Qualité & Conformité

RGPD en 2026 : checklist pour mettre votre entreprise à jour

· 5 min de lecture

Le Règlement Général sur la Protection des Données est entré en application le 25 mai 2018. Huit ans plus tard, beaucoup d’entreprises se sont mises en conformité au lancement… et n’ont rien actualisé depuis. C’est risqué : la CNIL a multiplié les contrôles et les sanctions, et le paysage technologique a totalement changé. Voici la checklist complète pour 2026.

Pourquoi un audit RGPD maintenant ?

Trois raisons rendent l’audit 2026 indispensable :

  • L’IA générative introduit de nouveaux traitements (envoyer des données personnelles à ChatGPT = traitement RGPD)
  • Le télétravail a démultiplié les outils SaaS et les flux de données hors entreprise
  • La CNIL durcit son contrôle : amendes record en 2024-2025, focus sur les cookies, sur les sous-traitants, sur l’IA

Une mise en conformité initiale en 2018 sans actualisation est probablement caduque sur 50 % des points.

Chiffres clés

  • 340 sanctions CNIL en 2024 pour un total de 89 M€ d’amendes
  • 67 % des contrôles concernent les cookies et trackers
  • 1 amende sur 4 est liée à une absence de réponse aux droits des personnes dans les délais

Registre des traitements à jour

Le registre des traitements est l’épine dorsale de la conformité. Avez-vous ajouté :

  • Les nouveaux traitements liés au télétravail (VPN, monitoring d’activité, accès distants) ?
  • L’IA générative (prompts contenant des données personnelles, transcription d’appels par IA) ?
  • Les outils collaboratifs (Slack, Teams, Notion, Asana, Trello) ?
  • Le marketing automation (CRM, scoring, segmentation comportementale) ?
  • Les chatbots et assistants sur votre site web ?

Le registre doit vivre. Une bonne pratique : revue trimestrielle avec une fiche par traitement.

Politique de confidentialité actualisée

Votre politique de confidentialité reflète-t-elle la réalité de vos traitements en 2026 ? Les attendus :

  • Mentions explicites sur l’usage éventuel d’IA
  • Finalités précises, pas génériques (« améliorer notre service » ne suffit plus)
  • Durées de conservation chiffrées (3 ans, 5 ans, etc.)
  • Base légale claire pour chaque finalité (consentement, intérêt légitime, obligation légale, exécution contractuelle)
  • Coordonnées du DPO ou référent données

Cookies et trackers

Le bandeau cookies est le point de contrôle CNIL le plus fréquent. Les règles 2026 :

  • Refus aussi simple que l’acceptation (même nombre de clics)
  • Pas de cases pré-cochées
  • Pas de « dark patterns » (boutons cachés, refus minoritaire)
  • Distinction claire entre cookies essentiels et cookies optionnels
  • Tracking conditionné au consentement préalable (pas de tag firing avant le clic)

Sous-traitants et clauses contractuelles

Chaque prestataire qui traite vos données doit signer un contrat de sous-traitance RGPD (DPA). Vérifications :

  • Liste exhaustive des sous-traitants à jour (incluant les sous-sous-traitants en cascade)
  • DPA signé pour chacun
  • Vérification des transferts hors UE (clauses contractuelles types, BCR, ou décision d’adéquation)
  • Attention particulière aux SaaS américains et asiatiques
  • Auditer périodiquement les pratiques des principaux sous-traitants

Droits des personnes

Avez-vous une procédure formalisée pour répondre aux demandes :

  • D’accès aux données personnelles
  • De rectification
  • De suppression (droit à l’oubli)
  • De portabilité (récupération des données dans un format structuré)
  • D’opposition et de limitation du traitement

Délai légal : un mois. Au-delà, c’est sanctionnable. Une procédure documentée et un canal dédié (DPO@… ou rgpd@…) sont essentiels.

« Le RGPD n’est pas qu’une formalité juridique. C’est devenu un critère de choix pour les clients et un facteur de différenciation. Les entreprises qui le négligent perdent des appels d’offres ; celles qui en font un standard de qualité gagnent en crédibilité. »

Sécurité et notifications

Plan de continuité, chiffrement, gestion des accès… La sécurité technique fait partie intégrante du RGPD. Points clés :

  • Chiffrement des données sensibles (au repos et en transit)
  • Gestion fine des accès (principe du moindre privilège)
  • Authentification multi-facteur (MFA) pour les comptes administrateurs
  • Sauvegardes régulières et testées
  • Procédure de notification : 72 heures pour notifier la CNIL en cas de violation, et notification aux personnes si risque élevé

Cas spécifique : l’IA générative

L’usage de l’IA générative crée des nouveaux risques RGPD. Bonnes pratiques :

  • Charte d’usage interdisant l’envoi de données personnelles à ChatGPT public
  • Privilégier les versions entreprise (Copilot, ChatGPT Enterprise) avec garanties contractuelles
  • Documentation des prompts utilisant des données personnelles
  • Évaluation d’impact (AIPD/DPIA) pour les usages massifs

À retenir

  • La conformité RGPD ne se décrète pas une fois pour toutes — c’est un processus vivant
  • Les contrôles CNIL ciblent en priorité cookies, sous-traitants, et droits des personnes
  • L’IA générative crée de nouveaux traitements à documenter et à encadrer
  • 72 heures pour notifier la CNIL en cas de violation

HM Formation propose un parcours « RGPD pour managers » (7 heures) et un parcours DPO complet (35 heures). Programmes disponibles en intra et inter, présentiel et visio synchrone. Voir le catalogue.

FAQ : vos questions sur le RGPD

Le RGPD s’applique-t-il aux TPE ?

Oui, dès lors que vous traitez des données personnelles (clients, salariés, prospects). Le registre des traitements est obligatoire pour toute organisation, sauf exceptions très limitées (moins de 250 personnes ET traitement non régulier ET non sensible).

Faut-il obligatoirement nommer un DPO ?

Obligatoire pour les administrations, les organismes traitant des données sensibles à grande échelle, et certaines activités à risque. Recommandé pour beaucoup d’autres. À défaut, un référent données interne suffit.

Combien coûte une mise en conformité RGPD ?

Très variable. Pour une PME de 50 personnes sans DPO interne, compter 5 000 à 15 000 € pour un accompagnement complet la première année, puis 2 000 à 5 000 € de suivi annuel.

Que faire en cas de violation de données ?

72 heures pour notifier la CNIL via le téléservice dédié. Si le risque pour les personnes est élevé, les notifier également. Documenter l’incident, les mesures correctives, les leçons apprises.

L’IA et le RGPD sont-ils compatibles ?

Oui, à condition de respecter les principes (finalité, minimisation, transparence, sécurité). Une AIPD est souvent nécessaire pour les usages massifs. Les versions entreprise des outils IA offrent les garanties contractuelles requises.

Pour aller plus loin : demander un programme RGPD adapté, ou lire nos autres articles qualité & conformité.

Articles similaires