🔄 Mise à jour 2026 : Article entièrement refondu avec les nouvelles exigences CNIL 2025-2026, l'intégration AI Act, les sanctions records et une checklist opérationnelle complète.
Depuis le 25 mai 2018, la loi RGPD s'impose à toute organisation traitant des données personnelles de résidents européens. Pourtant, selon les derniers contrôles de la CNIL, seulement 34 % des entreprises déclarant être conformes le sont réellement. En 2025, la CNIL a réalisé 1 247 contrôles (+15 % vs 2024) et prononcé des sanctions record — dont 325 millions d'euros contre Google en septembre 2025.
Ce guide ne revient pas sur la définition du RGPD ni sur ses principes abstraits (vous trouverez cela dans notre guide complet sur le RGPD). Il va droit au but : les 7 règles concrètes et opérationnelles que toute organisation doit mettre en place pour être conforme à la loi RGPD en 2026.
Qu'est-ce que la loi RGPD impose concrètement ?
Le Règlement Général sur la Protection des Données (règlement UE n° 2016/679) est une loi européenne directement applicable dans tous les États membres. Contrairement à une directive, il n'a pas besoin d'être transposé en droit national : il s'impose directement.
Ce que beaucoup d'entreprises ignorent encore, c'est que la loi RGPD ne se contente pas d'énoncer des principes. Elle impose des obligations précises, documentées et vérifiables. La CNIL peut à tout moment demander à voir votre registre des traitements, vos contrats de sous-traitance, vos procédures internes ou vos logs d'incidents. Ne pas pouvoir les fournir est en soi une infraction.
En 2026, cette tendance s'accentue : la CNIL parle désormais de « preuve continue de conformité ». Il ne s'agit plus d'avoir été conforme à un instant T, mais de démontrer une conformité active, documentée et maintenue dans le temps.
Qui est soumis à la loi RGPD ?
La loi RGPD s'applique à toute organisation établie sur le territoire de l'UE ou ciblant des personnes situées dans l'UE, quel que soit son statut (entreprise, association, administration, indépendant...). Il n'y a pas de seuil de taille d'entreprise. Les freelances et micro-entrepreneurs sont également concernés dès lors qu'ils traitent des données personnelles de clients ou prospects.
Règle n°1 : Identifier chaque traitement et lui attribuer une base légale
C'est le fondement de tout le reste. Un traitement, c'est toute opération effectuée sur des données personnelles : collecte, enregistrement, conservation, utilisation, communication, effacement... La loi RGPD impose que chaque traitement repose sur l'une des 6 bases légales prévues à l'article 6 :
- Le consentement : accord explicite, libre, éclairé et révocable. À utiliser pour la prospection BtoC, les newsletters, certains cookies.
- L'exécution d'un contrat : pour la gestion des commandes clients, la facturation, la livraison.
- L'obligation légale : pour la conservation des bulletins de paie, la déclaration TVA.
- La sauvegarde des intérêts vitaux : rarement applicable (urgences médicales).
- La mission d'intérêt public : principalement pour les organismes publics.
- L'intérêt légitime : pour la prospection BtoB, l'amélioration des services, la prévention de la fraude. Doit être documenté et justifié au cas par cas.
⚠️ Erreur fréquente : utiliser le consentement pour tout. Le consentement peut être retiré à tout moment. Si vous pouvez justifier un intérêt légitime ou une obligation contractuelle, c'est souvent plus solide.
Règle n°2 : Tenir un registre des activités de traitement
L'article 30 du RGPD impose un registre des activités de traitement : c'est l'un des premiers documents que la CNIL demande lors d'un contrôle. Toute organisation de plus de 250 salariés doit en tenir un complet. En dessous, l'obligation s'applique également si les traitements comportent un risque pour les droits des personnes, ne sont pas occasionnels, ou portent sur des données sensibles. En pratique, la quasi-totalité des entreprises est concernée.
Le registre doit préciser pour chaque traitement : finalités, catégories de personnes et de données concernées, destinataires, transferts hors UE, durées de conservation, et mesures de sécurité. Il doit être maintenu à jour en permanence.
Règle n°3 : Informer les personnes concernées
Conformément aux articles 13 et 14 du RGPD, toute personne dont vous collectez les données doit être informée au moment de la collecte : identité du responsable, finalités et base légale, durées de conservation, droits exercés, droit de réclamation auprès de la CNIL. En pratique : politique de confidentialité sur votre site, mentions sur chaque formulaire, clause dans vos contrats, notice d'information pour les employés.
⚠️ L'erreur classique : une politique de confidentialité générique copiée-collée, vague sur les finalités réelles et sans durées de conservation. La CNIL sanctionne ce type de pratique.
Règle n°4 : Respecter les droits des personnes
La loi RGPD accorde 8 droits aux individus qu'ils peuvent exercer à tout moment :
- Droit d'accès (art. 15) : obtenir une copie des données détenues. Délai de réponse : 1 mois.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement / droit à l'oubli (art. 17) : suppression des données dans certaines conditions.
- Droit à la limitation du traitement (art. 18) : gel du traitement pendant une vérification.
- Droit à la portabilité (art. 20) : récupération des données dans un format structuré.
- Droit d'opposition (art. 21) : en cas d'opposition à la prospection commerciale, vous devez cesser immédiatement.
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22) : pour le profilage à effets juridiques significatifs.
- Droit d'introduire une réclamation auprès de la CNIL.
Mettez en place : un canal dédié (rgpd@votreentreprise.fr), un responsable interne des demandes, un processus documenté avec traçabilité.
Règle n°5 : Sécuriser les données personnelles
L'article 32 du RGPD impose des mesures techniques et organisationnelles adaptées au risque. En 2026, la CNIL a renforcé ses exigences.
Mesures techniques : chiffrement des données au repos et en transit, pseudonymisation des données, authentification forte (MFA), principe du moindre privilège, journalisation des accès, sauvegardes régulières et testées.
Mesures organisationnelles : politique de sécurité (PSSI), sensibilisation des collaborateurs, procédure de gestion des incidents, clauses de confidentialité dans les contrats.
🆕 Nouveautés 2026 : la CNIL demande désormais des journaux d'accès plus précis, une authentification forte généralisée et des politiques de destruction des données documentées.
Le DPO est obligatoire pour les autorités publiques, les organisations effectuant un suivi régulier et systématique à grande échelle, et celles traitant à grande échelle des données sensibles. Il peut être interne ou externe.
Règle n°6 : Encadrer contractuellement vos sous-traitants
Si vous confiez des données personnelles à un prestataire (hébergeur cloud, SaaS, agence marketing, comptable...), l'article 28 impose de signer un DPA (Data Processing Agreement). En tant que responsable de traitement, vous restez responsable de ce que vos sous-traitants font des données. Si votre prestataire cloud subit une violation, c'est vous qui notifiez la CNIL.
Le DPA avec vos sous-traitants doit préciser : objet et durée, instructions au sous-traitant, mesures de sécurité, conditions d'approbation des sous-traitants ultérieurs, modalités de retour ou destruction des données. La plupart des grands éditeurs SaaS proposent un DPA standard dans leurs conditions d'utilisation.
Si votre prestataire stocke des données hors UE, un mécanisme de transfert adéquat doit être en place (clauses contractuelles types, EU-US Data Privacy Framework pour les prestataires américains certifiés).
Règle n°7 : Notifier les violations de données
Une violation de données, c'est tout incident entraînant destruction, perte, altération, divulgation ou accès non autorisé. Email envoyé au mauvais destinataire, vol d'ordinateur, cyberattaque, base de données exposée : tout cela est une violation au sens du RGPD.
- Notification à la CNIL (art. 33) : dans les 72 heures suivant la découverte (sauf si risque nul). Décrivez la nature, le nombre de personnes touchées, les conséquences et les mesures prises.
- Notification aux personnes (art. 34) : si risque élevé (fraude, usurpation d'identité...), notifiez directement les personnes concernées.
- Registre interne des violations : documentez toute violation, même si elle ne nécessite pas de notification externe.
Préparez-vous en amont : procédure de réponse aux incidents, responsable désigné, arbre de décision (risque faible → documentation ; risque modéré → CNIL ; risque élevé → CNIL + personnes).
Obligations spécifiques : AIPD et AI Act 2026
L'Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire pour les traitements à risque élevé : données biométriques, données de santé à grande échelle, scoring des personnes, surveillance systématique, données de mineurs ou de patients. En 2026, l'AI Act renforce cette obligation : les IA à haut risque (recrutement automatisé, scoring, reconnaissance biométrique) nécessitent une AIPD avant leur déploiement. Une documentation technique renforcée et une transparence vis-à-vis des utilisateurs sont également imposées.
Les sanctions de la loi RGPD
La loi RGPD prévoit deux niveaux de sanctions : jusqu'à 10 M€ ou 2 % du CA mondial pour les violations légères (registre non tenu, DPO non nommé...) ; jusqu'à 20 M€ ou 4 % du CA mondial pour les violations graves (traitement sans base légale, transferts illicites, violation des droits...).
Amendes récentes : Google 325 M€ (sept. 2025), LinkedIn 310 M€ (2024), Meta 91 M€ (2024). En France : 13 sanctions en 2024 (55,5 M€), dont 32 % visant des PME/TPE. Au-delà des amendes : mise en demeure, injonction de cesser un traitement, publication de la sanction, actions en responsabilité civile.
Checklist de conformité à la loi RGPD
Registre et base légale
- Registre des activités de traitement tenu et à jour
- Base légale identifiée et documentée pour chaque traitement
- Durées de conservation définies
Information et consentement
- Politique de confidentialité à jour et accessible
- Mentions d'information sur chaque formulaire de collecte
- Bannière cookies et formulaire de consentement conformes
- Clause RGPD dans les contrats clients
Droits des personnes
- Canal dédié (email ou formulaire) opérationnel
- Procédure documentée et responsable désigné
- Délais de réponse (1 mois) respectés
Sécurité
- Chiffrement des données au repos et en transit
- Authentification forte (MFA) sur les accès sensibles
- Procédure de gestion des incidents formalisée
Sous-traitants
- DPA signé avec tous les prestataires accédant aux données
- Transferts hors UE couverts par un mécanisme adéquat
DPO et AIPD
- DPO nommé et déclaré à la CNIL si obligatoire
- AIPD réalisée pour les traitements à risque élevé
- Systèmes d'IA à haut risque évalués (AI Act + RGPD)
FAQ — Les questions les plus fréquentes sur la loi RGPD
La loi RGPD s'applique-t-elle aux petites entreprises et auto-entrepreneurs ?
Oui, sans exception. Il n'y a pas de seuil de taille dans la loi RGPD. Un auto-entrepreneur qui tient un fichier clients est responsable de traitement. Les obligations sont les mêmes, même si leur mise en œuvre est proportionnée à la taille de l'organisation.
Quelle est la différence entre le responsable de traitement et le sous-traitant ?
Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement (votre entreprise). Le sous-traitant traite des données pour le compte du responsable, sur ses instructions (hébergeur cloud, SaaS, agence marketing...). Le responsable porte la responsabilité principale vis-à-vis de la CNIL.
Combien de temps peut-on conserver des données personnelles ?
Il n'y a pas de durée unique : données clients (5 ans pour les obligations comptables), candidatures non retenues (2 ans max), logs de connexion (6 mois), données de prospection (3 ans à compter du dernier contact). Le principe : ne pas conserver au-delà de ce qui est nécessaire.
Que risque-t-on si l'on ne se conforme pas au RGPD ?
Des amendes jusqu'à 20 M€ ou 4 % du CA mondial, mais aussi : mise en demeure, injonction de cesser un traitement, publication de la sanction et actions en responsabilité civile des personnes lésées.
Le RGPD impose-t-il un format précis pour le registre des traitements ?
Non. La loi RGPD impose le contenu (article 30) mais pas la forme. Tableur Excel, document Word ou outil dédié : ce qui compte c'est qu'il soit complet, à jour et disponible en cas de contrôle.
Conclusion
La conformité à la loi RGPD est un processus continu qui exige une organisation structurée et une vigilance permanente. En 2026, avec le renforcement des contrôles CNIL et la convergence avec l'AI Act, les organisations qui n'ont pas pris le sujet au sérieux s'exposent à des risques croissants.
Les 7 règles présentées dans ce guide — base légale, registre, information, droits des personnes, sécurité, sous-traitants, violations — constituent le socle minimal de toute démarche de conformité. Elles ne sont pas optionnelles, elles sont légalement imposées.
Si vous souhaitez évaluer votre niveau de conformité ou découvrir le coût d'une mise en conformité RGPD, notre équipe de DPO externes est à votre disposition.
