et ce que vous devez réellement faire.

Ce qu’est (vraiment) le RGPD

Le RGPD est un règlement européen qui s’applique à toute organisation traitant des données personnelles d’européens, peu importe sa taille ou son pays.

Une donnée personnelle = toute info qui peut identifier une personne, directement ou indirectement :

• Nom, prénom
• Email
• Téléphone
• Adresse IP (oui, c’est une donnée personnelle selon la CJUE)
• Cookies de tracking
• Photo
• Numéro de client interne
• Voix enregistrée

Si vous collectez n’importe laquelle de ces données via votre site, le RGPD s’applique à vous.

Ce qui est obligatoire pour TOUS

Indépendamment de votre taille :

1. Une base légale pour chaque traitement

L’article 6 du RGPD liste 6 bases légales possibles :

• Consentement (case à cocher explicite)
• Exécution d’un contrat (commande, devis)
• Obligation légale (facturation, comptabilité)
• Intérêt légitime (peut être invoqué pour des traitements peu intrusifs avec un test 3 critères)
• Sauvegarde des intérêts vitaux (rare, médical)
• Mission d’intérêt public (administrations)

Pour un formulaire de contact, c’est typiquement le consentement (case « j’accepte que mes données soient utilisées pour me recontacter »).

2. Information transparente des utilisateurs

Vous devez informer clairement :

• Qui collecte les données (vous, votre entreprise)
• Pourquoi vous les collectez (finalité)
• Combien de temps vous les gardez (durée de conservation)
• Avec qui vous les partagez (sous-traitants : hébergeur, mailing, etc.)
• Quels sont leurs droits

→ C’est ce qu’on appelle la politique de confidentialité, obligatoire sur tout site collectant des données.

3. Permettre l’exercice des droits

Les utilisateurs ont 6 droits RGPD :

1. Accès : « quelles données avez-vous sur moi ? »
2. Rectification : corriger une info erronée
3. Effacement : « droit à l’oubli »
4. Limitation : suspendre temporairement le traitement
5. Portabilité : récupérer ses données dans un format réutilisable
6. Opposition : refuser un traitement (notamment marketing)

Vous devez avoir un canal clair pour exercer ces droits (email type dpo@votreentreprise.fr ou contact@votreentreprise.fr). Délai de réponse maximum : 1 mois.

4. Sécurité des données

L’article 32 du RGPD impose des mesures « techniques et organisationnelles appropriées » :

• HTTPS sur le site (obligatoire si vous collectez des données)
• Mots de passe forts sur les comptes admin
• Sauvegardes régulières
• Accès restreints aux données (pas tout le monde voit tout)
• Sous-traitants RGPD-compliants (hébergeur, mailing — voir le contrat de sous-traitance, article 28)

5. En cas de violation, notifier la CNIL en 72h

Si vos données sont volées, hackées, ou perdues, vous devez notifier la CNIL dans les 72 heures (article 33). Et informer les personnes concernées si leurs données sensibles sont en risque.

Ce qui n’est PAS obligatoire pour les TPE

Le RGPD prévoit des allègements pour les organisations de moins de 250 salariés (article 30) :

• Pas de DPO (Délégué à la Protection des Données) obligatoire, sauf cas spécifiques (santé, traitement à grande échelle, surveillance)
• Pas de tenue d’un registre des traitements complet sauf si vous traitez des données sensibles (santé, condamnation, etc.) ou faites du traitement régulier non occasionnel
• Pas d’analyse d’impact sur la vie privée systématique

Mais attention, il reste fortement recommandé de tenir un registre simplifié pour les traitements récurrents.

Le piège des cookies

Les cookies non-essentiels (analytics, pub, profilage) sont soumis à un consentement préalable explicite, conformément à la recommandation CNIL de 2020.

Concrètement :

• Cookies essentiels (panier, session de connexion) : OK sans consentement
• Cookies de mesure d’audience anonymisés (Plausible, Umami) : exemptés de consentement par la CNIL
• Cookies Google Analytics 4 : nécessitent consentement explicite + bandeau cookie + base légale documentée
• Cookies publicitaires (Meta Pixel, Google Ads) : consentement explicite obligatoire

Sanctions CNIL pour bandeaux non-conformes : jusqu’à plusieurs millions d’euros (Google a été sanctionné de 150 M€ en 2022).

La checklist RGPD minimum pour une TPE

Si vous ne devez faire qu’une chose, faites cette checklist :

Sur votre site

• HTTPS actif (Let’s Encrypt suffit, gratuit)
• Mentions légales complètes (qui édite, qui héberge)
• Politique de confidentialité claire (quoi, pourquoi, combien de temps)
• Bandeau cookies uniquement si vous utilisez des cookies non-essentiels
• Case à cocher RGPD non pré-cochée sur les formulaires (consentement explicite)
• Email de contact clairement visible pour exercer les droits

En interne

• Registre des traitements simplifié (tableau Excel suffit pour une TPE) listant : finalité, base légale, durée de conservation, destinataires
• Contrats de sous-traitance avec vos prestataires (hébergeur, mailing, comptable) qui mentionnent le RGPD
• Procédure pour répondre aux demandes RGPD en moins d’un mois
• Sauvegardes régulières des données importantes
• Accès limités aux données (pas tout le monde voit tout)

Outils / fournisseurs à privilégier

Catégorie	Conforme RGPD ✅	À éviter ⚠️
Hébergement	OVH, IONOS, Scaleway	Vercel, AWS hors EU
Email transactionnel	Brevo (FR), Mailjet (FR), IONOS SMTP	SendGrid hors EU sans SCC
Newsletter	Brevo, MailerLite	Mailchimp (transferts US complexes)
Analytics	Plausible, Umami, Matomo	GA4 sans CMP + serveur proxy
Hébergement de fichiers	Free, OVH Object Storage	Dropbox, Google Drive (avec accord conforme)
Visio	Whereby (NO), Tixeo (FR)	Google Meet, Zoom (encore complexe)

Le vrai risque : le contrôle CNIL

La CNIL effectue plus de 300 contrôles par an (source CNIL). En 2024, 89 sanctions financières publiques pour un total de 84 millions d’euros.

Les TPE ne sont pas la cible prioritaire (la CNIL cible les grandes entreprises et les acteurs au comportement répété). Mais une plainte d’un client mécontent peut déclencher un contrôle.

Sanctions concrètes :

• Avertissement (le plus fréquent pour TPE)
• Mise en demeure publique
• Amende : jusqu’à 20 M€ ou 4 % du CA annuel mondial pour les infractions graves

Cas particuliers à surveiller

1. Newsletter

Si vous envoyez une newsletter, vous devez :

• Consentement explicite au moment de l’inscription (pas pré-coché)
• Désinscription facile en 1 clic dans chaque email
• Conservation des preuves de consentement
• Mention des conditions dans la politique de confidentialité

2. Formulaire de contact

Bonnes pratiques :

• Champs minimaux (nom, email, message — c’est tout)
• Case RGPD à cocher non pré-cochée
• Lien vers la politique de confidentialité
• Réponse rapide, suppression après usage

3. Suivi des candidatures

Si vous recevez des CV via votre site :

• Conservation max 2 ans après le dernier contact (recommandation CNIL)
• Information du candidat de cette durée
• Suppression effective ensuite

4. Vidéosurveillance (si vous avez des locaux)

• Déclaration en préfecture
• Information des visiteurs (panneaux)
• Conservation max 30 jours d’images

Ressources gratuites de la CNIL

La CNIL met à disposition gratuitement :

• Modèles de mentions légales
• Outil PIA (analyse d’impact)
• Documentation TPE/PME gratuite et accessible
• MOOC RGPD : 5h de formation en ligne, gratuite, certifiante

Si vous lisez français et avez 5h de libre, le MOOC est votre meilleur investissement RGPD.

---

Sources

• Texte officiel du RGPD
• CNIL — Site officiel
• CNIL — Documentation TPE/PME
• CNIL — Sanctions et amendes
• Médiateur des entreprises — RGPD chez les TPE

---

Tous nos sites sont livrés conformes RGPD : HTTPS, politique de confidentialité, bandeau cookies si nécessaire, formulaires avec consentement explicite. Démarrez votre projet.