Le RGPD a 8 ans. Et pourtant, 40 % des PME françaises ne sont toujours pas en conformité selon la CNIL. Le texte européen semblait abstrait en 2018 — en 2026, c'est un arsenal de sanctions concret : 4,3 milliards d'euros d'amendes cumulées en Europe depuis l'entrée en vigueur. Si vous pensez que le RGPD ne vous concerne pas, attendez de recevoir la première demande de droit d'accès d'un de vos clients.
Le RGPD en 2026 : ce qui a changé
Le Data Act et le DMA : le nouveau cadre européen
Le RGPD n'est plus seul. Le Data Act (applicable depuis septembre 2025) et le Digital Markets Act (DMA) complètent le cadre réglementaire européen sur les données. Le Data Act organise le partage des données générées par les objets connectés. Le DMA impose des obligations aux "gatekeepers" (Google, Apple, Meta, Amazon) sur l'interopérabilité et la portabilité des données. Pour les entreprises françaises, cela signifie de nouvelles obligations de transparence et de partage de données.
Les transferts de données hors UE : le cadre stabilisé
Le Data Privacy Framework (DPF) entre l'UE et les États-Unis, adopté en 2023, continue de s'appliquer en 2026 — mais fait l'objet de recours devant la CJUE. Les transferts vers les entreprises américaines auto-certifiées sous le DPF sont légaux. Pour les autres pays tiers, les clauses contractuelles types (CCT) restent le mécanisme standard. C'est un sujet technique mais crucial pour toute entreprise utilisant des services cloud américains (AWS, Google Cloud, Microsoft Azure).
Les obligations des entreprises
| Obligation | Pour qui | En pratique |
|---|---|---|
| Registre des traitements | Toutes les entreprises > 250 salariés (et < 250 si données sensibles) | Document listant tous les traitements de données personnelles |
| DPO (Délégué à la Protection des Données) | Autorités publiques, traitements à grande échelle, données sensibles | Interne ou externalisé, indépendant |
| Analyse d'impact (AIPD) | Traitements à risque élevé | Avant le lancement du traitement, méthode CNIL |
| Notification de violation | Toutes les entreprises | 72h pour notifier la CNIL, sans délai si risque élevé pour les personnes |
| Privacy by design | Toutes les entreprises | Intégrer la protection des données dès la conception |
| Consentement explicite | Marketing, cookies, données sensibles | Opt-in clair, pas de cases pré-cochées |
Focus : les cookies en 2026
La CNIL a durci sa position sur les cookies depuis 2021, et les contrôles se poursuivent en 2026. Les règles : un bandeau de consentement clair avec un bouton "refuser" aussi visible que le bouton "accepter", pas de cookie wall (conditionner l'accès au site à l'acceptation des cookies), et une durée de validité du consentement de 13 mois maximum. Les dark patterns (interfaces trompeuses) sont sanctionnés. Les amendes récentes vont de 60 000 € pour une PME à 150 millions € pour les géants tech.
Les droits des personnes concernées
Les 8 droits fondamentaux
Droit d'accès : savoir quelles données sont collectées et comment elles sont traitées. Droit de rectification : corriger des données inexactes. Droit à l'effacement ("droit à l'oubli") : demander la suppression des données. Droit à la limitation : restreindre le traitement. Droit à la portabilité : récupérer ses données dans un format structuré. Droit d'opposition : s'opposer au traitement, notamment au profilage. Droit de ne pas faire l'objet d'une décision automatisée. Droit de retirer son consentement à tout moment.
L'entreprise a 1 mois pour répondre à une demande d'exercice de droits (prolongeable de 2 mois si la demande est complexe). Le non-respect de ce délai est une infraction en soi.
Les sanctions RGPD en 2026
Les amendes record
Les amendes RGPD sont plafonnées à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel — le montant le plus élevé. En pratique, les amendes ont considérablement augmenté :
- Meta : 1,2 milliard € (transfert illégal de données vers les USA, 2023)
- Amazon : 746 millions € (publicité ciblée sans consentement, 2021)
- Google : 150 millions € (cookies, CNIL, 2022)
- Criteo : 40 millions € (CNIL, 2023)
Les PME ne sont pas épargnées : les amendes de 5 000 à 100 000 € se multiplient pour les petites structures qui négligent les bases (pas de registre, pas de DPO quand c'est obligatoire, notification de violation tardive).
L'IA et le RGPD : le champ de bataille 2026
L'utilisation de l'IA pour le profilage, le recrutement algorithmique ou la notation de crédit est le sujet brûlant. L'AI Act européen (entré en vigueur progressivement depuis 2024) interagit avec le RGPD : les systèmes d'IA à haut risque doivent respecter le RGPD en plus des obligations spécifiques de l'AI Act. La CNIL a publié en 2025 des recommandations sur l'utilisation des données personnelles dans l'entraînement des modèles d'IA — un terrain juridique encore mouvant. Consultez notre article sur le droit d'auteur et protection des oeuvres pour les enjeux connexes.
Se mettre en conformité : les étapes pratiques
Pour une PME qui part de zéro : 1) Nommer un référent données personnelles (DPO si obligatoire). 2) Cartographier vos traitements de données. 3) Créer le registre des traitements. 4) Mettre à jour vos mentions légales et politique de confidentialité. 5) Mettre en place un processus de gestion des demandes de droits. 6) Sécuriser vos données (chiffrement, sauvegardes, contrôle d'accès). 7) Former vos équipes. Budget estimé : 5 000-15 000 € pour une PME de 50 salariés avec l'aide d'un DPO externalisé.
FAQ
Le RGPD s'applique-t-il aux auto-entrepreneurs ?
Oui. Le RGPD s'applique à tout organisme traitant des données personnelles, quelle que soit sa taille. Un auto-entrepreneur qui collecte des emails clients, tient un fichier de prospects ou utilise Google Analytics est soumis au RGPD. Les obligations sont proportionnées : un registre simplifié suffit, et le DPO n'est pas obligatoire pour les petites structures. Mais les principes fondamentaux (consentement, sécurité, droits des personnes) s'appliquent pleinement.
Que faire en cas de violation de données ?
Notifier la CNIL dans les 72 heures via le téléservice en ligne (notifications.cnil.fr). Si la violation présente un risque élevé pour les personnes concernées (données bancaires, données de santé), vous devez aussi informer directement les personnes touchées. Documentez l'incident en interne (nature de la violation, données concernées, mesures prises). Ne pas notifier une violation est une infraction distincte, sanctionnée séparément.
Mon site web est-il conforme au RGPD ?
Vérifiez ces 5 points : politique de confidentialité accessible et complète, bandeau cookies conforme (opt-in, bouton refuser visible), formulaires avec mentions d'information et case de consentement non pré-cochée, mentions légales à jour, et processus de suppression de compte/données fonctionnel. La CNIL propose un outil d'auto-évaluation gratuit sur son site. Pour les obligations plus larges des entreprises, notre article sur la conformité RGPD entre dans les détails.