Audit RGPD : comment évaluer votre niveau de conformité en 2026

Guide pratique à destination des dirigeants, e-commerçants, startups et TPE/PME Publié par le cabinet Mirabile Avocat | Mis à jour : avril 2026

En 2026, la conformité au Règlement Général sur la Protection des Données (RGPD) n’est plus une option. C’est une obligation légale sanctionnée avec une vigueur croissante par la Commission nationale de l’informatique et des libertés (CNIL). La sanction prononcée contre France Travail en janvier 2026, 10 000 000 euros d’amende pour manquement à l’article 32 du RGPD, rappelle que même les grandes organisations publiques ne sont pas à l’abri. Pour les entreprises privées, TPE, PME, startups et e-commerçants, la question n’est plus de savoir s’il faut se conformer, mais bien de savoir où en est réellement votre organisation.

C’est précisément là qu’intervient l’audit RGPD. Véritable photographie de votre situation au regard des exigences du règlement européen et de la loi Informatique et Libertés du 6 janvier 1978, l’audit est la première étape de toute démarche de conformité sérieuse. Ce guide vous explique comment le conduire méthodiquement, quels points vérifier en priorité, et pourquoi s’entourer d’un conseil juridique spécialisé peut faire la différence.

Qu’est-ce qu’un audit RGPD et pourquoi est-il indispensable en 2026 ?

À quoi sert un audit de conformité RGPD ?

L’audit RGPD est une procédure d’évaluation systématique de l’ensemble des traitements de données personnelles mis en oeuvre par une organisation. Il permet d’identifier les écarts entre la situation actuelle et les obligations imposées par le Règlement (UE) 2016/679 du 27 avril 2016, dit RGPD, et par la loi française n° 78-17 du 6 janvier 1978 modifiée. Concrètement, l’audit répond à une question simple : dans quelle mesure mon organisation respecte-t-elle les droits des personnes dont elle traite les données ?

Un audit bien conduit produit un plan d’action classé par niveau de criticité. Il constitue également un élément de preuve en cas de contrôle de la CNIL ou de réclamation d’un utilisateur. Le principe dit d’«accountability» (ou responsabilisation), prévu à l’article 5(2) du RGPD, impose en effet aux responsables de traitement de ne pas seulement respecter les règles, mais aussi d’être en mesure de le prouver à tout moment.

Quels risques court une entreprise qui ne réalise pas d’audit ?

Les risques sont multiples et concrets. En premier lieu, le risque de sanction administrative : le RGPD prévoit deux niveaux de sanctions à l’article 83. Les manquements les plus graves (violation des principes fondamentaux, absence de base légale, transferts illicites) sont passibles d’amendes pouvant atteindre 20 000 000 euros ou 4 % du chiffre d’affaires annuel mondial. Les manquements de moindre gravité (défaut d’information, absence de registre, non-désignation d’un DPO obligatoire) sont sanctionnés jusqu’à 10 000 000 euros ou 2 % du chiffre d’affaires.

En second lieu, le risque réputationnel : une violation de données rendue publique ou une condamnation de la CNIL constituent un coup dur pour la confiance des clients. Les décisions de la CNIL sont systématiquement publiées. Les sanctions prononcées en janvier 2026, notamment celles liées à des défauts de sécurité (article 32 du RGPD), montrent que l’absence de mesures techniques et organisationnelles appropriées est l’un des manquements les plus fréquemment relevés. Enfin, en cas de litige contractuel ou de contentieux avec un sous-traitant ou un partenaire commercial, l’absence de toute démarche de conformité documentée aggrave considérablement votre position.

Quelles sont les étapes d’un audit RGPD complet ?

Étape 1 : cartographier tous les traitements de données personnelles

La première étape consiste à recenser l’ensemble des traitements de données personnelles réalisés par votre organisation. Un traitement désigne toute opération effectuée sur des données personnelles : collecte, enregistrement, stockage, consultation, utilisation, communication, effacement. Il faut penser à chaque flux de données : formulaire de contact, newsletter, paiement en ligne, fichier RH, outil CRM, analytics de site web, cookies.

Ce travail de cartographie doit être formalisé dans un registre des activités de traitement, obligation prévue à l’article 30 du RGPD pour les organisations de plus de 250 salariés, mais fortement recommandée, et souvent imposée par les autorités de contrôle, pour toutes les structures dès lors qu’elles traitent des données à risque élevé ou de manière non occasionnelle. Pour chaque traitement, le registre doit indiquer :

• La finalité du traitement (pourquoi ces données sont-elles collectées ?),
• La base légale applicable (consentement, exécution d’un contrat, obligation légale, intérêt légitime, etc.),
• Les catégories de données traitées,
• Les personnes concernées (clients, salariés, prospects…),
• Les destinataires et sous-traitants,
• Les durées de conservation de chaque catégorie de données,
• Les mesures de sécurité mises en place.

Bon à savoir : Un e-commerçant qui collecte des adresses email, numéros de téléphone et historiques d’achat effectue plusieurs traitements distincts. Chacun doit faire l’objet d’une entrée dans le registre avec sa base légale propre. L’exécution d’un contrat de vente fonde la facturation, mais pas nécessairement l’envoi d’une newsletter commerciale, qui requiert un consentement séparé.

Étape 2 : vérifier les bases légales et les obligations d’information

Chaque traitement doit reposer sur l’une des six bases légales listées à l’article 6 du RGPD. L’erreur la plus courante observée lors des audits est le recours systématique au consentement comme base légale, alors qu’une autre base (exécution d’un contrat, obligation légale) serait plus adaptée et plus robuste. Le consentement doit être libre, spécifique, éclairé et univoque ; il ne peut pas être une case pré-cochée.

Parallèlement, les obligations d’information prévues aux articles 13 et 14 du RGPD doivent être vérifiées. Votre politique de confidentialité est-elle accessible, lisible, complète ? Mentionne-t-elle les durées de conservation ? Les droits des personnes (accès, rectification, effacement, portabilité, opposition) sont-ils clairement indiqués avec les modalités d’exercice ? Ces mentions doivent figurer sur chaque point de collecte : formulaire web, application mobile, contrat signé en point de vente.

Étape 3 : auditer les contrats avec les sous-traitants

Le RGPD impose que toute relation avec un sous-traitant qui traite des données personnelles pour votre compte soit encadrée par un contrat de traitement de données (DPA, Data Processing Agreement), conformément à l’article 28 du RGPD et à l’article 96 de la loi Informatique et Libertés. Ce contrat doit définir l’objet du traitement, la durée, la nature et la finalité, les types de données traitées, les obligations du sous-traitant en matière de sécurité, et son obligation de n’agir que sur instruction du responsable de traitement.

Les sous-traitants typiques d’une PME numérique incluent : l’hébergeur de site web, la solution d’emailing (Mailchimp, Brevo…), l’outil CRM (HubSpot, Salesforce…), le prestataire de paiement (Stripe, PayPal…), les outils d’analyse d’audience. L’absence de DPA avec l’un de ces prestataires constitue un manquement caractérisé. L’audit doit vérifier que ces contrats existent, qu’ils sont à jour, et qu’ils couvrent tous les traitements effectivement réalisés.

Étape 4 : évaluer la sécurité des traitements

L’article 32 du RGPD impose la mise en oeuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. C’est sur ce fondement que France Travail a été sanctionné en janvier 2026 pour une amende de 10 millions d’euros, que plusieurs opérateurs ont été condamnés fin 2025, et que la CNIL a rappelé dans ses décisions récentes qu’un manquement à l’obligation de sécurité peut être caractérisé indépendamment de toute violation de données effectivement survenue.

L’audit doit donc porter sur les mesures de sécurité en place : chiffrement des données sensibles, gestion des habilitations et des accès, politique de mots de passe, journalisation des accès, sauvegarde des données, gestion des incidents. Pour les structures plus avancées, des tests d’intrusion ou des audits de code peuvent être commandités. Ces documents techniques pourront d’ailleurs constituer des éléments de preuve en cas de contrôle.

Étape 5 : identifier les traitements nécessitant une analyse d’impact (AIPD)

Certains traitements particulièrement risqués pour les droits et libertés des personnes doivent faire l’objet d’une analyse d’impact relative à la protection des données (AIPD), prévue à l’article 35 du RGPD. C’est notamment le cas des traitements portant sur des données sensibles (santé, origine ethnique, opinions politiques…), des traitements impliquant une surveillance systématique à grande échelle, ou des traitements de scoring et de profilage. La CNIL publie une liste des types de traitements qui en requièrent systématiquement une.

Si une AIPD est nécessaire et n’a pas été réalisée, il s’agit d’un manquement spécifique. L’AIPD doit décrire le traitement, évaluer sa nécessité et sa proportionnalité, identifier les risques pour les droits des personnes, et préciser les mesures envisagées pour y remédier.

Quelles sont les sanctions encourues en cas de non-conformité ?

La CNIL dispose depuis la réforme de 2018 de pouvoirs de sanction renforcés. En 2025 et 2026, elle a prononcé plusieurs dizaines de sanctions administratives, dont certaines très significatives. Les décisions rendues en janvier 2026 contre plusieurs opérateurs télécom et prestataires de services montrent que l'absence de mesures de sécurité adaptées reste le principal vecteur de condamnation. Ces décisions précisent par ailleurs qu'un manquement à l'obligation de sécurité peut être caractérisé indépendamment de toute violation de données effectivement constatée, ce qui est un signal fort envoyé aux entreprises : ne pas attendre un incident pour agir.

Outre les sanctions financières, la CNIL peut prononcer des injonctions de mise en conformité assorties d'astreintes, des mises en demeure, voire la limitation temporaire du traitement, ce qui peut conduire à l'interruption d'une activité commerciale. Elle peut également publier ses décisions de sanction, ce qui constitue un préjudice réputationnel considérable. En matière pénale, l'article 226-16 du Code pénal sanctionne certaines violations du RGPD jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende.

Cas concrets : à quoi ressemble un audit RGPD pour un e-commerçant ou une startup ?

Cas n° 1 : un site e-commerce qui collecte des données clients

Prenons l'exemple d'un e-commerçant qui gère un site sous Shopify ou PrestaShop, utilise Mailchimp pour ses newsletters et Stripe pour ses paiements. Un audit révèle typiquement les points suivants :

• Absence de registre des traitements formalisé (non-conformité article 30),
• La politique de confidentialité ne mentionne pas les durées de conservation ni les droits des utilisateurs de manière accessible,
• Les cookies analytiques (Google Analytics) sont déposés sans consentement préalable valide, en violation des recommandations de la CNIL,
• Aucun DPA signé avec Mailchimp ou Stripe, pourtant sous-traitants au sens de l'article 28,
• Aucune procédure interne en cas de violation de données (notification à la CNIL sous 72 heures, article 33).

Ce profil de non-conformité, très courant, expose l'entreprise à une amende pouvant dépasser plusieurs dizaines de milliers d'euros et à une injonction de mise en conformité. La correction prend généralement 2 à 3 mois avec un accompagnement juridique adapté.

Cas n° 2 : une startup SaaS qui traite des données de ses clients professionnels

Une startup qui commercialise un logiciel SaaS à destination d'entreprises joue souvent un double rôle : responsable de traitement pour ses propres utilisateurs (équipe, commerciaux), et sous-traitant vis-à-vis de ses clients qui lui confient les données de leurs propres clients ou salariés. Ce double statut est souvent mal compris et mal encadré contractuellement.

L'audit doit vérifier que les CGU et les contrats clients intègrent des clauses de traitement conformes à l'article 28 du RGPD, que les données des clients de vos clients sont bien cloisonnées, et que des mesures de sécurité spécifiques (chiffrement, isolation des environnements de test) sont implémentées. Négliger ce point expose la startup à des actions en responsabilité contractuelle de la part de ses propres clients.

Ce tableau est indicatif. Les obligations exactes dépendent de votre activité et des traitements effectués. En cas de doute, consultez un délégué à la protection des données ou la documentation de la CNIL.

Faut-il désigner un Délégué à la Protection des Données (DPO) ?

La désignation d'un Délégué à la Protection des Données (DPO), prévu à l'article 37 du RGPD, est obligatoire dans trois situations : pour les autorités publiques, pour les organismes dont l'activité de base consiste en des traitements à grande échelle nécessitant un suivi régulier et systématique des personnes concernées, et pour ceux qui traitent à grande échelle des données dites sensibles (santé, convictions religieuses, données biométriques, infractions pénales, etc.).

En dehors de ces cas, la désignation d'un DPO reste vivement recommandée. Le DPO peut être un salarié interne ou un prestataire externe. Il doit disposer des connaissances juridiques et techniques nécessaires, être indépendant dans l'exercice de ses missions, et bénéficier des ressources suffisantes. La CNIL dispose d'un registre public des DPO désignés. Depuis 2024, elle vérifie de plus en plus lors de ses contrôles si les structures soumises à l'obligation ont bien procédé à cette désignation.

Comment le cabinet Mirabile vous accompagne dans votre audit RGPD ?

Le cabinet Mirabile Avocat intervient auprès des dirigeants, e-commerçants, startups et PME à toutes les étapes de la démarche de conformité RGPD. Notre approche est à la fois juridique et opérationnelle : nous ne produisons pas de livrables inapplicables, mais des plans d'action concrets adaptés à la réalité de votre structure.

L'audit initial : une photographie précise de votre situation

Nous réalisons un audit documentaire et opérationnel qui couvre l'ensemble des traitements de votre organisation. Cet audit aboutit à un rapport détaillé identifiant les non-conformités par ordre de criticité, les risques juridiques associés, et les mesures correctrices prioritaires. Ce rapport est directement exploitable et constitue un élément de preuve de votre bonne foi en cas de contrôle.

La rédaction et la sécurisation de vos documents RGPD

Le cabinet assure la rédaction ou la mise à jour de votre politique de confidentialité, de vos mentions légales, de votre registre des traitements et de vos contrats de traitement de données (DPA) avec vos sous-traitants. Nous vérifions également la validité juridique de vos mécanismes de recueil du consentement, notamment en matière de cookies, en conformité avec les recommandations de la CNIL.

L'assistance en cas de contrôle ou de contentieux

En cas de contrôle de la CNIL, d'une réclamation déposée par un utilisateur ou d'une mise en demeure, le cabinet Mirabile vous assiste à chaque étape : préparation des réponses à l'autorité de contrôle, organisation de la mise en conformité dans les délais requis, représentation auprès des autorités compétentes, et si nécessaire, contentieux devant les juridictions administratives ou civiles.

La formation et la sensibilisation de vos équipes

La conformité RGPD ne tient pas uniquement dans les documents. Elle repose aussi sur les pratiques quotidiennes de vos collaborateurs. Le cabinet propose des sessions de sensibilisation adaptées à votre secteur et à votre taille, pour faire de la protection des données un réflexe intégré dans votre culture d'entreprise.

Bon à savoir : Exemple pratique : une PME du secteur de la santé numérique nous a contactés après avoir reçu une mise en demeure de la CNIL. En moins de six semaines, nous avons mis en place le registre des traitements, formalisé les DPA avec trois sous-traitants, rédigé une nouvelle politique de confidentialité et mis en conformité les mécanismes de consentement. La CNIL a clos la procédure sans sanction.

En conclusion : l'audit RGPD, un investissement pour sécuriser votre activité

En 2026, les autorités de contrôle européennes et la CNIL ont clairement signalé leur intention de renforcer l'application du RGPD, y compris vis-à-vis des TPE et PME. Les sanctions prononcées ces derniers mois le confirment : la conformité n'est plus réservée aux grandes entreprises. Elle s'impose à toute structure qui collecte, traite ou stocke des données personnelles, qu'elle soit e-commerçante, startup, artisan, libérale ou associative.

L'audit RGPD est le premier pas indispensable. Il vous permet de savoir où vous en êtes, d'agir en priorité sur les risques les plus importants et de documenter votre démarche pour pouvoir en rendre compte. C'est aussi un signal fort envoyé à vos clients et partenaires : celui d'une organisation qui prend au sérieux la protection des données qui lui sont confiées.

Le cabinet Mirabile Avocat se tient à votre disposition pour évaluer votre situation, réaliser votre audit de conformité et vous accompagner sur le long terme dans la gestion de vos obligations au titre du RGPD et du droit du numérique.