RGPD 2026 : sanctions record et convergence avec l'IA Act
Amendes en hausse de 340 %, contrôles CNIL intensifiés sur les PME, convergence RGPD et IA Act : où en est la conformité des petites entreprises en 2026 ?
Le RGPD a huit ans. Et loin de s’essouffler, les sanctions explosent. En 2025, les amendes infligées par les autorités européennes ont bondi de 340 %. En janvier 2026, la CNIL a frappé fort : 42 millions d’euros pour Free, 5 millions pour France Travail. Le message est clair : la phase de pédagogie est terminée, celle des sanctions est bien lancée. Et les TPE/PME ne sont plus épargnées.
Les chiffres qui font réfléchir
| Indicateur | Donnée |
|---|---|
| Hausse des sanctions en 2025 | +340 % |
| Amende Free (janvier 2026) | 42 millions d’euros |
| Amende France Travail (janvier 2026) | 5 millions d’euros |
| Transfert de données non conforme | 3,5 millions d’euros |
| PME encore non conformes | 60 % |
Ce dernier chiffre est le plus préoccupant. Six PME sur dix ne respectent toujours pas les obligations de base du RGPD. Et la CNIL l’a bien compris : elle intensifie ses contrôles sur les petites structures.
Source : Startups Nation — RGPD 2026
Ce qui change en 2026
Contrôles ciblés sur les PME
La CNIL ne s’attaque plus seulement aux géants du numérique. En 2026, ses contrôles ciblent explicitement les PME et TPE, notamment sur :
- La gestion des consentements (cookies, newsletters, formulaires de contact)
- La sécurité des données (mots de passe, chiffrement, sauvegardes)
- Les durées de conservation (garder des données clients pendant 10 ans sans raison légale, c’est fini)
- La sous-traitance (qui accède à vos données ? où sont-elles hébergées ?)
Le contrôle peut être déclenché par une plainte client, un signalement, ou un contrôle aléatoire. Il n’y a plus besoin d’être une entreprise connue pour attirer l’attention de la CNIL.
Nomination de DPO élargie
Le Délégué à la Protection des Données (DPO) était jusqu’ici obligatoire principalement pour les organismes publics et les grandes entreprises traitant des données sensibles à grande échelle. En 2026, l’obligation s’étend à certaines catégories de PME, notamment celles qui :
- Traitent des données de santé
- Gèrent des fichiers clients volumineux (plus de 10 000 contacts)
- Utilisent du profilage ou de la prise de décision automatisée
Si votre PME entre dans l’une de ces catégories, vous devez nommer un DPO — interne ou externe.
Convergence RGPD + IA Act
C’est la nouveauté majeure de 2026. L’IA Act européen entre progressivement en application, et il croise directement le RGPD. Si vous utilisez des outils d’intelligence artificielle qui traitent des données personnelles (chatbot sur votre site, outil de scoring client, reconnaissance d’image), vous devez désormais respecter les deux réglementations simultanément.
Concrètement, cela signifie :
- Transparence : informer les personnes quand elles interagissent avec une IA
- Documentation : tenir un registre des systèmes d’IA utilisés, en plus du registre des traitements RGPD
- Évaluation d’impact : réaliser une analyse de risque pour les IA qui traitent des données sensibles
Source : Axens Audit — RGPD 2026
Les erreurs les plus fréquentes chez les TPE/PME
Après quarante ans à observer les entreprises se faire piéger par la réglementation, je peux vous dire que les erreurs RGPD sont toujours les mêmes :
Pas de registre des traitements. C’est l’obligation numéro un et la plus négligée. Vous devez lister tous les traitements de données personnelles que vous effectuez : fichier clients, fichier fournisseurs, paie, vidéosurveillance, site web. Ce n’est pas un document de 200 pages — pour une TPE, ça tient en 2 ou 3 pages.
Des données conservées indéfiniment. Vous avez un fichier client qui contient des contacts de 2015 qui n’ont plus acheté depuis 7 ans ? Vous êtes en infraction. Les données doivent être supprimées ou anonymisées quand elles ne sont plus nécessaires.
Un site web non conforme. Bandeau cookies absent ou mal configuré, politique de confidentialité périmée ou absente, formulaire de contact sans information sur l’utilisation des données : c’est le premier endroit que la CNIL regarde.
Des sous-traitants non encadrés. Si vous utilisez un CRM en cloud, un outil d’emailing, un logiciel de comptabilité en ligne, vous transférez des données personnelles à un sous-traitant. Vous devez avoir un contrat de sous-traitance RGPD avec chacun d’eux.
Source : Provigis — RGPD ce qui change 2026
La checklist de conformité RGPD pour 2026
Les fondamentaux (à faire en premier)
- Rédiger ou mettre à jour votre registre des traitements
- Définir des durées de conservation pour chaque type de données
- Purger les données obsolètes (clients inactifs, anciens prospects)
- Vérifier votre bandeau cookies et votre politique de confidentialité
- Signer des contrats de sous-traitance avec vos prestataires cloud
La sécurité (non négociable)
- Mots de passe robustes et uniques pour chaque service
- Sauvegardes régulières et testées
- Chiffrement des données sensibles
- Mise à jour des logiciels et systèmes d’exploitation
- Sensibilisation des collaborateurs aux risques (phishing, ingénierie sociale)
Pour aller plus loin sur la sécurité, consultez notre guide cybersécurité pour les TPE/PME.
Si vous utilisez de l’IA
- Lister tous les outils d’IA utilisés dans l’entreprise
- Vérifier qu’ils sont conformes RGPD (localisation des données, transparence)
- Informer les utilisateurs finaux (clients, salariés) de l’utilisation d’IA
- Documenter les finalités et les risques dans votre registre
Les sanctions encourues
| Type d’infraction | Amende maximale |
|---|---|
| Manquements formels (registre, DPO) | 10 millions d’euros ou 2 % du CA |
| Manquements graves (consentement, droits des personnes, transferts) | 20 millions d’euros ou 4 % du CA |
Pour une TPE, la CNIL n’infligera évidemment pas 20 millions d’euros. Mais des amendes de 5 000 à 50 000 euros sont désormais courantes pour les petites structures. Et au-delà de l’amende, c’est la mise en demeure publique qui fait mal : votre nom affiché sur le site de la CNIL, visible par vos clients et partenaires.
Comment Aquila protège vos données
Dans un contexte où la CNIL scrute la gestion des données des PME, le choix de vos outils de gestion est une question de conformité.
Données locales, pas de cloud : Aquila stocke toutes vos données sur votre propre ordinateur. Pas de transfert vers des serveurs tiers, pas de sous-traitance cloud à encadrer, pas de risque de transfert hors UE. Pour le RGPD, c’est l’architecture la plus simple à documenter et la plus sûre.
Pas de données qui circulent : vos factures fournisseurs contiennent des données personnelles (noms, adresses, parfois des coordonnées bancaires). Avec Aquila, ces informations ne quittent jamais votre machine. Pas de contrat de sous-traitance RGPD à signer pour cet outil.
Maîtrise de la conservation : vous décidez quand supprimer vos données. Pas de politique de rétention imposée par un éditeur cloud. Vous appliquez vos propres durées de conservation, conformément à votre registre des traitements.
Pour en savoir plus sur notre approche de la sécurité : Aquila et la sécurité de vos données.
Sources
Articles connexes
Simplifiez votre gestion de factures
Aquila automatise la saisie, le classement et le rapprochement de vos factures fournisseurs.
Découvrir Aquila