Qu’est-ce que le RGPD et pourquoi s’applique-t-il à votre PME ou TPE ?
Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, est un texte européen d’application directe dans tous les États membres de l’Union européenne. Il est codifié sous le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. En droit français, il est complété par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés », dans sa version modifiée.
Contrairement à une idée reçue tenace, le RGPD ne concerne pas uniquement les grandes entreprises ou les géants du numérique. Il s’applique à toute structure, quelle que soit sa taille, dès lors qu’elle collecte, traite ou conserve des données à caractère personnel de personnes physiques situées dans l’Union européenne. Cela inclut :
les noms et prénoms de clients ou de prospects, les adresses e-mail, les numéros de téléphone, les adresses IP collectées par un site web, les données de géolocalisation, les données liées aux programmes de fidélité, ou encore les informations relatives aux salariés.
Pour une TPE parisienne qui gère simplement une liste de diffusion, un formulaire de contact sur son site, ou un fichier client dans un tableur, le RGPD est pleinement applicable. L’ignorance du texte ne constitue pas une circonstance atténuante pour la CNIL, comme en témoigne la jurisprudence récente.
Quels risques en cas de non-conformité RGPD pour une PME ou TPE ?
Quelles sanctions la CNIL peut-elle prononcer ?
La CNIL dispose de pouvoirs de contrôle et de sanction étendus. En application de l’article 83 du RGPD et de l’article 20 de la loi Informatique et Libertés, elle peut prononcer des amendes administratives pouvant atteindre :
20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, pour les manquements les plus graves (violation du consentement, manquement aux principes fondamentaux du traitement, non-respect des droits des personnes).
10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les manquements de second niveau (absence de registre des traitements, absence de notification d’une violation de données, etc.).
La formation restreinte de la CNIL, dans sa délibération SAN-2025-017 du 30 décembre 2025, a prononcé une amende de 3,5 millions d’euros contre une société de distribution opérant un programme de fidélité de plus de 10 millions de membres, sanctionnant notamment l’absence de consentement valide pour de la publicité ciblée sur un réseau social, le défaut d’information des personnes concernées, une politique de mots de passe insuffisante, et l’absence d’analyse d’impact (AIPD) préalable. Cette décision rappelle que même une mise en conformité partielle en cours de procédure ne supprime pas la responsabilité pour les faits passés.
Quelles autres conséquences pratiques pour votre activité ?
Au-delà de l’amende financière, la non-conformité RGPD expose le dirigeant à des conséquences concrètes souvent sous-estimées :
La publication de la décision de sanction (ce que la profession appelle le « name and shame »), qui nuit directement à la réputation commerciale de l’entreprise, à sa relation client et à ses partenariats.
La perte de confiance des clients et partenaires, qui est particulièrement sensible dans un contexte où la protection des données personnelles est devenue un critère de choix pour de nombreux acheteurs et donneurs d’ordre.
Le risque contentieux, avec la possibilité pour les personnes concernées d’exercer leurs droits devant la CNIL ou les juridictions civiles et d’obtenir réparation du préjudice subi.
L’injonction de mise en conformité assortie d’astreinte, pouvant aller jusqu’à 100 000 euros par jour de retard.
Quelles sont les obligations RGPD fondamentales que doit respecter une PME ou TPE ?
Quelles bases légales permettent de traiter des données personnelles ?
Tout traitement de données personnelles doit reposer sur l’une des six bases légales prévues à l’article 6 du RGPD :
le consentement de la personne concernée, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, l’exécution d’une mission d’intérêt public, ou l’intérêt légitime du responsable de traitement.
Le consentement est souvent mal compris. Pour être valable, il doit être libre, spécifique, éclairé et univoque, et se manifester par un acte positif clair (article 4, point 11 du RGPD). Une case cochée par défaut, une mention enfouie dans des conditions générales, ou un silence de l’utilisateur ne constituent pas un consentement valide. La Cour de Justice de l’Union européenne l’a confirmé dans son arrêt Planet49 GmbH du 1er octobre 2019 (C-673/17), et la CNIL le rappelle systématiquement dans ses décisions de sanction.
Quelles informations doivent être communiquées aux personnes concernées ?
L’article 13 du RGPD impose au responsable de traitement, au moment de la collecte des données, de fournir une information claire et complète couvrant notamment : l’identité du responsable de traitement, les finalités et bases légales de chaque traitement, les destinataires ou catégories de destinataires, la durée de conservation des données, et l’ensemble des droits dont dispose la personne (accès, rectification, effacement, opposition, portabilité, retrait du consentement).
L’information doit être fournie par finalité, pas de façon globale. La délibération SAN-2025-017 précitée sanctionne précisément une société qui listait ses bases légales d’un côté et ses finalités de l’autre, sans établir de correspondance entre les deux, rendant l’information inexploitable pour l’utilisateur.
Quelles sont les obligations en matière de sécurité des données ?
L’article 32 du RGPD impose au responsable de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. En pratique, cela couvre :
la politique de mots de passe (entropie minimale recommandée de 80 bits selon la délibération CNIL n° 2022-100 du 21 juillet 2022), le chiffrement des données sensibles, le contrôle des accès, la traçabilité des opérations sur les données, la gestion des habilitations, ou encore la sécurisation des échanges avec les sous-traitants.
Une politique de mots de passe trop permissive constitue une violation de l’article 32 du RGPD, comme l’illustre la délibération SAN-2025-017 qui sanctionne une société ayant accepté des mots de passe à 26 bits d’entropie seulement (contre les 50 bits minimum recommandés), et ayant stocké ces mots de passe avec la fonction SHA256, inadaptée au stockage sécurisé.
Faut-il désigner un Délégué à la Protection des Données (DPO) ?
La désignation d’un DPO est obligatoire dans trois cas prévus à l’article 37 du RGPD : lorsque le traitement est effectué par une autorité publique, lorsque les activités de base du responsable impliquent un suivi régulier et systématique à grande échelle, ou lorsqu’elles portent sur des données sensibles à grande échelle. Pour la plupart des PME et TPE, la désignation n’est pas obligatoire, mais elle reste fortement recommandée dès que l’activité implique un volume significatif de données clients ou salariés, ou des traitements à risque.
Quelles sont les étapes concrètes d’une mise en conformité RGPD pour une PME ou TPE à Paris ?
Titre du module interactif
Sélectionnez une option pour afficher les informations correspondantes.
Pourquoi la gestion des cookies est-elle un point de vigilance majeur ?
L’article 82 de la loi Informatique et Libertés (transposant la directive ePrivacy 2002/58/CE) impose que tout traceur non strictement nécessaire au fonctionnement du service soit déposé sur le terminal de l’utilisateur uniquement après recueil préalable de son consentement. Cela vaut pour les cookies publicitaires, les cookies d’analyse de navigation (y compris certains paramétrages de Google Analytics), les cookies de personnalisation et les outils de tchat.
Déposer un cookie avant d’avoir recueilli le consentement de l’utilisateur est une violation de l’article 82, même si la finalité de ce cookie est jugée peu intrusive par le responsable de traitement. La CNIL l’a rappelé en décembre 2025 dans sa recommandation sur le consentement multi-terminaux (délibération n° 2025-131 du 18 décembre 2025), qui précise que le consentement doit être valablement recueilli quel que soit le terminal utilisé.
Un bandeau de consentement conforme doit proposer un bouton « Accepter » et un bouton « Refuser » (ou une option équivalente) aussi visibles l’un que l’autre. Un bouton « En savoir plus » suivi d’un bouton « Accepter et fermer » sans option de refus facilement accessible ne satisfait pas aux exigences de la CNIL.
Quand faut-il réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) ?
L’AIPD est obligatoire avant la mise en place de tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (article 35 du RGPD). La CNIL retient qu’un traitement satisfaisant à au moins deux des critères du Comité Européen de Protection des Données (notamment : traitement à grande échelle, croisement de données, utilisation de nouvelles technologies, données sensibles, profilage) doit faire l’objet d’une AIPD préalable.
L’absence d’AIPD préalable à un traitement de publicité ciblée impliquant la transmission de données de plusieurs millions de personnes à une plateforme sociale a été sanctionnée dans la délibération SAN-2025-017. Pour une PME qui déploie un CRM, un programme de fidélité numérique, ou un outil de scoring client, la question de l’AIPD doit être posée avant le lancement.
Que doivent contenir les contrats avec vos sous-traitants au sens du RGPD ?
L’article 28 du RGPD impose que tout recours à un sous-traitant traitant des données pour votre compte fasse l’objet d’un contrat ou d’un acte juridique contraignant. Ce document doit encadrer précisément : l’objet et la durée du traitement, la nature et la finalité des données traitées, le type de données et les catégories de personnes concernées, les obligations et droits du responsable de traitement, et les mesures de sécurité mises en place par le sous-traitant.
En pratique, cela concerne vos hébergeurs, éditeurs de logiciels SaaS, agences marketing gérant vos campagnes e-mail, prestataires RH ou comptables accédant à vos données salariés, plateformes d’e-commerce, ou encore outils de visioconférence.
L’absence de clause de sous-traitance conforme à l’article 28 constitue un manquement autonome sanctionnable, indépendamment de tout autre manquement. La CNIL considère que le responsable de traitement est responsable du choix de ses sous-traitants et doit s’assurer que ceux-ci présentent des garanties suffisantes.
Tableau 2 : Synthèse des manquements RGPD les plus fréquents et des risques associés
Quels sont les droits des personnes concernées et comment les gérer concrètement ?
Le RGPD reconnaît aux personnes physiques un ensemble de droits que le responsable de traitement doit être en mesure d’honorer dans un délai d’un mois à compter de la réception de la demande (article 12 du RGPD) :
le droit d’accès (article 15), permettant à la personne de savoir quelles données la concernent et comment elles sont traitées ; le droit de rectification (article 16) ; le droit à l’effacement dit « droit à l’oubli » (article 17) ; le droit à la limitation du traitement (article 18) ; le droit à la portabilité (article 20) ; et le droit d’opposition (article 21).
Pour une PME ou TPE, l’organisation pratique de la gestion de ces demandes est souvent négligée. Il convient de désigner un interlocuteur interne dédié, de mettre en place une boîte de contact spécifique (par exemple [email protected]), de tracer chaque demande et la réponse apportée, et d’avoir cartographié préalablement les données détenues pour être en mesure de répondre dans les délais impartis.
Comment le cabinet Mirabile accompagne-t-il les PME et TPE parisiennes dans leur conformité RGPD ?
Le cabinet Mirabile Avocat, spécialisé en droit du numérique et droit des affaires, propose un accompagnement structuré et opérationnel de la mise en conformité RGPD, adapté aux contraintes des TPE, PME et startups parisiennes. Notre approche repose sur quatre piliers.
Audit et cartographie initiale des traitements
La première étape est un audit de conformité RGPD, au cours duquel nos juristes identifient l’ensemble des traitements de données personnelles mis en place dans votre structure, analysent les bases légales utilisées, vérifient les documents contractuels et les politiques d’information existants, et évaluent le niveau de maturité RGPD de votre organisation. Cet audit est la condition préalable à toute mise en conformité sérieuse.
Rédaction et mise à jour des documents contractuels et réglementaires
Le cabinet intervient pour rédiger ou actualiser l’ensemble des documents imposés par le RGPD et la loi Informatique et Libertés : politique de confidentialité, mentions d’information, conditions générales de vente et d’utilisation intégrant les clauses RGPD, contrats de sous-traitance au sens de l’article 28, clauses de transfert de données hors UE, et tout autre document contractuel ou réglementaire nécessaire à votre activité numérique ou commerciale.
Accompagnement à la mise en conformité opérationnelle
Au-delà des documents, la conformité RGPD suppose des changements organisationnels concrets. Nos juristes vous accompagnent dans la mise en place du registre des activités de traitement, la définition de votre politique de gestion des cookies, la mise en place de procédures internes de gestion des droits des personnes et des violations de données, et la formation de vos équipes aux obligations RGPD.
Prévention des risques et défense en cas de contrôle CNIL
En cas de contrôle ou de procédure initiée par la CNIL, le cabinet Mirabile intervient pour analyser l’étendue des manquements allégués, préparer la défense, rédiger les observations en réponse au rapport de sanction, et accompagner la mise en conformité pendant la procédure pour limiter les risques d’injonction et d’amende. Notre connaissance approfondie de la jurisprudence CNIL et des critères de proportionnalité des sanctions nous permet de construire une défense efficace et documentée.
Cas pratiques : quelles situations rencontrent le plus souvent les PME et TPE parisiennes ?
Premier cas : le site e-commerce qui collecte des données sans bandeau cookies conforme. Une PME parisienne opérant un site de vente en ligne utilise Google Analytics, un pixel de retargeting publicitaire, et un outil de tchat intégré. Ces trois outils déposent des traceurs sur le terminal de l’utilisateur. Si ces dépôts interviennent avant que l’utilisateur ait cliqué sur « Accepter » dans le bandeau cookies, la société viole l’article 82 de la loi Informatique et Libertés. Le cabinet Mirabile intervient pour auditer le paramétrage de la CMP (Consent Management Platform), reconfigurer l’ordre des dépôts, et mettre à jour la politique cookies.
**Deuxième cas : la startup qui transmet des données clients à une plateforme partenaire sans consentement valide.**Une startup parisienne développant un programme de fidélité numérique transmet les adresses e-mail de ses membres à une régie publicitaire pour effectuer du ciblage sur les réseaux sociaux. Si ces membres n’ont pas explicitement consenti à cette transmission (un consentement à recevoir des e-mails commerciaux ne suffit pas), le traitement est dépourvu de base légale au sens de l’article 6 paragraphe 1, a) du RGPD. C’est exactement le schéma sanctionné dans la délibération SAN-2025-017. Le cabinet intervient pour restructurer les mécanismes de recueil du consentement et sécuriser les relations contractuelles avec la régie.
Troisième cas : la PME industrielle qui ne dispose pas de contrats de sous-traitance RGPD. Un fabricant de taille intermédiaire basé en Île-de-France confie la gestion de sa paie à un prestataire externe et l’hébergement de son ERP à un cloud provider américain. Aucun contrat ne contient de clause RGPD conforme à l’article 28, et le transfert de données vers les États-Unis n’est pas encadré. Le cabinet Mirabile rédige les avenants contractuels nécessaires, met en place les clauses contractuelles types pour les transferts hors UE, et sécurise l’ensemble de la chaîne sous-traitante.
Quelles sont les spécificités de la conformité RGPD à Paris et en Île-de-France pour les dirigeants ?
Paris concentre une densité exceptionnelle d’acteurs numériques, de startups, de plateformes digitales et de réseaux de distribution. Cette densité s’accompagne d’une vigilance accrue de la CNIL et d’une exposition plus forte aux plaintes individuelles et aux contrôles sectoriels. La CNIL mène régulièrement des campagnes de contrôle ciblant des secteurs spécifiques (e-commerce, santé, immobilier, RH), qui touchent en priorité les acteurs franciliens.
Pour les dirigeants de PME et TPE parisiennes, la conformité RGPD est aussi un avantage compétitif : un site e-commerce affichant une politique de confidentialité lisible et un bandeau cookies transparent génère davantage de confiance, améliore le taux de conversion et réduit le taux de désabonnement. Elle est également souvent exigée comme pré-requis dans les appels d’offres des grands comptes et des donneurs d’ordre publics.
Conclusion : pourquoi anticiper plutôt que subir la conformité RGPD ?
La mise en conformité RGPD n’est pas une démarche administrative ponctuelle : c’est un processus continu qui accompagne la vie de l’entreprise, ses évolutions technologiques et ses nouveaux traitements de données. Les textes évoluent (la recommandation CNIL du 18 décembre 2025 sur le consentement multi-terminaux en est la dernière illustration), les décisions de sanction précisent les standards attendus, et les droits des personnes concernées s’exercent de façon croissante.
Anticiper en faisant appel à un cabinet spécialisé est toujours moins coûteux que de subir une procédure de sanction CNIL. Le cabinet Mirabile Avocat, fort de son expertise en droit du numérique et en droit des affaires, vous accompagne à chaque étape : de l’audit initial à la rédaction des documents contractuels, de la formation de vos équipes à la défense en cas de contrôle.
Vous souhaitez faire le point sur votre conformité RGPD ou engager une mise en conformité adaptée à votre structure ? Contactez le cabinet Mirabile pour un premier échange.
Cet article est rédigé à titre d’information générale et ne constitue pas un avis juridique personnalisé. Il est fondé sur les textes en vigueur à la date de sa rédaction, notamment le règlement (UE) 2016/679 du 27 avril 2016, la loi n° 78-17 du 6 janvier 1978 modifiée, et la jurisprudence récente de la CNIL.
Cabinet Mirabile Avocat — Droit du numérique, droit commercial, droit de la distribution — Paris
