Mise en conformité RGPD 2026 : étapes clés, obligations et documents indispensables pour être compliant

Qui est concerné par la conformité RGPD et dans quelles situations ?

Le Règlement Général sur la Protection des Données (RGPD) s'applique à tout organisme qui collecte et manipule des données à caractère personnel, quelle que soit sa taille ou son statut juridique. Cette obligation concerne ainsi les sociétés commerciales, les sites web, les associations et les sous-traitants dès lors qu'ils traitent des informations permettant d'identifier directement ou indirectement une personne physique.

Situations d'application concrètes :

• Un auto-entrepreneur en informatique qui stocke les coordonnées de ses clients
• Une PME qui gère un fichier de prospects commerciaux
• Un site e-commerce collectant nom, prénom et adresse de livraison
• Une association enregistrant les données de ses adhérents
• Un sous-traitant manipulant des données pour le compte d'un client

Le seuil d'application est particulièrement bas : dès qu'un site vitrine collecte des données personnelles, même limitées à un nom et un prénom via un formulaire de contact, l'obligation de conformité RGPD s'impose. Aucun volume minimal de données n'est requis pour déclencher l'application du règlement.

Depuis janvier 2026, la directive NIS2 élargit considérablement le champ des entités soumises à des obligations renforcées. Les PME de plus de 50 salariés, réalisant plus de 10 millions d'euros de chiffre d'affaires et exerçant dans l'un des 18 secteurs critiques (santé, énergie, transport, finance, numérique notamment) doivent désormais respecter des exigences accrues en matière de cybersécurité et de protection des données. En 2026, 78% des entreprises européennes ont revu leur gouvernance cyber en conséquence.

Situations exclues : seules les personnes physiques agissant dans un cadre strictement personnel et domestique échappent au RGPD. Dès qu'une activité professionnelle, même occasionnelle, implique un traitement de données, la réglementation s'applique.

SWIM LEGAL accompagne les entreprises dans l'audit de leur périmètre d'application RGPD et la définition des obligations spécifiques selon leur secteur et leur taille. La plateforme permet d'accéder rapidement à des avocats spécialisés en protection des données pour sécuriser votre conformité.

Objectifs de la conformité RGPD et risques en cas de manquement

La mise en conformité RGPD vise trois objectifs stratégiques pour l'entreprise : garantir les droits fondamentaux des personnes concernées, sécuriser juridiquement l'activité et préserver la réputation de l'organisation.

Objectifs opérationnels :

• Documenter l'ensemble des traitements de données personnelles
• Démontrer la licéité et la proportionnalité de chaque collecte
• Mettre en place des mesures techniques et organisationnelles adaptées aux risques
• Garantir l'exercice effectif des droits des personnes (accès, rectification, suppression, portabilité)
• Prévenir les violations de données et organiser la réponse en cas d'incident

Les enjeux financiers sont considérables. Les sanctions administratives peuvent atteindre 10 à 20 millions d'euros ou 2 à 4% du chiffre d'affaires annuel mondial, selon la nature de la violation. En 2025, la CNIL a prononcé des amendes dépassant 90 millions d'euros contre des entreprises françaises pour défaut de consentement, absence de registre des traitements ou mesures de sécurité insuffisantes.

Au-delà des sanctions pécuniaires, la non-conformité expose l'entreprise à des risques juridiques multiples : actions en responsabilité civile des personnes concernées, suspension temporaire des traitements, interdiction définitive de certaines opérations, atteinte à l'image et perte de confiance des clients et partenaires.

Depuis janvier 2026, la directive NIS2 introduit une responsabilité personnelle directe des dirigeants en cas d'incident cyber non déclaré ou de défaillance manifeste dans la gouvernance de la sécurité. Les sanctions peuvent atteindre 2% du chiffre d'affaires pour un incident non signalé dans les 24 heures.

La conformité constitue également un avantage concurrentiel : elle rassure les clients, facilite les relations commerciales avec les grands comptes exigeant des garanties contractuelles, et permet de valoriser l'engagement de l'entreprise en matière de protection des données.

Prérequis et informations nécessaires avant d'engager la démarche

Avant d'initier un projet de mise en conformité RGPD, l'entreprise doit rassembler plusieurs éléments structurants et prendre des décisions organisationnelles préalables.

Prérequis organisationnels :

• Désigner un pilote de la conformité (DPO interne, externe ou responsable conformité)
• Obtenir l'engagement formel de la direction générale
• Identifier les responsables métiers détenant des fichiers de données personnelles
• Cartographier les applications et systèmes d'information manipulant des données
• Recenser les prestataires et sous-traitants ayant accès aux données

Informations à collecter en amont :

• Liste exhaustive des traitements de données personnelles existants (RH, commercial, marketing, comptabilité, sécurité)
• Finalités précises de chaque collecte de données
• Catégories de données traitées (identité, coordonnées, données sensibles, données de connexion)
• Durées de conservation appliquées ou envisagées
• Mesures de sécurité déjà en place (contrôles d'accès, chiffrement, sauvegardes, journalisation)
• Contrats en cours avec les sous-traitants manipulant des données
• Historique des incidents de sécurité ou violations de données

Décisions préalables à prendre :

• Opportunité de désigner un Délégué à la Protection des Données (obligatoire pour les autorités publiques, les organismes effectuant un suivi régulier et systématique à grande échelle, ou traitant à grande échelle des données sensibles)
• Budget alloué au projet de conformité (formation, outils, conseil juridique, solutions techniques)
• Calendrier de mise en conformité et jalons intermédiaires
• Périmètre du projet (entité juridique unique ou groupe)

L'absence de ces prérequis rallonge significativement les délais de mise en conformité et expose l'entreprise à des incohérences documentaires. La cartographie préalable des traitements constitue le socle indispensable de toute démarche structurée.

Les avocats spécialisés en protection des données référencés sur SWIM LEGAL accompagnent les entreprises dans cette phase de diagnostic préalable et la définition du périmètre du projet de conformité.

Démarche opérationnelle en 6 étapes pour atteindre la conformité

La CNIL recommande une méthodologie structurée en six étapes pour garantir une conformité RGPD effective et documentée.

Étape 1 : Désigner un pilote de la conformité

La première action consiste à identifier un responsable ou une fonction RGPD au sein de l'organisation. Ce pilote peut être un Délégué à la Protection des Données (DPO), un responsable conformité interne ou un juriste dédié.

Actions concrètes :

• Formaliser la nomination par écrit avec définition du périmètre de responsabilité
• Communiquer les coordonnées du pilote à la CNIL si un DPO est désigné
• Allouer les moyens nécessaires (temps, budget, accès aux informations)
• Définir les modalités de reporting à la direction

Le pilote coordonne l'ensemble du projet, assure la cohérence des actions et garantit la documentation des mesures prises.

Étape 2 : Cartographier tous les traitements de données personnelles

Cette étape vise à identifier et documenter l'intégralité des traitements de données personnelles réalisés par l'organisation.

Questions structurantes :

• Quelles données sont collectées et pour quelles finalités ?
• Comment sont-elles enregistrées et stockées ?
• Qui y a accès en interne et en externe ?
• Combien de temps sont-elles conservées ?
• Peut-on communiquer ces données à des tiers ?

Livrables :

• Registre détaillé des traitements mentionnant pour chacun : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité, transferts hors UE éventuels
• Cartographie des flux de données entre services et avec les sous-traitants

Cette cartographie constitue le socle du registre des activités de traitement, document central de la conformité.

Étape 3 : Prioriser les actions selon les risques identifiés

Tous les traitements ne présentent pas le même niveau de risque pour les droits des personnes. Cette étape consiste à évaluer chaque traitement et définir les priorités d'intervention.

Critères de priorisation :

• Volume de données traitées
• Sensibilité des données (données de santé, données biométriques, données judiciaires)
• Nombre de personnes concernées
• Risques en cas de violation (discrimination, usurpation d'identité, préjudice financier)
• Ancienneté du traitement et niveau de sécurité actuel

Livrables :

• Roadmap de conformité hiérarchisant les chantiers
• Plan d'action avec responsables et échéances

Les traitements à risque élevé doivent faire l'objet d'une Analyse d'Impact relative à la Protection des Données (AIPD) avant leur mise en œuvre.

Étape 4 : Réaliser des analyses d'impact pour les traitements à risque élevé

L'AIPD (ou DPIA en anglais) est obligatoire pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes.

Critères déclenchant une AIPD :

• Évaluation systématique et approfondie d'aspects personnels (profilage, scoring)
• Traitement à grande échelle de données sensibles
• Surveillance systématique à grande échelle d'une zone accessible au public
• Croisement de données issues de sources multiples

Contenu de l'AIPD :

• Description détaillée du traitement et de ses finalités
• Évaluation de la nécessité et de la proportionnalité
• Identification des risques pour les personnes concernées
• Mesures d'atténuation envisagées
• Validation par le DPO le cas échéant

En cas de risque résiduel élevé malgré les mesures prévues, une consultation préalable de la CNIL est obligatoire avant la mise en œuvre du traitement.

Étape 5 : Organiser les processus opérationnels de gestion des données

La conformité ne se limite pas à la documentation : elle exige la mise en place de procédures opérationnelles garantissant le respect continu des obligations.

Processus à formaliser :

• Gestion des demandes d'exercice des droits (accès, rectification, suppression, portabilité, opposition)
• Procédure de notification des violations de données à la CNIL (dans les 72 heures) et aux personnes concernées si nécessaire
• Processus de révision périodique des durées de conservation et suppression effective des données obsolètes
• Modalités de contrôle des sous-traitants et audit de leurs pratiques
• Formation continue des collaborateurs manipulant des données personnelles

Livrables :

• Procédures écrites et diffusées aux équipes concernées
• Registre des demandes d'exercice des droits
• Registre des violations de données

Ces processus doivent être testés régulièrement pour vérifier leur effectivité.

Étape 6 : Documenter la conformité de manière continue

Le principe d'accountability (responsabilité démontrée) impose de conserver la preuve de toutes les mesures prises pour garantir la conformité.

Éléments de documentation :

• Politiques et procédures internes
• Registre des traitements actualisé
• AIPD réalisées
• Comptes-rendus de gouvernance (comités de pilotage, revues de conformité)
• Preuves de formation des dirigeants et collaborateurs
• Rapports d'audit interne et résultats de tests d'intrusion
• Évaluations des fournisseurs et sous-traitants
• Registre des violations de données et mesures correctives

Cette documentation doit être accessible et actualisée en continu. Elle constitue la preuve de la conformité en cas de contrôle de la CNIL ou de réclamation d'une personne concernée.

SWIM LEGAL met en relation les entreprises avec des avocats spécialisés en protection des données pour structurer cette démarche, rédiger les documents obligatoires et former les équipes internes.

Obligations légales et points de vigilance juridique

La conformité RGPD repose sur plusieurs obligations légales précises, dont le non-respect expose l'entreprise à des sanctions.

Principe de licéité : identifier une base légale pour chaque traitement

Tout traitement de données personnelles doit reposer sur l'une des six bases légales prévues par l'article 6 du RGPD :

• Consentement explicite de la personne concernée
• Exécution d'un contrat
• Respect d'une obligation légale
• Sauvegarde des intérêts vitaux de la personne
• Mission d'intérêt public
• Intérêt légitime du responsable de traitement

Point de vigilance : le consentement doit être libre, spécifique, éclairé et univoque. Il ne peut être présumé et doit résulter d'une action positive (case à cocher non pré-cochée, clic sur un bouton d'acceptation). Le silence ou l'inaction ne valent pas consentement.

Principe de minimisation : collecter uniquement les données nécessaires

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités poursuivies.

Erreur fréquente : collecter systématiquement des informations "au cas où" sans finalité précise. Cette pratique est illicite et expose l'entreprise à des sanctions.

Principe d'exactitude : maintenir les données à jour

Les données traitées doivent être exactes et actualisées. Des processus de révision périodique et de correction doivent être mis en place.

Point de vigilance : en cas de contestation par une personne de l'exactitude de ses données, le responsable de traitement doit suspendre le traitement le temps de vérifier l'information.

Principe de limitation de la conservation : définir des durées précises

Les données ne peuvent être conservées indéfiniment. Des durées de conservation doivent être définies pour chaque catégorie de données en fonction de la finalité du traitement et des obligations légales.

Durées de référence :

• Données de prospection commerciale : 3 ans à compter du dernier contact
• Dossier du personnel : 5 ans après le départ du salarié (sauf documents comptables conservés 10 ans)
• Données de facturation : durée légale de conservation comptable (10 ans)

Erreur fréquente : conserver les données "par précaution" sans durée définie. Cette pratique viole le RGPD et doit être corrigée par la mise en place d'un processus d'archivage et de suppression automatisé.

Principe de sécurité : mettre en œuvre des mesures techniques et organisationnelles

L'article 32 du RGPD impose des mesures de sécurité pour assurer l'intégrité et la confidentialité des données. Ces mesures doivent être adaptées aux risques identifiés.

Mesures techniques minimales :

• Contrôles d'accès et gestion des habilitations
• Chiffrement des données sensibles
• Sauvegardes régulières et testées
• Journalisation des accès et des modifications
• Protection contre les intrusions et les malwares

Mesures organisationnelles :

• Politique de sécurité des systèmes d'information
• Clauses de confidentialité dans les contrats de travail
• Sensibilisation et formation des collaborateurs
• Procédure de gestion des incidents

Point de vigilance NIS2 : depuis janvier 2026, les entreprises soumises à la directive NIS2 doivent mettre en place un système de management de la sécurité de l'information documenté, réaliser des tests d'intrusion réguliers et notifier tout incident significatif dans les 24 heures.

Principe d'accountability : démontrer la conformité en permanence

Le responsable de traitement doit être en mesure de démontrer à tout moment qu'il respecte le RGPD. Cette obligation impose une documentation continue et actualisée.

Erreur fréquente : considérer la conformité comme un projet ponctuel. La conformité RGPD est un processus continu nécessitant des revues régulières, des mises à jour documentaires et une veille juridique permanente.

Transferts de données hors Union européenne : garantir un niveau de protection adéquat

Tout transfert de données personnelles vers un pays situé hors de l'Union européenne doit être encadré par des garanties appropriées (décision d'adéquation de la Commission européenne, clauses contractuelles types, règles d'entreprise contraignantes).

Point de vigilance : l'utilisation de services cloud américains (hébergement, CRM, outils marketing) constitue un transfert de données nécessitant des garanties contractuelles spécifiques. L'absence de ces garanties expose l'entreprise à des sanctions.

Checklist de conformité et livrables documentaires obligatoires

La mise en conformité RGPD se concrétise par la production de documents obligatoires et la réalisation d'actions vérifiables.

Documents obligatoires à produire

1. Politique de confidentialité (mentions d'information)

Statut : OBLIGATOIRE pour tout organisme collectant des données personnelles (article 13 du RGPD).

Contenu minimum :

• Identité et coordonnées du responsable de traitement
• Coordonnées du DPO si désigné
• Finalités précises de chaque collecte
• Base légale de chaque traitement (consentement, contrat, intérêt légitime, obligation légale)
• Catégories de destinataires des données
• Durées de conservation ou critères de détermination
• Droits des personnes (accès, rectification, suppression, portabilité, opposition, limitation)
• Droit de réclamation auprès de la CNIL
• Caractère obligatoire ou facultatif de la collecte
• Conséquences d'un défaut de fourniture des données

Critères de validité : concision, clarté, accessibilité (langage compréhensible, pas de jargon juridique).

2. Registre des activités de traitement

Statut : OBLIGATOIRE pour toutes les entreprises (sauf exceptions limitées pour les structures de moins de 250 salariés ne traitant pas de données sensibles de manière régulière).

Contenu pour chaque traitement :

• Nom et coordonnées du responsable de traitement
• Finalités du traitement
• Catégories de personnes concernées
• Catégories de données traitées
• Catégories de destinataires
• Transferts hors UE le cas échéant
• Délais de conservation
• Description des mesures de sécurité techniques et organisationnelles

Format : tableau structuré, actualisé en continu.

3. Analyse d'Impact relative à la Protection des Données (AIPD)

Statut : OBLIGATOIRE pour les traitements à risque élevé.

Contenu :

• Description systématique du traitement et de ses finalités
• Évaluation de la nécessité et de la proportionnalité
• Appréciation des risques pour les droits et libertés des personnes
• Mesures envisagées pour faire face aux risques
• Avis du DPO si désigné

4. Contrats de sous-traitance

Statut : OBLIGATOIRE pour tout recours à un prestataire manipulant des données personnelles pour le compte de l'entreprise.

Clauses obligatoires :

• Objet, durée, nature et finalité du traitement
• Type de données et catégories de personnes concernées
• Obligations du sous-traitant (traiter les données uniquement sur instruction, garantir la confidentialité, assister le responsable de traitement)
• Mesures de sécurité mises en œuvre
• Conditions de sous-traitance ultérieure
• Sort des données en fin de contrat (restitution ou destruction)

5. Dossier du personnel (contexte RH)

Statut : OBLIGATOIRE pour tout employeur.

Contenu autorisé :

• CV, lettres de motivation, diplômes
• Contrat de travail et avenants
• Dossier disciplinaire
• Attestations de formation
• Absences, arrêts maladie, congés payés
• Comptes rendus d'entretiens professionnels

Règles d'accès : le salarié peut demander une copie gratuite de son dossier. L'employeur dispose d'un délai d'un mois pour répondre (prolongeable de deux mois en cas de complexité). Les documents doivent être anonymisés pour ne pas porter atteinte aux droits des tiers.

Actions de conformité à réaliser

Checklist opérationnelle :

☐ Désigner un pilote de la conformité (DPO ou responsable interne)
☐ Cartographier l'ensemble des traitements de données personnelles
☐ Rédiger et publier la politique de confidentialité sur le site web et dans les conditions générales
☐ Constituer et actualiser le registre des traitements
☐ Identifier les traitements à risque élevé nécessitant une AIPD
☐ Réaliser les AIPD pour les traitements concernés
☐ Réviser tous les contrats de sous-traitance pour y intégrer les clauses RGPD
☐ Définir les durées de conservation pour chaque catégorie de données
☐ Mettre en place un processus de suppression automatique des données obsolètes
☐ Implémenter les mesures de sécurité techniques (contrôles d'accès, chiffrement, sauvegardes, journalisation)
☐ Rédiger les procédures de gestion des demandes d'exercice des droits
☐ Rédiger la procédure de notification des violations de données
☐ Former les collaborateurs manipulant des données personnelles
☐ Sensibiliser la direction générale aux enjeux de conformité
☐ Tester les processus de réponse aux demandes et aux incidents
☐ Planifier des audits de conformité périodiques
☐ Mettre en place une veille juridique sur les évolutions réglementaires

Preuves de conformité à conserver

• Registre des demandes d'exercice des droits avec date de réception et de réponse
• Registre des violations de données avec description de l'incident, mesures prises et notification éventuelle
• Comptes-rendus de formation des collaborateurs
• Rapports d'audit interne et externe
• Résultats de tests d'intrusion et audits de sécurité
• Évaluations des sous-traitants
• Procès-verbaux des comités de pilotage conformité

Ces preuves doivent être accessibles immédiatement en cas de contrôle de la CNIL ou de réclamation d'une personne concernée.

SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.

FAQ

La conformité RGPD est-elle obligatoire pour une TPE sans site web ?
Oui, dès lors que l'entreprise collecte des données personnelles, même sur support papier (fichier clients, dossiers du personnel). Le RGPD s'applique indépendamment du support utilisé et de la taille de l'entreprise.

Quelle est la durée maximale de conservation des données clients ?
Il n'existe pas de durée unique. La durée dépend de la finalité du traitement et des obligations légales. Pour la prospection commerciale, la CNIL recommande 3 ans à compter du dernier contact. Pour les données comptables, la durée légale est de 10 ans.

Un sous-traitant peut-il être sanctionné directement par la CNIL ?
Oui, le RGPD prévoit des sanctions directes contre les sous-traitants en cas de manquement à leurs obligations. Le sous-traitant engage sa responsabilité propre s'il ne respecte pas les instructions du responsable de traitement ou s'il ne met pas en œuvre les mesures de sécurité appropriées.

Comment prouver le consentement des personnes en cas de contrôle ?
Le responsable de traitement doit conserver la preuve du consentement : horodatage, contenu de l'information fournie au moment du recueil, modalités de recueil (case à cocher, double opt-in). Cette preuve doit être accessible et opposable en cas de contestation.

Quelles sont les sanctions en cas de violation de données non déclarée ?
Le défaut de notification d'une violation de données à la CNIL dans les 72 heures peut entraîner une amende administrative pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Depuis janvier 2026, la directive NIS2 ajoute des sanctions spécifiques pouvant atteindre 2% du chiffre d'affaires pour les entités concernées.