Retour au blog
RGPDRGPD5 mai 20269 min de lecture

RGPD pour TPE et PME en 2026 : ce que la CNIL contrôle vraiment (et comment éviter l'amende)

par Tony Bonnay · fondateur Velvyno

Mis à jour le 13 mai 2026

En 2024, la CNIL a reçu 17 772 plaintes — un record absolu, en hausse de 8 % sur un an (rapport annuel 2024 de la CNIL). Sur les 87 sanctions prononcées la même année, près de 8 sur 10 visaient des TPE et PME (bilan sanctions 2024). Et le rythme s'accélère : le nombre de sanctions a plus que doublé entre 2023 et 2024 (42 → 87, soit +107 %).

L'idée que « la CNIL ne s'occupe que des grandes entreprises » est officiellement morte. Avec 69 sanctions sur 87 prononcées par procédure simplifiée en 2024 (trois fois plus qu'en 2023), la CNIL a industrialisé la sanction des structures de moins de 250 salariés. Plafond de cette procédure : 20 000 € (LIL 78-17 art. 22-1).

Cet article s'adresse aux dirigeants de TPE et PME (5 à 50 salariés). Pas aux freelances solos — pour eux, on a déjà publié un guide RGPD spécifique aux auto-entrepreneurs. Ici, on traite ce qui change quand vous avez des salariés à payer, des sous-traitants à encadrer, et de la vidéosurveillance dans vos locaux.

Sommaire

Vous êtes concerné, et la CNIL le sait maintenant

« On est trop petits pour intéresser la CNIL. » C'est la phrase de Sarah Bonnefoy, 38 ans, dirigeante d'une boulangerie-pâtisserie à Bordeaux : 8 salariés, 580 000 € de CA, une carte de fidélité avec 1 200 clients, 4 caméras de surveillance dans la boutique et l'atelier. Sarah pense être sous le radar. C'est exactement le profil que la CNIL cible désormais en priorité.

Les chiffres officiels du rapport annuel 2024 de la CNIL sont sans ambiguïté :

  • 5 629 violations de données notifiées en 2024 (+20 % vs 2023)
  • 180 mises en demeure prononcées
  • 321 contrôles effectués
  • Le commerce concentre 19 % des plaintes (2ᵉ secteur après les télécoms)

Et la France compte aujourd'hui 174 614 TPE et PME hors microentreprises (INSEE — Les entreprises en France) qui emploient 4,3 millions de salariés et réalisent 23 % de la valeur ajoutée nationale. La CNIL ne peut plus se permettre d'ignorer ce vivier — et elle ne le fait plus.

Le RGPD (Règlement UE 2016/679 entré en application le 25 mai 2018) s'applique à toute structure qui traite des données personnelles, sans seuil minimum. Pour Sarah, ça veut dire : son fichier carte de fidélité (noms, dates de naissance, historique d'achats), ses bulletins de paie (8 salariés), ses enregistrements vidéo, son site vitrine avec formulaire de contact, sa newsletter, son CRM fournisseurs. Six traitements distincts à documenter — pas un.

Les 6 obligations qui changent vraiment quand vous avez des salariés

Avoir des salariés multiplie par 3 ou 4 le nombre de traitements de données dans votre entreprise. Voici ce qui change concrètement par rapport à un solo.

1. Le registre des traitements devient obligatoire (sans débat)

L'article 30 du RGPD prévoit une exemption pour les structures de moins de 250 salariés — sauf si le traitement n'est pas occasionnel. Or les fiches de paie, les contrats clients, le fichier fidélité, la vidéosurveillance permanente : tout cela est par nature non-occasionnel. Conclusion : pour 99 % des PME, le registre est obligatoire. La CNIL est parfaitement claire sur ce point dans son guide pratique du registre.

Pour Sarah, cela signifie au minimum 6 fiches de registre :

  • Gestion clientèle / carte fidélité
  • Gestion RH (contrats, paie, formation)
  • Vidéosurveillance
  • Site web et formulaire contact
  • Prospection commerciale (newsletter)
  • Sous-traitants et fournisseurs

2. La paie déclenche des durées de conservation strictes

Vous devez conserver les bulletins de paie pendant 5 ans minimum (article L.3243-4 du Code du travail) — pas 50 ans comme on lit parfois (confusion avec les organismes de retraite). Les contrats de travail, eux, suivent la prescription du Code civil de 5 ans. Le NIR (numéro de sécurité sociale) ne peut être utilisé que dans des cas strictement encadrés (décret 2019-341) — typiquement la paie et la déclaration sociale nominative.

3. La vidéosurveillance est un traitement à part entière

Quatre caméras dans la boutique de Sarah = quatre traitements à déclarer. La recommandation CNIL sur la vidéosurveillance au travail impose : information préalable des salariés et des clients (panneaux visibles), consultation du CSE si vous en avez un, conservation maximale 30 jours sauf incident, accès limité aux personnes habilitées, et inscription au registre des traitements. Filmer en permanence un poste de travail est interdit (sauf circonstances exceptionnelles documentées).

4. Sécuriser les données devient mesurable

L'article 32 du RGPD impose des mesures « proportionnées au risque ». Pour une PME comme celle de Sarah, le minimum vital :

  • Mots de passe robustes (12+ caractères, MFA pour les comptes admin)
  • Chiffrement des sauvegardes contenant des données de paie
  • Pare-feu actif sur le réseau de la boutique
  • Antivirus sur tous les postes
  • Procédure documentée en cas de perte/vol d'un appareil pro
  • Sensibilisation annuelle des salariés (1h suffit, traçabilité indispensable)

5. Répondre aux droits dans le mois

Un client qui demande copie de ses données, un ancien salarié qui veut être effacé d'un fichier prospect : vous avez un mois pour répondre (RGPD art. 12.3), prolongeable de 2 mois pour les cas complexes avec justification. Les droits couverts : accès (art. 15), rectification (art. 16), effacement (art. 17), portabilité (art. 20), opposition (art. 21), retrait du consentement.

Ne pas répondre aux droits des personnes figure parmi les manquements les plus fréquemment sanctionnés en procédure simplifiée — détaillé dans le bilan sanctions 2024 de la CNIL.

6. Notifier les violations sous 72h

Article 33 du RGPD : toute violation susceptible d'engendrer un risque pour les personnes (vol d'ordinateur portable, intrusion système, perte d'une clé USB pro avec fichiers clients, ransomware) doit être notifiée à la CNIL dans les 72 heures. Si le risque est élevé, vous devez aussi informer les personnes concernées (art. 34). En 2024, la CNIL a reçu 5 629 notifications de violations — soit en moyenne 15 par jour.

Pour Sarah : si l'ordinateur de la caisse est volé pendant un cambriolage et qu'il contient le fichier fidélité (1 200 contacts), elle a 72h chrono pour notifier la CNIL via le téléservice de notification.

Vos sous-traitants, la zone de risque la plus oubliée

C'est le sujet où les PME tombent le plus systématiquement. L'article 28 du RGPD impose de signer un contrat écrit (DPA — Data Processing Agreement) avec chaque sous-traitant qui traite des données personnelles pour votre compte.

Pour la boulangerie de Sarah, cela vise potentiellement :

  • Le logiciel de paie (PayFit, Silae, Cegid) — traite les données salariés
  • La caisse enregistreuse connectée — stocke les données de fidélité
  • L'éditeur de la newsletter (Mailchimp, Sendinblue) — héberge les emails
  • Le prestataire de vidéosurveillance — stocke les enregistrements
  • L'hébergeur du site web — héberge le formulaire de contact
  • Le cabinet comptable externe — traite paie + factures clients
  • L'éditeur du site de commande en ligne (si applicable)

Sept sous-traitants potentiels, sept DPA à signer. Bonne nouvelle : la plupart proposent un DPA pré-rédigé téléchargeable depuis leur back-office. Mauvaise nouvelle : si vous ne le signez pas, la responsabilité retombe sur vous en cas de fuite chez le sous-traitant. Et la CNIL vérifie systématiquement la présence de DPA lors de ses contrôles.

À vérifier dans chaque DPA : localisation des données (UE de préférence), sous-traitants ultérieurs (sous-sous-traitants), durée de conservation, procédure en cas de violation, garanties de sécurité. La fiche pratique CNIL sur les sous-traitants donne un modèle de clauses minimum.

DPO obligatoire ou pas : le vrai critère

Vous avez probablement entendu « il faut un DPO à partir de 250 salariés ». C'est faux. L'article 37 du RGPD ne fixe aucun seuil de salariés. La désignation d'un DPO devient obligatoire si :

  • Votre activité principale consiste en un suivi régulier et systématique de personnes à grande échelle (plateforme de scoring, prestataire de surveillance, etc.)
  • Vous traitez à grande échelle des données sensibles (santé, opinions politiques, données biométriques) ou relatives à des condamnations pénales

Pour la boulangerie de Sarah : DPO non obligatoire. Pour un cabinet médical de 12 salariés : obligatoire, car traitement à grande échelle de données de santé. Pour une agence d'intérim de 30 salariés qui gère des fichiers candidats : probable, car suivi systématique.

Le bon réflexe pour toute PME : désigner un référent RGPD interne (souvent le dirigeant ou le RAF), même sans obligation. Cela structure les responsabilités et démontre votre démarche de conformité en cas de contrôle. Vous pouvez par ailleurs consulter la liste publique des organismes ayant désigné un DPO sur data.gouv.fr pour vous comparer à votre secteur.

Les sanctions concrètes pour une PME comme la vôtre

Oubliez le plafond théorique de 20 millions d'euros ou 4 % du CA mondial (RGPD art. 83) — réservé aux grandes entreprises. Pour une PME, le scénario réaliste, c'est la procédure simplifiée.

Créée par le décret 2022-517 et codifiée à l'article 22-1 de la loi Informatique et Libertés, elle permet à la CNIL d'infliger une amende jusqu'à 20 000 € sans audience publique, sur dossier, par décision du président de la formation restreinte. Elle vise précisément les manquements « simples mais répétés » des structures de petite taille.

Chiffres officiels du bilan 2024 de la CNIL :

  • 69 sanctions par procédure simplifiée en 2024 (×3 vs 2023)
  • Top 3 des manquements : sécurité insuffisante des données, absence de coopération avec la CNIL, non-respect des droits des personnes
  • 180 mises en demeure (étape qui précède souvent la sanction)

Pour Sarah si elle accumule 3 manquements (registre absent + DPA fournisseurs non signés + politique de confidentialité incomplète sur le site) : amende fourchette réaliste 3 000 à 8 000 € en procédure simplifiée. À cela s'ajoute le coût caché : 2 à 3 jours de gestion, mise en demeure publique sur le site de la CNIL (préjudice réputationnel), obligation de régulariser sous 1 à 3 mois.

L'amende est rarement le coût principal. Le vrai coût, c'est le temps : 2 jours pour préparer la réponse au contrôle, 3 jours pour régulariser, plus les honoraires d'un avocat ou d'un consultant (1 500 à 4 000 € selon le périmètre). Pour Sarah, ça représente une semaine de marge brute consacrée à éteindre l'incendie au lieu de servir des clients.

Le scénario "je verrai au prochain contrôle"

Reprenons Sarah, et déroulons ce qui se passe si elle ignore le sujet.

Mars 2026. Une cliente demande la suppression de son compte fidélité. Sarah, débordée, ne répond pas. La cliente envoie un mail de relance. Sarah l'oublie. Trois semaines plus tard, plainte à la CNIL via le téléservice public. En 2024, la CNIL a reçu 17 772 plaintes de ce type — la sienne entre dans la file.

Septembre 2026. Courrier officiel de la CNIL : demande d'observations dans un délai d'un mois. Sarah doit fournir son registre des traitements, sa politique de confidentialité, ses DPA fournisseurs, sa procédure de réponse aux droits. Elle n'a rien de tout cela. Panique. Elle appelle son comptable, qui ne peut pas l'aider — ce n'est pas son métier. Elle paye un consultant en urgence : 2 800 € HT pour préparer le dossier en 10 jours.

Janvier 2027. Mise en demeure publique. La décision est publiée sur le site de la CNIL avec le nom de la boulangerie. Le bouche-à-oreille local fait son œuvre : un journal régional reprend l'info. Trois clientes mentionnent l'article sur la page Google de la boutique. Note Google passe de 4,7 à 4,3 en 6 semaines.

Avril 2027. La CNIL constate que Sarah n'a régularisé que la moitié des points. Sanction simplifiée : 4 500 € d'amende + obligation de régulariser sous 2 mois. Coût total de l'épisode pour Sarah : 4 500 € amende + 2 800 € consultant + 1 500 € impact réputationnel estimé = 8 800 €, soit environ 1,5 % de son CA annuel.

Le coût réel d'une posture « la CNIL ne s'occupera jamais d'une boulangerie », ce n'est pas l'amende. C'est le temps perdu en mode pompier quand vous auriez pu consacrer 1 jour par trimestre à la conformité de manière calme et préventive.

Au-delà du RGPD : AI Act et facture-é à anticiper

Le RGPD n'est pas une obligation isolée. Pour une PME comme celle de Sarah, trois réglementations convergent en 2026-2027 :

  • RGPD — obligations détaillées dans cet article. Contrôles renforcés, 8 sanctions sur 10 visent les TPE/PME.
  • Facture électronique — réception obligatoire pour toutes les entreprises au 1ᵉʳ septembre 2026, émission au 1ᵉʳ septembre 2027 pour les TPE/PME. Détails dans notre guide facture électronique TPE/PME.
  • AI Act (Règlement UE 2024/1689) — entrée en application progressive, obligations de transparence à partir du 2 août 2026. Si vous utilisez un chatbot IA pour répondre aux clients, ou un outil de génération automatique de descriptions produits, vous êtes concerné. Notre guide AI Act pour TPE et PME détaille ce qui s'applique aux structures < 50 salariés. Et si vous utilisez un système haut risque (recrutement, scoring, biométrie), le Digital Omnibus de mai 2026 a reporté certaines obligations à décembre 2027 — voir nos 5 décisions stratégiques face à ce report.

Ces trois obligations se traitent mieux en parallèle que séparément. Si vous voulez voir où vous en êtes sur les trois en 2 minutes et 6 questions, le diagnostic gratuit Velvyno couvre RGPD, AI Act et facture électronique en un seul parcours, sans inscription requise.

Checklist : 7 actions à faire avant septembre 2026

Voici la séquence concrète, datée, à exécuter dans l'ordre pour une PME de 5 à 50 salariés.

1. Avant fin mai 2026 — Inventorier vos traitements. Listez sur une feuille tous les fichiers contenant des données personnelles : clients, salariés, fournisseurs, prospects, vidéo, site web. Pour Sarah : 6 traitements identifiés en 1h.

2. Juin 2026 — Rédiger le registre des traitements. Une fiche par traitement, suivant le modèle CNIL ou un outil dédié. Compter 4 à 8 heures pour une première version.

3. Juin 2026 — Lister vos sous-traitants et collecter les DPA. Téléchargez le DPA de chacun depuis leur back-office (PayFit, Mailchimp, Stripe, etc.). Pour Sarah : 7 DPA à archiver dans un dossier dédié.

4. Juillet 2026 — Mettre à jour votre politique de confidentialité et vos mentions légales. Sur votre site web, formulaire de contact, newsletter. Vérifiez que toutes les finalités sont mentionnées.

5. Juillet 2026 — Vérifier votre vidéosurveillance. Panneaux d'information visibles à l'entrée de la boutique et de l'atelier, durée de conservation max 30 jours, accès limité, inscription au registre.

6. Août 2026 — Sensibiliser vos salariés. 1h de formation sur les bons réflexes : mots de passe, phishing, perte d'appareil, droits des personnes. Émargement signé à conserver.

7. Septembre 2026 — Désigner un référent RGPD interne et préparer une procédure « violation 72h ». Qui contacte la CNIL ? Qui informe les personnes ? Procédure d'1 page, suffisante pour démarrer.

Pour Sarah qui suit cette checklist : 3 jours répartis sur 4 mois, coût total estimé 300 à 800 € (essentiellement temps interne + éventuellement 1 demi-journée de consultant pour valider le tout). À comparer aux 8 800 € du scénario non-conformité ci-dessus.

Questions fréquentes

Mon entreprise a 8 salariés, ai-je vraiment besoin d'un registre des traitements ?

Oui. L'exemption de l'article 30 du RGPD pour les structures de moins de 250 salariés ne s'applique qu'aux traitements occasionnels ne portant pas sur des données sensibles. Or la gestion de la paie, le fichier client ou la vidéosurveillance sont par nature non-occasionnels (réguliers, permanents). En pratique, 99 % des PME ont un registre obligatoire. La CNIL en demande systématiquement la copie lors d'un contrôle.

Faut-il signer un DPA avec mon expert-comptable ?

Oui, c'est même un cas d'école. Votre expert-comptable traite vos données salariés et clients pour votre compte : c'est un sous-traitant au sens de l'article 28 du RGPD. Demandez-lui son DPA — la plupart des cabinets en ont un standard depuis 2018. S'il refuse ou ne sait pas de quoi vous parlez, c'est un signal : changez de cabinet ou faites pression pour obtenir l'engagement écrit.

À partir de combien de salariés dois-je désigner un DPO ?

Le seuil n'est pas en nombre de salariés, contrairement à une idée reçue. L'article 37 du RGPD impose la désignation d'un DPO si votre activité principale consiste à suivre régulièrement et systématiquement des personnes à grande échelle, ou à traiter à grande échelle des données sensibles. Une PME de 30 salariés dans le BTP : pas de DPO obligatoire. Un cabinet médical de 5 personnes : DPO obligatoire. Un référent RGPD interne reste recommandé pour toutes les PME.

Combien de temps dois-je conserver les bulletins de paie ?

5 ans minimum pour l'employeur (article L.3243-4 du Code du travail). Les salariés, eux, sont invités à les conserver toute leur vie pour leur retraite — mais ce n'est pas votre obligation à vous. Ne confondez pas les deux. Au-delà de 5 ans, vous pouvez archiver dans une base distincte à accès restreint si vous en avez besoin pour des contentieux prud'homaux (prescription 5 ans), puis purger.

Que faire si je détecte un vol d'ordinateur portable contenant des données clients ?

Trois actions parallèles dans les 72 heures. (1) Notifier la CNIL via le téléservice de notification en décrivant l'incident, les données concernées, et les mesures correctrices. (2) Si le risque pour les personnes est élevé (données sensibles, mots de passe en clair, données bancaires), informer directement les personnes concernées par email. (3) Documenter en interne : date, contexte, données impactées, actions menées. Cette documentation devient votre meilleure défense en cas de contrôle ultérieur. Ne pas notifier = sanction quasi-systématique en cas de découverte par la CNIL.

Conclusion

Pour une PME de 5 à 50 salariés, le RGPD n'est plus un risque théorique : c'est désormais la cible prioritaire de la CNIL, qui a plus que doublé le nombre de sanctions prononcées en un an et industrialisé sa procédure simplifiée. À 17 772 plaintes annuelles et 8 sanctions sur 10 visant les TPE/PME, l'argument « on est trop petits » ne fonctionne plus.

La bonne nouvelle : la mise en conformité d'une PME se fait en 3 jours répartis sur 4 mois, pour un coût marginal. La mauvaise : si vous attendez le premier courrier CNIL pour vous y mettre, le coût est multiplié par 10 à 30, sans compter l'impact réputationnel.

Pour aller plus loin sur les obligations qui convergent en 2026-2027, on a déjà couvert le RGPD pour auto-entrepreneurs, l'AI Act pour TPE et PME et la facture électronique TPE/PME en détail dans le blog. Lisez ce qui vous concerne, dans l'ordre que vous voulez.

À lire aussi

Tous les articles