Le RGPD, beaucoup de dirigeants de TPE/PME le classent encore dans la case "ça concerne les grands groupes, pas nous". C'est faux depuis le premier jour. Le texte ne fixe aucun seuil de taille : dès qu'une entreprise traite une donnée personnelle (un fichier client, une fiche de paie, un formulaire de contact sur un site, une liste de prospection), elle est responsable de traitement au sens du RGPD, qu'elle ait 2 salariés ou 2000.
Ce que change 2026, ce n'est pas le texte : il est stable depuis mai 2018. Ce qui change, c'est le niveau de contrôle. Voici les chiffres réels de la CNIL, et ce qu'un dirigeant doit poser en priorité.
Qui est concerné, concrètement
Si votre entreprise fait au moins une de ces choses, elle est concernée :
- Elle gère une fiche client, un CRM ou un fichier de prospection.
- Elle emploie du personnel (dossiers RH, paie, badgeuse, vidéosurveillance).
- Elle a un site avec un formulaire de contact, une newsletter ou des cookies de mesure d'audience.
- Elle utilise un outil d'IA (ChatGPT, Claude, un assistant CRM) sur des données concernant des personnes réelles.
Autrement dit : la quasi-totalité des TPE/PME françaises. La question n'est pas "suis-je concerné", elle est "est-ce que je sais ce que je fais de ces données".
Ce que la CNIL a réellement sanctionné en 2025
En 2025, la CNIL a rendu 259 décisions, dont 83 sanctions, pour un montant cumulé d'environ 486,8 millions d'euros. Ce chiffre donne une impression trompeuse : il est presque entièrement porté par deux dossiers, Google (325 millions d'euros) et Shein (150 millions d'euros), sur des manquements liés aux cookies. Ces deux amendes représentent à elles seules environ 475 des 487 millions d'euros.
Le chiffre qui concerne réellement une TPE/PME est ailleurs : sur les 83 sanctions de 2025, 67 sont passées par la procédure simplifiée, une procédure plus rapide, réservée aux dossiers moins complexes, plafonnée à 20 000 euros d'amende (montants typiques observés entre 3 000 et 20 000 euros). Ces décisions ne sont jamais rendues publiques, contrairement aux grosses sanctions médiatisées. C'est cette invisibilité qui entretient l'idée fausse que "seuls les géants écopent".
| Motif de sanction (2025) | Structures concernées |
|---|---|
| Cookies et traceurs déposés sans consentement | 21 |
| Vidéosurveillance excessive des salariés | 16 |
| Manquements à la sécurité des données | 14 (procédure simplifiée) |
| Non-coopération avec la CNIL lors d'un contrôle | 14 |
| Atteintes aux droits des personnes (accès, suppression, opposition) | 14 |
← Faites glisser le tableau pour voir toutes les colonnes →
Un bandeau cookies mal configuré, une caméra qui filme en continu le poste d'une salariée, ou un client qui demande la suppression de ses données et n'obtient pas de réponse : ce sont exactement les motifs qui ont fait sanctionner des dizaines de structures en 2025, pas des cas théoriques.
Les 4 actions qui couvrent l'essentiel
La CNIL elle-même structure la mise en conformité d'une TPE/PME autour de quatre actions principales. Pas besoin d'un service juridique interne pour les poser :
- Tenir un registre des traitements : la liste de ce que vous faites avec des données (paie, clients, prospection…), pourquoi, et combien de temps vous les gardez. Un tableau suffit pour démarrer.
- Désigner un référent interne, pas nécessairement un DPO. Le DPO n'est obligatoire que dans des cas particuliers : traitement à grande échelle de données sensibles, suivi systématique à grande échelle des personnes, ou organisme public. Pour la plupart des TPE/PME, un référent en interne suffit.
- Informer les personnes : mentions RGPD sur vos formulaires, votre site, vos contrats. Ce que vous collectez, pourquoi, et comment exercer ses droits.
- Permettre l'exercice des droits : accès, rectification, suppression, opposition. Avec une obligation simple à retenir : répondre dans le délai légal d'un mois.
À côté de ces quatre piliers, deux points méritent une vigilance particulière en 2026 : la conformité de votre site (bandeau cookies, traceurs qui ne se déclenchent qu'après consentement) et les clauses avec vos sous-traitants (hébergeur, CRM, outils d'emailing, outils d'IA) qui doivent être encadrées par un contrat.
Le point aveugle : l'IA et vos données
Utiliser ChatGPT, Claude ou un assistant IA sur des données concernant des personnes réelles (extraits de dossiers clients, CV, échanges avec des salariés) pose les mêmes questions RGPD qu'un logiciel classique : base légale, minimisation des données transmises, et clause de sous-traitance avec le fournisseur de l'outil. Un compte gratuit grand public et un compte professionnel/API n'offrent pas les mêmes garanties sur l'utilisation de vos données. C'est un point que je regarde systématiquement en audit, parce que c'est souvent l'angle mort numéro un des équipes qui adoptent l'IA vite, sans cadrage.
Ce qu'un dirigeant de TPE/PME doit poser en 2026
- Vérifier le site en premier : c'est la cible de contrôle la plus fréquente et la plus simple à automatiser côté CNIL. Un bandeau cookies non conforme se détecte en quelques secondes depuis l'extérieur.
- Faire l'inventaire réel des traitements, y compris les outils utilisés sans validation officielle (CRM, outils IA, extensions).
- Poser un registre simple et des mentions d'information sur les points de collecte existants.
- Sécuriser l'essentiel : accès, mots de passe, sauvegardes, et contrats à jour avec les sous-traitants qui manipulent vos données.
Le vrai enjeu n'est pas la peur d'une amende à 250 000 euros, un scénario qui concerne des structures d'une tout autre taille. C'est que la majorité des sanctions de TPE/PME, à 3 000, 10 000 ou 20 000 euros, viennent de manquements évitables en quelques heures de travail : un bandeau cookies mal réglé, un registre jamais commencé, une demande de suppression restée sans réponse.