Logo Stéphane Ulmer Conseil

Stéphane Ulmer Conseil

Votre bouclier contre les risques RGPD

Contactez-nous LinkedIn ↗
Réservez un appel →
Stéphane Ulmer Conseil » Actualités » conformité» Comment se mettre en conformité RGPD en 2026
DPO externe,conformité RGPD 2026,mise en conformité RGPD,sanctions CNIL,registre des traitements

Temps de lecture :

8–12 minutes

Le RGPD est en vigueur depuis 2018, mais une grande majorité des organisations françaises ne sont toujours pas pleinement conformes. Et la CNIL ne recule plus : en 2025, elle a rendu 259 décisions, dont 83 sanctions pour un montant total de 486 839 500 euros d’amendes. Elle a également prononcé 143 mises en demeure et 31 rappels aux obligations légales.

Ces chiffres méritent d’être lus avec nuance : deux amendes majeures prononcées pour des manquements aux règles sur les cookies — respectivement 325 millions et 150 millions d’euros contre deux acteurs d’envergure — représentent à elles seules l’essentiel du montant total. Mais les 67 sanctions prononcées dans le cadre de la procédure simplifiée — plus rapide, ciblant les manquements courants — concernent elles des structures de toutes tailles, y compris des TPE, des professions libérales et des petites collectivités.

Les trois principaux motifs de sanction en procédure simplifiée en 2025 ? La sécurité insuffisante des données (mots de passe trop faibles, comptes partagés), l’absence de réponse aux demandes de la CNIL, et le non-respect des droits des personnes — droit d’accès, d’effacement, d’opposition. Trois manquements simples à corriger, mais qui ont chacun abouti à 14 décisions de sanction.

Si vous gérez une municipalité, un établissement de santé ou un site e-commerce, la question n’est plus “dois-je me conformer au RGPD ?” mais “comment le faire avant d’être dans le viseur ?”

Dans cet article, je vous présente les 8 points essentiels pour démarrer votre mise en conformité RGPD, basés sur mon expérience de consultant RGPD et DPO externe.

💡 Guide RGPD Gratuit

Pour aller plus loin, j’ai créé un guide RGPD gratuit de 10 pages avec des exemples concrets pour chaque secteur, des templates prêts à l’emploi et une checklist d’auto-évaluation en 18 points.

📥 Télécharger le guide complet →

1. Le Registre des Traitements : Votre Document Central RGPD

Le registre des traitements est le premier document que la CNIL demandera en cas de contrôle. C’est un inventaire exhaustif de tous les traitements de données personnelles que vous effectuez.

Que doit contenir votre registre ?

Pour chaque traitement, vous devez documenter :

  • La finalité : Pourquoi collectez-vous ces données ?
  • Les catégories de données : Nom, email, adresse, numéro de sécurité sociale, etc.
  • Les personnes concernées : Clients, employés, citoyens, patients
  • Les destinataires : Qui a accès à ces données (internes et externes)
  • Les durées de conservation : Combien de temps gardez-vous les données
  • Les mesures de sécurité : Comment protégez-vous ces données

Exemple concret pour une municipalité

Traitement : Gestion des demandes d’état civil

  • Finalité : Délivrance d’actes de naissance, mariage, décès
  • Données : Nom, prénom, date et lieu de naissance, filiation
  • Personnes concernées : Citoyens de la commune et demandeurs
  • Destinataires : Service état civil uniquement
  • Durée : 75 ans (conformément au code du patrimoine)
  • Sécurité : Accès restreint par identifiant/mot de passe, sauvegarde quotidienne, armoires fermées à clé

Comment démarrer sans se noyer ?

Ne cherchez pas la perfection immédiatement. Commencez par lister vos 5 à 10 principaux traitements. Vous pourrez compléter progressivement.

Les traitements prioritaires à documenter :

  • Gestion RH (employés)
  • Relation clients/usagers
  • Newsletter et marketing
  • Vidéosurveillance (si applicable)
  • Comptabilité et facturation

2. La Désignation du DPO : Obligatoire ou Optionnel ?

Le DPO (Délégué à la Protection des Données) est le chef d’orchestre de votre conformité RGPD.

Qui DOIT obligatoirement désigner un DPO ?

  • Toutes les municipalités (quelle que soit leur taille)
  • Tous les établissements de santé (hôpitaux, cliniques, EHPAD, cabinets médicaux)
  • Les organismes publics (sauf juridictions)
  • Les entreprises dont l’activité principale implique un traitement à grande échelle de données sensibles

DPO interne ou DPO externe mutualisé ?

DPO interne :

  • Coût : Salaire complet (35 000€ – 55 000€/an)
  • Avantage : Connaissance intime de l’organisation
  • Inconvénient : Risque de conflit d’intérêts si autres fonctions

DPO externe mutualisé :

  • Coût : 500€ – 2 000€/mois selon le volume
  • Avantage : Expertise immédiate, pas de formation nécessaire, vision externe
  • Inconvénient : Moins disponible au quotidien

Pour une petite municipalité (< 10 000 habitants) ou une PME, le DPO externe mutualisé est généralement plus pertinent.

3. La Politique de Confidentialité : Votre Vitrine RGPD

Votre politique de confidentialité est le document visible de votre conformité. Elle doit être accessible en un clic depuis toutes les pages de votre site web.

Les 8 mentions obligatoires

  1. Identité du responsable de traitement (nom, adresse, contact)
  2. Coordonnées du DPO (si vous en avez un)
  3. Finalités des traitements (pourquoi vous collectez des données)
  4. Base légale de chaque traitement (consentement, contrat, obligation légale, etc.)
  5. Destinataires des données (qui a accès aux données)
  6. Durée de conservation
  7. Droits des personnes (accès, rectification, effacement, etc.)
  8. Droit d’introduire une réclamation auprès de la CNIL

Erreur courante à éviter

❌ “Nous collectons vos données pour améliorer nos services” → Trop vague, non conforme

✅ “Nous collectons votre nom et email pour vous envoyer notre newsletter mensuelle (base légale : consentement) et pour gérer votre compte utilisateur (base légale : exécution du contrat)” → Clair et conforme

Où publier votre politique de confidentialité ?

  • Footer de votre site web (lien visible sur toutes les pages)
  • Avant chaque formulaire de contact
  • Dans vos emails (lien en bas de signature)
  • Dans vos contrats et devis

💡 Besoin d’un modèle ?

Mon guide RGPD gratuit contient un modèle de politique de confidentialité personnalisable pour votre secteur d’activité.

Télécharger le guide avec le modèle →

4. Le Consentement Valide : Les 4 Critères Incontournables

Le consentement est la base légale la plus utilisée… et la plus mal comprise. Un consentement RGPD doit respecter 4 critères stricts :

Les 4 critères cumulatifs

  1. Libre : La personne peut refuser sans conséquence négative
  2. Spécifique : Un consentement par finalité (pas de consentement “global”)
  3. Éclairé : La personne sait à quoi elle consent (qui, quoi, pourquoi)
  4. Univoque : Action positive claire (case à cocher, bouton “J’accepte”)

Ce qui est INTERDIT

❌ Case pré-cochée (le consentement doit être actif)
❌ Consentement obligatoire pour accéder au service (sauf si nécessaire au service)
❌ Mur de cookies (“acceptez ou partez”)
❌ Formulaire unique pour plusieurs finalités sans choix granulaire

Exemple de formulation conforme

❌ Mauvais :
“J’accepte les conditions générales et la politique de confidentialité”

✅ Bon :
☐ “J’accepte de recevoir la newsletter mensuelle (optionnel)”
☐ “J’accepte que mes données soient utilisées pour améliorer les services (optionnel)”

5. Les Cookies : Le Casse-Tête de 2026

Depuis les recommandations de la CNIL de 2020 (renforcées en 2024), la gestion des cookies est devenue ultra-stricte.

Quels cookies nécessitent un consentement ?

Nécessitent un consentement (bannière obligatoire) :

  • Cookies publicitaires (Google Ads, Facebook Pixel)
  • Cookies de tracking (Google Analytics, Matomo avec tracking complet)
  • Cookies réseaux sociaux (boutons Like, partage)
  • Cookies de mesure d’audience non anonymisés

Ne nécessitent PAS de consentement :

  • Cookies techniques (panier e-commerce, connexion)
  • Matomo configuré en mode anonymisé
  • Cookies de sécurité (protection CSRF)

Google Analytics est-il conforme en 2026 ?

Non, pas par défaut. Google Analytics 4 transfère des données aux États-Unis, ce qui pose problème depuis l’arrêt Schrems II.

Solutions conformes :

  1. Matomo auto-hébergé en mode anonymisé (recommandé)
  2. Google Analytics 4 avec consentement explicite + anonymisation IP
  3. Plausible Analytics (alternative privacy-friendly)

6. La Sécurité des Données : Les Mesures Minimales

Protéger les données personnelles n’est pas optionnel. Voici les mesures de sécurité minimales à mettre en place :

Mesures techniques

  • Mots de passe robustes : Au moins 12 caractères, avec chiffres, lettres, symboles
  • Chiffrement : HTTPS obligatoire sur tout le site web
  • Sauvegardes régulières : Quotidiennes avec conservation 30 jours minimum
  • Antivirus à jour : Sur tous les postes
  • Firewall activé : Protection réseau

Mesures organisationnelles

  • Gestion des accès : Chaque personne a uniquement accès aux données nécessaires
  • Journalisation : Traçabilité des accès (qui a consulté quoi et quand)
  • Sensibilisation : Formation annuelle du personnel au RGPD
  • Procédure violation de données : Savoir quoi faire en cas de fuite de données

En cas de violation de données (data breach)

Vous avez 72 heures pour notifier la CNIL si la violation présente un risque pour les personnes. Préparez une procédure à l’avance !

7. Les Droits des Personnes : Comment Répondre aux Demandes

Le RGPD donne 8 droits aux personnes concernées. Vous devez pouvoir y répondre dans un délai d’1 mois maximum.

Les 8 droits RGPD

  1. Droit d’accès : La personne peut demander une copie de ses données
  2. Droit de rectification : Corriger des données inexactes
  3. Droit à l’effacement (“droit à l’oubli”) : Supprimer les données
  4. Droit à la limitation : Geler temporairement le traitement
  5. Droit à la portabilité : Récupérer ses données dans un format lisible
  6. Droit d’opposition : S’opposer à un traitement (ex: prospection)
  7. Droit de ne pas faire l’objet d’une décision automatisée
  8. Droit de définir des directives post-mortem

Comment gérer les demandes d’exercice de droits ?

  1. Vérifiez l’identité du demandeur (copie pièce d’identité)
  2. Accusez réception immédiatement
  3. Traitez la demande dans le mois
  4. Documentez toutes les demandes (registre des demandes)

8. Les Contrats avec Vos Sous-Traitants

Si vous faites appel à des prestataires qui traitent des données personnelles pour votre compte (hébergeur, solution emailing, CRM, etc.), vous devez signer un contrat de sous-traitance (DPA – Data Processing Agreement).

Que doit contenir un DPA ?

  • L’objet et la durée du traitement
  • La nature et la finalité du traitement
  • Les catégories de données traitées
  • Les obligations et droits du responsable de traitement
  • Les mesures de sécurité mises en œuvre par le sous-traitant
  • L’assistance du sous-traitant en cas de violation de données
  • Les conditions de restitution/destruction des données en fin de contrat

Sous-traitants courants nécessitant un DPA

  • Hébergeur web (OVH, Infomaniak, AWS, etc.)
  • Solution emailing (Sendinblue, Mailchimp, etc.)
  • CRM (Salesforce, HubSpot, etc.)
  • Solution de paiement (Stripe, PayPal, etc.)
  • Outils marketing (Google Analytics, Facebook, etc.)

La bonne nouvelle : La plupart des gros prestataires proposent des DPA standardisés que vous pouvez signer en ligne.

FAQ : Vos Questions sur la Conformité RGPD

Combien de temps faut-il pour se mettre en conformité RGPD ?

Pour une PME ou une petite municipalité, comptez 3 à 6 mois pour une mise en conformité de base couvrant les points essentiels. Les plus grandes organisations peuvent nécessiter 12 à 18 mois pour une conformité complète.

L’important est de démarrer rapidement plutôt que de viser la perfection immédiate.

Quel est le coût d’une mise en conformité RGPD ?

Le budget varie considérablement selon la taille et la complexité :

  • Petite structure (< 50 personnes) : 5 000€ – 15 000€
  • PME (50-250 personnes) : 15 000€ – 50 000€
  • Grande organisation : 50 000€ – 200 000€+

Ce budget inclut généralement :

  • Audit initial (1 500€ – 5 000€)
  • DPO externe (6 000€ – 24 000€/an)
  • Outils de conformité (cookies, registre, etc.)
  • Formation du personnel

Que risque-t-on en cas de non-conformité ?

Les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

En pratique, pour les PME et municipalités, les amendes prononcées en 2024 ont varié de 10 000€ à 100 000€, avec une moyenne autour de 35 000€.

Au-delà de l’amende, les mises en demeure de la CNIL sont publiées sur leur site web, ce qui peut gravement nuire à votre réputation.

Puis-je me mettre en conformité RGPD seul, sans consultant ?

Oui, c’est possible pour les petites structures avec des traitements simples. Cependant, faire appel à un expert présente plusieurs avantages :

  • Gain de temps considérable (évite les erreurs)
  • Sécurité juridique (conformité validée par un professionnel)
  • Accompagnement en cas de contrôle CNIL
  • Formation de vos équipes

Un DPO externe mutualisé est souvent le meilleur compromis qualité/prix pour les structures de moins de 100 personnes.

Conclusion : Vos 3 Premières Actions pour Démarrer

La conformité RGPD peut sembler une montagne, mais en suivant une approche structurée, toute organisation peut y parvenir sans se ruiner.

Vos 3 actions prioritaires dès maintenant :

  1. Créez votre registre des traitements (même incomplet avec 5 traitements pour commencer)
  2. Rédigez une politique de confidentialité et publiez-la dans le footer de votre site
  3. Installez un gestionnaire de consentement pour vos cookies (si applicable)

Ces trois actions vous mettent déjà sur la bonne voie et démontrent votre bonne foi en cas de contrôle CNIL.

Le guide RGPD complet et gratuit

Pour vous accompagner dans votre mise en conformité, j’ai créé un guide RGPD gratuit de 10 pages qui détaille chacun de ces 8 points essentiels avec :

Des exemples concrets pour municipalités, hôpitaux et sites e-commerce
Une checklist d’auto-évaluation en 18 points
Des modèles de documents prêts à l’emploi (registre, politique de confidentialité)
Les erreurs courantes à éviter absolument

📥 Téléchargez le Guide RGPD Gratuit

10 pages | 8 points essentiels | Checklist incluse | Templates prêts à l’emploi

Télécharger le guide complet →

Besoin d’un accompagnement personnalisé ?

En tant que consultant RGPD et DPO externe, j’accompagne les municipalités, établissements de santé et entreprises dans leur mise en conformité depuis 2018.

Services proposés :

  • Audit RGPD complet
  • DPO externe mutualisé
  • Formation de vos équipes
  • Accompagnement contrôle CNIL

Profitez d’un audit gratuit de 30 minutes pour faire le point sur votre situation et identifier vos priorités.

Réserver mon audit gratuit →

Chiffres issus du bilan des sanctions 2025 de la CNIL — cnil.fr