Aller au contenu
TinyTerms
RGPDConformitéPrivacy

RGPD : mettre votre entreprise en conformité en 2026

Mis à jour le 12 min de lecture

Le RGPD (règlement (UE) 2016/679), complété en France par la loi « Informatique et Libertés » (loi n° 78-17), encadre tout traitement de données personnelles. Se mettre en conformité, ce n’est pas un projet ponctuel : c’est documenter ses traitements, sécuriser les données, garantir les droits des personnes et savoir réagir en cas d’incident. Ce guide, à jour 2026, détaille les obligations clés, les sanctions encourues et un plan d’action concret.

Dernière révision : 11 juin 2026. Document informatif, à faire relire par un professionnel du droit ou un expert RGPD avant mise en œuvre.

Ce qui structure la conformité en 2026

Le RGPD repose sur une logique de responsabilité (accountability) : vous devez non seulement respecter les règles, mais être en mesure de le démontrer. Trois piliers concrets : un registre des traitements à jour, une politique de confidentialité fidèle à vos traitements réels, et des procédures prêtes pour les droits des personnes et les violations de données. Nouveauté à surveiller : la CNIL a publié ses recommandations sur l’IA et le RGPD — entraîner un modèle sur des données personnelles impose une finalité définie et une base légale solide (CNIL — IA et RGPD).

Comprendre les rôles et responsabilités

Le responsable de traitement détermine les finalités et les moyens. Le sous-traitant traite pour son compte et sur ses instructions. Formalisez ces relations via un contrat de sous-traitance (DPA) précisant sécurité, confidentialité et assistance à l’exercice des droits — c’est une exigence de l’article 28 du RGPD.

Bases légales et minimisation

Chaque traitement doit reposer sur l’une des six bases légales de l’article 6 du RGPD : consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, ou intérêt légitime. Identifiez-la avant de collecter. Appliquez la minimisation (ne collecter que le nécessaire) et fixez des durées de conservation par finalité.

Registre des traitements et gouvernance

Le registre des activités de traitement (article 30 du RGPD) est obligatoire pour tout organisme, quelle que soit sa taille. Il recense pour chaque traitement : finalités, catégories de données et de personnes, destinataires, transferts, durées et mesures de sécurité. Les structures de moins de 250 salariés bénéficient d’une dérogation partielle, mais doivent inscrire les traitements non occasionnels, à risque ou portant sur des données sensibles. La CNIL fournit un modèle de registre simplifié gratuit.

Quand nommer un DPO

La désignation d’un délégué à la protection des données (DPO) est obligatoire (articles 37 à 39 du RGPD) pour les organismes publics, ceux dont l’activité de base implique un suivi régulier et systématique à grande échelle, ou un traitement à grande échelle de données sensibles. Dans les autres cas, elle reste recommandée. Le DPO doit disposer de moyens, agir en indépendance et être un point de contact identifié.

Privacy by design & by default

Intégrez la protection des données dès la conception et par défaut (article 25 du RGPD) : pseudonymisation, chiffrement (au repos et en transit), cloisonnement, accès au moindre privilège, journalisation et revue régulière des droits. Le paramétrage par défaut doit être le plus protecteur possible.

Droits des personnes et procédures internes

Les personnes disposent de droits : accès, rectification, effacement, limitation, portabilité, opposition et, le cas échéant, le droit de ne pas faire l’objet d’une décision entièrement automatisée (articles 12 à 22 du RGPD). Documentez la procédure : canal de contact, vérification d’identité en cas de doute raisonnable, et réponse sous 1 mois (prorogeable de 2 mois pour les demandes complexes, article 12.3). Conservez une preuve du traitement de chaque demande.

Analyse d’impact (AIPD)

Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés (profilage à grande échelle, données sensibles, surveillance systématique d’espaces publics…), une analyse d’impact relative à la protection des données (AIPD / DPIA) est obligatoire (article 35 du RGPD). La CNIL publie la liste des traitements qui y sont soumis et un outil PIA gratuit.

Violations de données (data breach)

En cas de violation de données (perte, accès non autorisé, divulgation…), notifiez la CNIL dans les meilleurs délais et, si possible, sous 72 heures (articles 33 et 34 du RGPD). Au-delà, le retard doit être justifié. Si la violation présente un risque élevé, informez aussi les personnes concernées. Tenez un registre interne des violations et tirez les enseignements de chaque incident.

Transferts hors UE

Hors de l’Espace économique européen, un transfert n’est licite qu’avec un fondement valable (articles 44 et suivants du RGPD) : décision d’adéquation, clauses contractuelles types (CCT), règles d’entreprise contraignantes (BCR) ou dérogations encadrées. Cartographiez vos sous-traitants et l’hébergement réel des données. ⚠️ Pour les transferts vers les États-Unis, le cadre d’adéquation reste sous surveillance juridictionnelle (recours pendant) : conserver des CCT en secours est prudent.

Le cadre français : loi « Informatique et Libertés »

Le RGPD est complété en France par la loi n° 78-17 du 6 janvier 1978, qui confie à la CNIL son contrôle et prévoit des spécificités nationales (ex. directives post-mortem sur le sort des données après le décès). Toute personne peut introduire une réclamation auprès de la CNIL (article 77 du RGPD).

Les sanctions : pourquoi la conformité n’est pas optionnelle

La non-conformité expose à des amendes administratives prononcées par la CNIL :

  • Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial — le montant le plus élevé étant retenu — pour les manquements les plus graves : principes de base, droits des personnes, transferts hors UE (article 83 du RGPD).
  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires pour d’autres manquements (registre, sécurité, notification de violation).
  • En 2025, la CNIL a prononcé 83 sanctions pour un montant total de 486 839 500 € — un total fortement tiré par deux amendes exceptionnelles ; les principaux sujets étaient les cookies, la surveillance des salariés et la sécurité des données (CNIL — bilan des sanctions 2025).

Au-delà de l’amende, une non-conformité expose à des mises en demeure, à une atteinte à la réputation et à des actions des personnes concernées.

Plan d’action 90 jours

  • 0–30 j : cartographie des traitements, registre (article 30), politique de confidentialité et mentions d’information à jour.
  • 30–60 j : DPA avec vos fournisseurs, mesures de sécurité (chiffrement, sauvegardes, gestion des accès), bandeau cookies conforme (refus aussi simple que l’acceptation).
  • 60–90 j : procédures d’exercice des droits, AIPD sur les traitements à risque, formation des équipes, registre des violations.

Indicateurs de conformité utiles

Taux de demandes RGPD traitées dans les délais, nombre d’incidents de sécurité, temps moyen de révocation d’accès, couverture des DPA signés, revue trimestrielle des sous-traitants et fraîcheur du registre.

Pour aller plus loin

Côté traceurs et bandeau de consentement, voyez notre guide de la politique de confidentialité et des cookies. Si vous lancez votre activité, suivez la checklist des obligations légales d’une startup.

Besoin d’une politique de confidentialité claire et à jour ? Générez vos documents juridiques puis complétez-les avec vos traitements réels.

Questions fréquentes

Quelle est la sanction maximale prévue par le RGPD ? Pour les manquements les plus graves (principes de base, droits des personnes, transferts hors UE), l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent — le montant le plus élevé étant retenu (article 83 du RGPD). Pour d’autres manquements (registre, sécurité, notification de violation), le plafond est de 10 millions d’euros ou 2 % du chiffre d’affaires. En 2025, la CNIL a prononcé 83 sanctions pour un total de 486 839 500 €, un montant fortement tiré par deux amendes exceptionnelles.

Toutes les entreprises doivent-elles tenir un registre des traitements ? Oui. Le registre des activités de traitement (article 30 du RGPD) concerne tous les organismes, publics comme privés, quelle que soit leur taille, dès qu’ils traitent des données personnelles. Les entreprises de moins de 250 salariés bénéficient d’une dérogation partielle : elles n’inscrivent que les traitements non occasionnels, ceux susceptibles de comporter un risque pour les droits des personnes, et ceux portant sur des données sensibles.

Quand faut-il nommer un DPO (délégué à la protection des données) ? La désignation d’un DPO est obligatoire (article 37 du RGPD) pour les autorités et organismes publics, ainsi que pour les organismes dont l’activité de base implique un suivi régulier et systématique des personnes à grande échelle, ou le traitement à grande échelle de données sensibles. En dehors de ces cas, elle reste fortement recommandée mais facultative.

Dans quel délai faut-il notifier une violation de données à la CNIL ? Dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance (article 33 du RGPD). Au-delà, vous devez justifier le retard. Si la violation présente un risque élevé pour les droits et libertés des personnes, vous devez aussi en informer les personnes concernées (article 34).

Puis-je entraîner une IA avec des données personnelles ? Sous conditions. La CNIL a publié des recommandations précisant que l’application du RGPD au développement de systèmes d’IA suppose une finalité bien définie dès la conception, une base légale valable (souvent l’intérêt légitime, sous réserve d’un test de mise en balance) et le respect de la minimisation. Le cadre évolue : vérifiez les recommandations CNIL en vigueur avant tout projet.

Sources officielles

EUR-Lex — RGPD (règlement (UE) 2016/679), Légifrance — loi n° 78-17 « Informatique et Libertés », CNIL — texte du RGPD, CNIL — bilan des sanctions 2025. Vérification des références : juin 2026.

Article informatif, à relire et compléter par un professionnel du droit ou un expert RGPD avant mise en œuvre. TinyTerms ne garantit pas la conformité à votre situation.