Huit ans apres l'entree en vigueur du RGPD, beaucoup de PME pensent etre en conformite. La realite est souvent differente : un registre de traitement incomplet, des cookies mal geres, des sous-traitants non audites, et une procedure de notification de violation qui n'a jamais ete testee.
En 2026, la CNIL intensifie ses controles sur les PME et les amendes ne sont plus reservees aux GAFAM. Voici ce que vous devez concretement mettre en place.
Ce que la CNIL controle en priorite
La CNIL a publie son programme de controles 2026 avec trois axes prioritaires :
1. Les sous-traitants et la chaine de responsabilite
Votre hebergeur, votre outil d'emailing, votre CRM, votre comptable en ligne — tous ces prestataires traitent des donnees personnelles pour votre compte. Vous etes co-responsable de ce qu'ils en font.
Ce que vous devez avoir :- Un contrat de sous-traitance (article 28) avec chaque prestataire
- La liste a jour de vos sous-traitants et les types de donnees qu'ils traitent
- La verification que vos sous-traitants sont eux-memes conformes (localisation des serveurs, mesures de securite)
2. Le consentement cookies
Les bannieres cookies "tout accepter / personnaliser" ne suffisent plus si le bouton "refuser" est cache ou si le design pousse clairement vers l'acceptation (dark patterns).
La regle est simple :
- Refuser doit etre aussi facile qu'accepter : meme taille de bouton, meme visibilite
- Aucun cookie non essentiel ne doit etre depose avant le consentement
- Le consentement doit etre renouvele tous les 13 mois maximum
3. La notification de violation
Vous avez 72 heures pour notifier la CNIL en cas de violation de donnees. Pas 72 heures ouvrables — 72 heures tout court, week-end et jours feries compris.
La question n'est pas "si" mais "quand" une violation se produira. Avez-vous une procedure testee ? Savez-vous qui fait quoi ? Ou se trouvent vos donnees sensibles ?
Les 5 actions prioritaires pour votre PME
Action 1 : Mettre a jour votre registre de traitement
Le registre des activites de traitement (article 30) est le document fondamental. Il doit lister :
- Chaque traitement de donnees personnelles (paie, prospection, facturation...)
- Les categories de donnees traitees
- Les finalites
- Les destinataires
- Les durees de conservation
- Les mesures de securite
Action 2 : Auditer vos sous-traitants
Listez tous les outils et prestataires qui manipulent des donnees personnelles. Pour chacun :
- Ou sont heberges les serveurs ? (privilege l'UE)
- Existe-t-il un DPA (Data Processing Agreement) signe ?
- Le prestataire a-t-il une certification type ISO 27001 ou SOC 2 ?
Action 3 : Implementer le droit a la portabilite
Vos utilisateurs ont le droit de recuperer leurs donnees dans un format structure et lisible par machine (JSON, CSV). Votre application doit proposer un bouton d'export qui genere ce fichier en quelques clics.
Action 4 : Chiffrer les donnees sensibles
Le RGPD recommande fortement le chiffrement. En 2026, c'est un standard attendu :
- En transit : HTTPS obligatoire (TLS 1.3)
- Au repos : chiffrement AES-256 pour les donnees sensibles (numeros de carte, donnees de sante, identifiants)
- Les mots de passe : hashage bcrypt avec un salt d'au moins 10 rounds
Action 5 : Preparer votre procedure de notification
Redigez une fiche reflexe :
Comment nous integrons le RGPD dans nos developpements
Chez Qualitech-Conseil, la conformite RGPD n'est pas une option ajoutee apres coup — elle est integree des la conception de chaque application :
- Chiffrement AES-256-GCM sur toutes les donnees sensibles
- Export donnees : bouton d'export JSON/CSV integre a chaque application
- Audit trail : chaque action sensible est tracee (qui, quand, quoi, depuis quelle IP)
- Suppression sur demande : workflow automatise de purge des donnees personnelles
- Consentement : gestion explicite a l'inscription avec preuve horodatee