RGPD
Guide pratique à destination des dirigeants, e-commerçants, startups et TPE/PME Publié par le cabinet Mirabile Avocat | Mis à jour : avril 2026
Temps de lecture :
14 min
Guide pratique à destination des dirigeants, e-commerçants, startups et TPE/PME Publié par le cabinet Mirabile Avocat | Mis à jour : avril 2026
En 2026, la conformité au Règlement Général sur la Protection des Données (RGPD) n'est plus une option. C'est une obligation légale sanctionnée avec une vigueur croissante par la Commission nationale de l'informatique et des libertés (CNIL). La sanction prononcée contre France Travail en janvier 2026, 10 000 000 euros d'amende pour manquement à l'article 32 du RGPD, rappelle que même les grandes organisations publiques ne sont pas à l'abri. Pour les entreprises privées, TPE, PME, startups et e-commerçants, la question n'est plus de savoir s'il faut se conformer, mais bien de savoir où en est réellement votre organisation.
C'est précisément là qu'intervient l'audit RGPD. Véritable photographie de votre situation au regard des exigences du règlement européen et de la loi Informatique et Libertés du 6 janvier 1978, l'audit est la première étape de toute démarche de conformité sérieuse. Ce guide vous explique comment le conduire méthodiquement, quels points vérifier en priorité, et pourquoi s'entourer d'un conseil juridique spécialisé peut faire la différence.
L'audit RGPD est une procédure d'évaluation systématique de l'ensemble des traitements de données personnelles mis en oeuvre par une organisation. Il permet d'identifier les écarts entre la situation actuelle et les obligations imposées par le Règlement (UE) 2016/679 du 27 avril 2016, dit RGPD, et par la loi française n° 78-17 du 6 janvier 1978 modifiée. Concrètement, l'audit répond à une question simple : dans quelle mesure mon organisation respecte-t-elle les droits des personnes dont elle traite les données ?
Un audit bien conduit produit un plan d'action classé par niveau de criticité. Il constitue également un élément de preuve en cas de contrôle de la CNIL ou de réclamation d'un utilisateur. Le principe dit d'«accountability» (ou responsabilisation), prévu à l'article 5(2) du RGPD, impose en effet aux responsables de traitement de ne pas seulement respecter les règles, mais aussi d'être en mesure de le prouver à tout moment.
Les risques sont multiples et concrets. En premier lieu, le risque de sanction administrative : le RGPD prévoit deux niveaux de sanctions à l'article 83. Les manquements les plus graves (violation des principes fondamentaux, absence de base légale, transferts illicites) sont passibles d'amendes pouvant atteindre 20 000 000 euros ou 4 % du chiffre d'affaires annuel mondial. Les manquements de moindre gravité (défaut d'information, absence de registre, non-désignation d'un DPO obligatoire) sont sanctionnés jusqu'à 10 000 000 euros ou 2 % du chiffre d'affaires.
En second lieu, le risque réputationnel : une violation de données rendue publique ou une condamnation de la CNIL constituent un coup dur pour la confiance des clients. Les décisions de la CNIL sont systématiquement publiées. Les sanctions prononcées en janvier 2026, notamment celles liées à des défauts de sécurité (article 32 du RGPD), montrent que l'absence de mesures techniques et organisationnelles appropriées est l'un des manquements les plus fréquemment relevés. Enfin, en cas de litige contractuel ou de contentieux avec un sous-traitant ou un partenaire commercial, l'absence de toute démarche de conformité documentée aggrave considérablement votre position.
La première étape consiste à recenser l'ensemble des traitements de données personnelles réalisés par votre organisation. Un traitement désigne toute opération effectuée sur des données personnelles : collecte, enregistrement, stockage, consultation, utilisation, communication, effacement. Il faut penser à chaque flux de données : formulaire de contact, newsletter, paiement en ligne, fichier RH, outil CRM, analytics de site web, cookies.
Ce travail de cartographie doit être formalisé dans un registre des activités de traitement, obligation prévue à l'article 30 du RGPD pour les organisations de plus de 250 salariés, mais fortement recommandée, et souvent imposée par les autorités de contrôle, pour toutes les structures dès lors qu'elles traitent des données à risque élevé ou de manière non occasionnelle. Pour chaque traitement, le registre doit indiquer :
Bon à savoir : Un e-commerçant qui collecte des adresses email, numéros de téléphone et historiques d'achat effectue plusieurs traitements distincts. Chacun doit faire l'objet d'une entrée dans le registre avec sa base légale propre. L'exécution d'un contrat de vente fonde la facturation, mais pas nécessairement l'envoi d'une newsletter commerciale, qui requiert un consentement séparé.
Chaque traitement doit reposer sur l'une des six bases légales listées à l'article 6 du RGPD. L'erreur la plus courante observée lors des audits est le recours systématique au consentement comme base légale, alors qu'une autre base (exécution d'un contrat, obligation légale) serait plus adaptée et plus robuste. Le consentement doit être libre, spécifique, éclairé et univoque ; il ne peut pas être une case pré-cochée.
Parallèlement, les obligations d'information prévues aux articles 13 et 14 du RGPD doivent être vérifiées. Votre politique de confidentialité est-elle accessible, lisible, complète ? Mentionne-t-elle les durées de conservation ? Les droits des personnes (accès, rectification, effacement, portabilité, opposition) sont-ils clairement indiqués avec les modalités d'exercice ? Ces mentions doivent figurer sur chaque point de collecte : formulaire web, application mobile, contrat signé en point de vente.
Le RGPD impose que toute relation avec un sous-traitant qui traite des données personnelles pour votre compte soit encadrée par un contrat de traitement de données (DPA, Data Processing Agreement), conformément à l'article 28 du RGPD et à l'article 96 de la loi Informatique et Libertés. Ce contrat doit définir l'objet du traitement, la durée, la nature et la finalité, les types de données traitées, les obligations du sous-traitant en matière de sécurité, et son obligation de n'agir que sur instruction du responsable de traitement.
Les sous-traitants typiques d'une PME numérique incluent : l'hébergeur de site web, la solution d'emailing (Mailchimp, Brevo...), l'outil CRM (HubSpot, Salesforce...), le prestataire de paiement (Stripe, PayPal...), les outils d'analyse d'audience. L'absence de DPA avec l'un de ces prestataires constitue un manquement caractérisé. L'audit doit vérifier que ces contrats existent, qu'ils sont à jour, et qu'ils couvrent tous les traitements effectivement réalisés.
L'article 32 du RGPD impose la mise en oeuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. C'est sur ce fondement que France Travail a été sanctionné en janvier 2026 pour une amende de 10 millions d'euros, que plusieurs opérateurs ont été condamnés fin 2025, et que la CNIL a rappelé dans ses décisions récentes qu'un manquement à l'obligation de sécurité peut être caractérisé indépendamment de toute violation de données effectivement survenue.
L'audit doit donc porter sur les mesures de sécurité en place : chiffrement des données sensibles, gestion des habilitations et des accès, politique de mots de passe, journalisation des accès, sauvegarde des données, gestion des incidents. Pour les structures plus avancées, des tests d'intrusion ou des audits de code peuvent être commandités. Ces documents techniques pourront d'ailleurs constituer des éléments de preuve en cas de contrôle.
Certains traitements particulièrement risqués pour les droits et libertés des personnes doivent faire l'objet d'une analyse d'impact relative à la protection des données (AIPD), prévue à l'article 35 du RGPD. C'est notamment le cas des traitements portant sur des données sensibles (santé, origine ethnique, opinions politiques...), des traitements impliquant une surveillance systématique à grande échelle, ou des traitements de scoring et de profilage. La CNIL publie une liste des types de traitements qui en requièrent systématiquement une.
Si une AIPD est nécessaire et n'a pas été réalisée, il s'agit d'un manquement spécifique. L'AIPD doit décrire le traitement, évaluer sa nécessité et sa proportionnalité, identifier les risques pour les droits des personnes, et préciser les mesures envisagées pour y remédier.
Tableau de bord – Audit RGPD
Les points de contrôle d'un audit RGPD complet
Point de contrôleCe qu'il faut vérifierCartographie des traitementsRecenser tous les traitements (collecte, stockage, communication, effacement, cookies, CRM).Registre des activités de traitementFormaliser le registre (art. 30) : finalité, base légale, données, personnes, destinataires, durées, sécurité.Bases légalesChaque traitement repose sur l'une des six bases (art. 6), sans recours abusif au consentement.Obligations d'informationPolitique de confidentialité, durées de conservation, droits des personnes (art. 13 et 14).Contrats sous-traitants (DPA)Existence et mise à jour des contrats (art. 28) : hébergeur, emailing, CRM, paiement.Sécurité des traitementsChiffrement, habilitations, mots de passe, journalisation, sauvegardes, incidents (art. 32).Analyse d'impact (AIPD)Identifier les traitements à risque élevé : données sensibles, surveillance, scoring, profilage (art. 35).Procédure de violation de donnéesProcédure de notification à la CNIL sous 72 heures (art. 33).Consentement aux cookiesPas de cookies analytiques sans consentement préalable valide (recommandations CNIL).Désignation d'un DPOVérifier l'obligation (art. 37) et, à défaut, l'opportunité d'en désigner un.
Fourni à titre informatif, ne constitue pas un conseil juridique.
La CNIL dispose depuis la réforme de 2018 de pouvoirs de sanction renforcés. En 2025 et 2026, elle a prononcé plusieurs dizaines de sanctions administratives, dont certaines très significatives. Les décisions rendues en janvier 2026 contre plusieurs opérateurs télécom et prestataires de services montrent que l'absence de mesures de sécurité adaptées reste le principal vecteur de condamnation. Ces décisions précisent par ailleurs qu'un manquement à l'obligation de sécurité peut être caractérisé indépendamment de toute violation de données effectivement constatée, ce qui est un signal fort envoyé aux entreprises : ne pas attendre un incident pour agir.
Outre les sanctions financières, la CNIL peut prononcer des injonctions de mise en conformité assorties d'astreintes, des mises en demeure, voire la limitation temporaire du traitement, ce qui peut conduire à l'interruption d'une activité commerciale. Elle peut également publier ses décisions de sanction, ce qui constitue un préjudice réputationnel considérable. En matière pénale, l'article 226-16 du Code pénal sanctionne certaines violations du RGPD jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende.
Prenons l'exemple d'un e-commerçant qui gère un site sous Shopify ou PrestaShop, utilise Mailchimp pour ses newsletters et Stripe pour ses paiements. Un audit révèle typiquement les points suivants :
Ce profil de non-conformité, très courant, expose l'entreprise à une amende pouvant dépasser plusieurs dizaines de milliers d'euros et à une injonction de mise en conformité. La correction prend généralement 2 à 3 mois avec un accompagnement juridique adapté.
Une startup qui commercialise un logiciel SaaS à destination d'entreprises joue souvent un double rôle : responsable de traitement pour ses propres utilisateurs (équipe, commerciaux), et sous-traitant vis-à-vis de ses clients qui lui confient les données de leurs propres clients ou salariés. Ce double statut est souvent mal compris et mal encadré contractuellement.
L'audit doit vérifier que les CGU et les contrats clients intègrent des clauses de traitement conformes à l'article 28 du RGPD, que les données des clients de vos clients sont bien cloisonnées, et que des mesures de sécurité spécifiques (chiffrement, isolation des environnements de test) sont implémentées. Négliger ce point expose la startup à des actions en responsabilité contractuelle de la part de ses propres clients.
La désignation d'un Délégué à la Protection des Données (DPO), prévu à l'article 37 du RGPD, est obligatoire dans trois situations : pour les autorités publiques, pour les organismes dont l'activité de base consiste en des traitements à grande échelle nécessitant un suivi régulier et systématique des personnes concernées, et pour ceux qui traitent à grande échelle des données dites sensibles (santé, convictions religieuses, données biométriques, infractions pénales, etc.).
En dehors de ces cas, la désignation d'un DPO reste vivement recommandée. Le DPO peut être un salarié interne ou un prestataire externe. Il doit disposer des connaissances juridiques et techniques nécessaires, être indépendant dans l'exercice de ses missions, et bénéficier des ressources suffisantes. La CNIL dispose d'un registre public des DPO désignés. Depuis 2024, elle vérifie de plus en plus lors de ses contrôles si les structures soumises à l'obligation ont bien procédé à cette désignation.
Le cabinet Mirabile Avocat intervient auprès des dirigeants, e-commerçants, startups et PME à toutes les étapes de la démarche de conformité RGPD. Notre approche est à la fois juridique et opérationnelle : nous ne produisons pas de livrables inapplicables, mais des plans d'action concrets adaptés à la réalité de votre structure.
Nous réalisons un audit documentaire et opérationnel qui couvre l'ensemble des traitements de votre organisation. Cet audit aboutit à un rapport détaillé identifiant les non-conformités par ordre de criticité, les risques juridiques associés, et les mesures correctrices prioritaires. Ce rapport est directement exploitable et constitue un élément de preuve de votre bonne foi en cas de contrôle.
Le cabinet assure la rédaction ou la mise à jour de votre politique de confidentialité, de vos mentions légales, de votre registre des traitements et de vos contrats de traitement de données (DPA) avec vos sous-traitants. Nous vérifions également la validité juridique de vos mécanismes de recueil du consentement, notamment en matière de cookies, en conformité avec les recommandations de la CNIL.
En cas de contrôle de la CNIL, d'une réclamation déposée par un utilisateur ou d'une mise en demeure, le cabinet Mirabile vous assiste à chaque étape : préparation des réponses à l'autorité de contrôle, organisation de la mise en conformité dans les délais requis, représentation auprès des autorités compétentes, et si nécessaire, contentieux devant les juridictions administratives ou civiles.
La conformité RGPD ne tient pas uniquement dans les documents. Elle repose aussi sur les pratiques quotidiennes de vos collaborateurs. Le cabinet propose des sessions de sensibilisation adaptées à votre secteur et à votre taille, pour faire de la protection des données un réflexe intégré dans votre culture d'entreprise.
Bon à savoir : Exemple pratique : une PME du secteur de la santé numérique nous a contactés après avoir reçu une mise en demeure de la CNIL. En moins de six semaines, nous avons mis en place le registre des traitements, formalisé les DPA avec trois sous-traitants, rédigé une nouvelle politique de confidentialité et mis en conformité les mécanismes de consentement. La CNIL a clos la procédure sans sanction.
En 2026, les autorités de contrôle européennes et la CNIL ont clairement signalé leur intention de renforcer l'application du RGPD, y compris vis-à-vis des TPE et PME. Les sanctions prononcées ces derniers mois le confirment : la conformité n'est plus réservée aux grandes entreprises. Elle s'impose à toute structure qui collecte, traite ou stocke des données personnelles, qu'elle soit e-commerçante, startup, artisan, libérale ou associative.
L'audit RGPD est le premier pas indispensable. Il vous permet de savoir où vous en êtes, d'agir en priorité sur les risques les plus importants et de documenter votre démarche pour pouvoir en rendre compte. C'est aussi un signal fort envoyé à vos clients et partenaires : celui d'une organisation qui prend au sérieux la protection des données qui lui sont confiées.
Le cabinet Mirabile Avocat se tient à votre disposition pour évaluer votre situation, réaliser votre audit de conformité et vous accompagner sur le long terme dans la gestion de vos obligations au titre du RGPD et du droit du numérique.
Pour aller plus loin
L'audit RGPD est une photographie de la situation de l'organisation au regard des exigences du règlement européen et de la loi Informatique et Libertés. Il évalue le niveau de conformité, identifie les écarts et oriente les actions correctives à mettre en place.
En 2026, la conformité au RGPD est une obligation sanctionnée avec une vigueur croissante par la CNIL. L'audit permet de savoir où en est réellement l'organisation, d'identifier les manquements et de réduire le risque de sanction avant un éventuel contrôle.
La sanction prononcée contre France Travail en janvier 2026, soit 10 millions d'euros d'amende pour manquement à l'article 32 du RGPD, rappelle que même les grandes organisations ne sont pas à l'abri. Elle illustre la vigueur croissante des contrôles.
L'audit RGPD examine les traitements, le registre, les bases légales, l'information des personnes, la sécurité des données, la gestion des droits et la documentation. Cet état des lieux complet mesure la conformité et identifie les actions correctives prioritaires.
Oui. Pour les entreprises privées, TPE, PME, startups et e-commerçants, la question n'est plus de savoir s'il faut se conformer, mais de savoir où en est l'organisation. L'audit RGPD répond précisément à ce besoin d'évaluation, quelle que soit la taille.
À l'issue de l'audit, l'organisation dispose d'un état des lieux et d'un plan d'actions correctives priorisées. La mise en œuvre de ces actions permet de combler les écarts identifiés et d'élever le niveau de conformité au RGPD.
Oui. En identifiant les manquements avant un contrôle, l'audit permet de les corriger et de démontrer une démarche de conformité. Cela réduit le risque de sanction de la CNIL, dont les amendes peuvent atteindre des montants élevés.
Un avocat aide à réaliser un audit RGPD complet, à interpréter les écarts au regard du règlement et de la loi Informatique et Libertés, et à structurer le plan d'actions. Cet accompagnement sécurise la conformité et limite le risque de sanction.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin