Depuis l’entrée en vigueur du RGPD (Règlement UE 2016/679) en mai 2018, deux générations de mises à jour ont vu le jour — et pour 2026 entrent en vigueur les nouvelles lignes directrices de l’EDPB sur les systèmes d’IA, le stockage cloud hors UE et la conservation de la télémétrie. Les amendes RGPD pour les PME ont augmenté en France entre 2023 et 2025 de 320 %. Voici une checklist pratique en 20 points qu’en 2026 chaque entreprise peut suivre sans DPO externe.
Pourquoi la conformité RGPD vaut le coup même pour une entreprise de 15 personnes
Les arguments du type « le RGPD ne nous concerne pas, nous sommes une petite entreprise » ne tiennent plus en 2026. La CNIL a confirmé dans son rapport annuel 2024 que 62 % des amendes ont visé des entreprises de moins de 50 collaborateurs. Amende moyenne : 8 200 EUR. La plus élevée en France pour une PME : 94 000 EUR (e-commerçant, mauvaise gestion des demandes des personnes concernées).
Au-delà des amendes, il existe un autre risque : les contrats B2B. Les grandes entreprises exigent aujourd’hui un DPA (accord de traitement des données) et des audits de sécurité de tous leurs fournisseurs. Sans conformité, vous perdez les appels d’offres.
Astuce : Le RGPD n’est pas un projet ponctuel. C’est un processus continu. Parcourez la checklist une fois par an, idéalement au T1 après la clôture fiscale, quand vous révisez de toute façon vos processus.
Checklist RGPD en 20 points pour une PME française (2026)
Bases et documentation (1 – 5)
1. Disposez-vous d’un registre des activités de traitement à jour (art. 30 RGPD) ? Tableau Excel listant : type de données, finalité, base légale, durée de conservation, destinataires. Obligatoire pour toute entreprise de plus de 250 personnes — et en pratique aussi pour les plus petites qui traitent des données sensibles.
2. Avez-vous, dans chaque contrat, un consentement éclairé correct ou une autre base légale conformément à l’art. 6 RGPD ? Newsletters marketing → consentement opt-in. Factures → intérêt légitime + obligation légale.
3. Avez-vous une mention d’information sur le traitement des données personnelles à jour sur votre site et à l’accueil ? Au minimum 13 points conformément à l’art. 13 RGPD. Concrète, et pas du « nous traitons vos données conformément à la loi ».
4. Avez-vous signé un DPA avec tous les sous-traitants (fournisseurs cloud, expert-comptable, agence RH, prestataire IT) ? Art. 28 RGPD — le contrat écrit est obligatoire. Pour 2026, vérifiez que le DPA couvre aussi les sous-traitants IA (ChatGPT, Claude, etc.).
5. Avez-vous désigné une personne responsable (DPO ou contact interne) ? Le DPO est obligatoire en cas de traitement à grande échelle de données sensibles (santé, biométrie, justice). Pour les PME, un contact interne suffit généralement — mais il doit être défini et publiquement accessible.
Mesures techniques (6 – 12)
6. Vos données sont-elles hébergées en UE ? Serveurs hors UE = problème Schrems II. Après l’invalidation du US-EU Data Privacy Framework en 2023, le pari sûr pour les PME est l’hébergement exclusivement en UE (idéalement DE, FR, PL). Vérifiez où tournent votre ERP, CRM et e-mail. Plus d’informations sur notre approche sur la page sécurité.
7. Avez-vous activé l’A2F pour tous les comptes administrateurs ? Le mot de passe « admin123 » ne suffit pas en 2026. Obligation de fait si vous avez accès aux données personnelles de plus de 1 000 personnes.
8. Avez-vous des sauvegardes régulières et un plan de reprise vérifié ? Test de restauration au moins 2× par an. Les attaques par ransomware sur les PME françaises ont augmenté de 180 % en 2024.
9. Chiffrez-vous les données personnelles au repos (at rest) et en transit (in transit) ? HTTPS partout. AES-256 ou équivalent pour les bases de données. Pour les catégories sensibles (santé, financières), c’est un bonus à l’audit.
10. Avez-vous un journal d’audit qui enregistre l’accès aux données personnelles ? « Qui, quand, quel enregistrement vu / modifié. » Sans cela, vous ne passerez ni un audit B2B sérieux ni la réaction à une violation. Modulario fournit ce journal d’audit nativement — plus d’infos sur la page sécurité.
11. Avez-vous des politiques de rétention et une suppression automatique au terme de la durée ? RGPD + Code général des impôts : factures 10 ans, données du personnel 50 ans (retraite), consentements marketing jusqu’à révocation ou 24 mois.
12. Avez-vous mis en place la pseudonymisation ou l’anonymisation là où c’est possible ? Par ex. analytique web sans adresses IP, tableau de bord interne avec ID hashé des collaborateurs.
Processus (13 – 17)
13. Avez-vous défini un processus de réponse aux demandes des personnes concernées (accès, rectification, effacement) ? Délai : 1 mois, prolongeable à 3 dans les cas complexes. Qui dans l’entreprise reçoit l’e-mail, qui vérifie l’identité, qui réalise l’effacement ?
14. Avez-vous un plan de réponse aux incidents de sécurité (data breach) ? 72 heures pour notifier la CNIL. En pratique, vous avez moins de 24 h avant que l’incident ne s’étende. Modèle + personne responsable + plan de communication.
15. Avez-vous une équipe formée ? Au moins une formation annuelle pour tous ceux qui manipulent des données personnelles. Un e-learning de 2 heures suffit pour les bases.
16. Évaluez-vous le contexte des nouveaux fournisseurs (vendor due diligence) ? Questions au SaaS : où hébergent-ils ? Ont-ils ISO 27001 / SOC 2 ? Quelle structure de sous-traitance ? DPA prêt ?
17. Avez-vous une AIPD (Analyse d’Impact relative à la Protection des Données) pour les traitements à risque ? Obligatoire en cas de surveillance systématique, de traitement de catégories sensibles à grande échelle, de décision automatisée. En 2026 aussi pour certains usages d’IA (cf. AI Act).
Spécificités 2026 (18 – 20)
18. Cartographiez-vous les systèmes et modèles d’IA traitant des données personnelles ? Nouvelles lignes directrices EDPB 2025 : si un modèle d’IA traite des données personnelles (chatbot, assistant RH, scoring IA), vous devez avoir une AIPD + transparence.
19. Avez-vous des règles claires pour l’utilisation de l’IA générative (ChatGPT, Claude, Copilot) ? Les collaborateurs copient régulièrement des données clients dans des outils d’IA publics. Politique + liste blanche + comptes entreprise résolvent le problème.
20. Avez-vous un processus prêt pour un audit RGPD (interne ou externe) ? Parcourez la checklist annuellement, audit externe tous les 2 ans. Le protocole sert lors des appels d’offres.
Amendes les plus fréquentes en France 2023 – 2025
| Infraction | Amende moyenne | Fréquence |
|---|---|---|
| Consentement marketing manquant/incorrect | 3 200 EUR | La plus élevée |
| Non-réponse à une demande de personne concernée | 5 800 EUR | Élevée |
| Absence de DPA avec un sous-traitant | 4 500 EUR | Élevée |
| Data breach non notifiée | 12 000 EUR | Moyenne |
| Mesures techniques inadéquates | 8 400 EUR | Moyenne |
Astuce : L’investissement RGPD le moins coûteux et le plus efficace en 2026 est de disposer d’un système ERP/CRM avec journal d’audit natif, hébergement UE et DPA signé. Cela couvre automatiquement 10 des 20 points de cette checklist.
Conclusion
La conformité RGPD n’est pas un épouvantail — c’est une discipline. La checklist en 20 points ci-dessus se parcourt en 2 à 4 jours de travail pour une PME française moyenne. Les amendes commencent à plusieurs milliers d’EUR et le régulateur est plus actif en 2026 que jamais. Ajoutez la pression des clients B2B sur les DPA et les certificats de sécurité, et vous avez un business case complet.
Vous avez besoin d’un ERP/CRM qui résout nativement le RGPD — hébergement UE, journal d’audit, politiques de rétention automatiques ? Consultez le détail de nos mesures de sécurité ou contactez-nous via une consultation gratuite. Nous vous préparons un environnement RGPD-ready en 2 semaines.