Liste de contrôle RGPD pour PME françaises (2026) : 35 points

En 2024, la CNIL a sanctionné Cdiscount à hauteur de 100 000 € pour des défaillances dans le recueil du consentement cookies. Ce n'est pas une amende réservée aux grandes entreprises. Avec la procédure simplifiée, la CNIL peut sanctionner un site de PME en quelques semaines, sans procédure longue et sans publication obligatoire de la décision.

Cette liste couvre 35 points de contrôle répartis par domaine. Ouvrez votre site dans un onglet, cette liste dans l'autre, et cochez point par point.

Analysez votre site gratuitement

1. Politique de confidentialité

La politique de confidentialité doit satisfaire les articles 13 et 14 du RGPD. Voici les éléments les plus souvent manquants.

• Identité du responsable de traitement. Votre raison sociale, adresse complète, numéro SIRET ou SIREN. Si vous avez désigné un délégué à la protection des données (DPD), ses coordonnées de contact doivent figurer séparément.
• Finalités et base légale par traitement. Un formulaire de contact, une newsletter et Google Analytics ont chacun leur finalité propre et leur base légale distincte. « Nous traitons vos données pour améliorer nos services » ne satisfait pas l'article 13(1)(c).
• Catégories de données traitées. Nommez les données concrètes : nom, adresse email, adresse IP, données de navigation, données de paiement. « Données personnelles » seul est insuffisant.
• Destinataires. Citez vos prestataires par nom : hébergeur, outil d'emailing, plateforme analytics, processeur de paiement. L'article 13(1)(e) exige de mentionner les catégories de destinataires, et la bonne pratique est de les nommer explicitement.
• Durées de conservation. « Aussi longtemps que nécessaire » est systématiquement insuffisant pour la CNIL. Indiquez des durées concrètes par catégorie : « Les demandes de contact sont conservées 24 mois. »
• Droits des personnes. Accès, rectification, effacement, limitation, portabilité et opposition. L'article 13(2)(b) exige que vous expliquiez comment les exercer. Fournissez une adresse email dédiée ou un formulaire de demande.
• Droit de réclamation. Mentionnez le droit de déposer une plainte auprès de la CNIL avec le lien direct vers cnil.fr/fr/plaintes.
• Transferts hors UE. Si vous utilisez Google Analytics, Mailchimp, Stripe ou tout outil américain, indiquez la base juridique du transfert : clauses contractuelles types ou Data Privacy Framework. L'article 13(1)(f) l'exige.

2. Cookies et traceurs (LIL Art. 82)

Le régime cookies en France repose sur deux textes cumulatifs : le RGPD pour la licéité du traitement et l'article 82 de la loi Informatique et Libertés pour le dépôt des cookies sur le terminal. La CNIL a publié un guide cookies mis à jour en 2023 qui fait référence.

• Pas de dépôt avant consentement. Ouvrez votre site en navigation privée. Dans les DevTools (F12 → onglet Réseau), rechargez la page sans toucher à la bannière. Si des requêtes partent vers google-analytics.com, facebook.com/tr, ou tout domaine de tracking, votre bannière ne bloque pas réellement les scripts. C'est la violation la plus sanctionnée par la CNIL.
• Refus en un clic. La CNIL précise que refuser doit être aussi simple qu'accepter. Si « Accepter tout » est un bouton mis en avant et que « Refuser » est un lien discret ou accessible uniquement via « Paramétrer », c'est un dark pattern invalide. La délibération CNIL n° 2021-019 formalise ce principe.
• Inventaire des cookies. Listez chaque cookie dans votre politique cookies : nom, domaine, finalité, durée. Comparez avec ce que DevTools → Application → Cookies révèle réellement sur votre site. Tout cookie présent mais absent de la liste constitue un manquement.
• Durée des cookies analytiques. La CNIL recommande 13 mois maximum pour les cookies de mesure d'audience. Au-delà, un renouvellement de consentement est nécessaire.
• Retrait du consentement. L'article 7(3) du RGPD garantit que retirer son consentement doit être aussi aisé que le donner. Votre site doit permettre de modifier ses préférences après la première visite.
• Cookies essentiels. Les cookies strictement nécessaires au fonctionnement (session, panier, sécurité CSRF) sont exemptés de consentement. Vérifiez que votre bannière ne demande pas le consentement pour ces cookies, ce qui fausse l'image des finalités.

3. Mentions légales (LCEN)

La loi pour la confiance dans l'économie numérique (LCEN) impose des mentions légales distinctes de la politique de confidentialité.

• SIRET/SIREN visible. Tout site professionnel doit afficher son numéro SIRET ou SIREN. Pour les auto-entrepreneurs, le numéro SIRET suffit.
• Adresse complète. L'adresse du siège social ou de l'établissement doit figurer dans les mentions légales.
• Hébergeur nommé. Nom, adresse et numéro de téléphone ou formulaire de contact de l'hébergeur.
• Directeur de la publication identifié. Pour les personnes morales, nom du représentant légal. Pour les personnes physiques, votre propre nom.
• Page de mentions légales accessible depuis chaque page. Un lien dans le pied de page suffit, mais il doit être présent sur toutes les pages du site.

4. Formulaires et base légale

• Lien vers la politique de confidentialité. Un formulaire de contact ou d'inscription doit afficher un lien vers la politique de confidentialité avant la soumission. Formulaire soumis sans information préalable = traitement non licite.
• Consentement marketing découplé. Si vous recueillez une adresse email pour répondre à une demande et souhaitez également envoyer des communications commerciales, ces deux bases légales doivent être séparées. La case pour la newsletter doit être décochée par défaut, conformément à la décision de la CJUE dans l'affaire Planet49 (C-673/17).
• Double opt-in pour les newsletters. Pratique recommandée par la CNIL pour documenter le consentement. Le destinataire reçoit un email de confirmation et clique pour valider son inscription.
• Collecte minimale. Un formulaire de prise de contact ne doit pas demander la date de naissance, la civilité ou le numéro de téléphone si ces données ne sont pas nécessaires à la réponse. L'article 5(1)(c) impose la minimisation des données.
• CGU et CGV séparées de la politique de confidentialité. Les conditions générales d'utilisation ou de vente ne remplacent pas la politique de confidentialité. Ce sont des documents distincts avec des fonctions juridiques différentes.

5. Sous-traitants (Art. 28)

• Contrat de traitement de données (DPA) signé. Pour chaque outil qui traite des données personnelles en votre nom : hébergeur, outil emailing, analytics, CRM, processeur de paiement. Les grands prestataires (AWS, Google, Mailchimp, Stripe) proposent ces contrats dans leur espace client ou page légale. Archivez la preuve d'acceptation.
• Registre des sous-traitants à jour. La liste doit correspondre aux outils réellement utilisés. Un DPA signé avec Mailchimp alors que vous avez migré vers Brevo constitue un manquement.
• Clauses contractuelles types pour les transferts hors UE. Pour les prestataires américains non couverts par le Data Privacy Framework, des clauses contractuelles types (CCT) sont nécessaires. Vérifiez que votre DPA les inclut.

6. Durées de conservation

• Données comptables : 10 ans. L'article L. 123-22 du Code de commerce impose une conservation de 10 ans pour les livres, registres et documents comptables. Les données clients liées à des factures tombent sous cette règle pour leur dimension comptable.
• Prospection commerciale : 3 ans sans contact actif. Au-delà de 3 ans sans interaction du prospect, les données doivent être supprimées ou anonymisées selon les recommandations CNIL.
• Logs techniques. Les fichiers de journalisation contenant des adresses IP sont généralement conservés 12 mois maximum. Au-delà, une justification spécifique est nécessaire.
• Suppression automatisée. Une politique de conservation documentée sans mise en œuvre technique ne satisfait pas la CNIL. Vérifiez que vos systèmes suppriment ou anonymisent réellement les données à l'échéance.

7. Sécurité technique (Art. 32)

L'article 32 du RGPD exige des « mesures techniques et organisationnelles appropriées ». Pour un site web PME, les points minimaux sont les suivants.

• HTTPS partout. Chaque page doit charger en HTTPS. Une page HTTPS qui charge des ressources en HTTP (contenu mixte) constitue un manquement. Testez avec SSL Labs.
• En-têtes de sécurité. Vérifiez votre score sur securityheaders.com. Un niveau en dessous de B signale l'absence d'en-têtes comme Content-Security-Policy, Strict-Transport-Security ou X-Content-Type-Options.
• CMS et plugins à jour. Une installation WordPress non mise à jour avec des vulnérabilités connues ne constitue pas une mesure de sécurité appropriée. La CNIL a cité des défauts de mise à jour dans plusieurs décisions.
• Contrôle d'accès administrateur. Authentification à deux facteurs sur tous les comptes à droits étendus. Mots de passe uniques et complexes.
• Sauvegardes vérifiées. L'existence de sauvegardes doit être régulièrement testée. Une sauvegarde non restaurable n'est pas une mesure de sécurité.

8. Droits des personnes (Art. 15-22)

• Procédure de traitement des demandes. Disposez-vous d'un processus pour répondre aux demandes d'accès, de rectification ou d'effacement dans le délai légal de 30 jours ?
• Délai de réponse. Passé 30 jours sans réponse, la personne peut saisir directement la CNIL. Documentez vos réponses pour pouvoir démontrer le respect du délai.
• Droit à la portabilité. Pour les données traitées sur la base du consentement ou d'un contrat, la personne peut demander un export dans un format structuré et lisible par machine.

9. DPO / Référent RGPD

• Désignation obligatoire. Le DPO est obligatoire pour les organismes publics, les entreprises traitant des données à grande échelle, et les entreprises dont l'activité principale implique un suivi régulier et systématique des personnes. Pour la plupart des PME e-commerce classiques, il reste facultatif mais recommandé.
• Enregistrement auprès de la CNIL. Si vous désignez un DPO, son identité doit être notifiée à la CNIL via le portail de notification.

10. Transferts hors UE

• Data Privacy Framework (DPF). Les entreprises américaines certifiées sous le DPF sont couvertes pour les transferts depuis l'UE. Vérifiez la certification de vos prestataires sur dataprivacyframework.gov.
• Clauses contractuelles types (CCT). Pour les prestataires hors UE non couverts par une décision d'adéquation, les CCT publiées par la Commission européenne en 2021 sont le mécanisme standard.
• Documentation du transfert. Chaque transfert doit être documenté dans le registre des traitements avec la base juridique retenue.

Score et prochaines étapes

Passé en revue les 35 points, classez vos constats par priorité.

Points à corriger immédiatement : scripts chargés avant consentement, absence de politique de confidentialité, absence de mentions légales, cases à cocher pré-cochées pour la newsletter.

Points à traiter dans les 30 jours : politique de confidentialité incomplète, DPA manquants, durées de conservation non documentées, en-têtes de sécurité.

Points à planifier : AIPD si un traitement à risque élevé est identifié, désignation d'un référent RGPD, revue annuelle du registre des traitements.

Pour aller plus loin dans la démarche technique, consultez notre guide Audit RGPD de votre site web.

Foire aux questions

La procédure simplifiée de la CNIL s'applique-t-elle aux petites entreprises ?

Oui. La procédure simplifiée a été conçue précisément pour traiter rapidement les manquements courants des PME. Les amendes vont jusqu'à 20 000 € et les décisions ne sont généralement pas publiées. La CNIL utilise des robots automatisés pour détecter les problèmes de cookies à grande échelle, ce qui signifie qu'un site PME peut être identifié sans plainte préalable.

Quelles données la CNIL peut-elle vérifier lors d'un contrôle ?

La CNIL peut inspecter le fonctionnement technique de votre bannière cookies, votre politique de confidentialité, vos mentions légales, vos formulaires de collecte, vos contrats de sous-traitance et vos mesures de sécurité. Elle peut demander l'accès à votre registre des traitements. Les contrôles en ligne se font souvent sans avertissement préalable.

La distinction CGU/CGV/politique de confidentialité est-elle obligatoire ?

Les CGU, CGV et politique de confidentialité sont trois documents distincts répondant à des obligations légales différentes. Les CGU et CGV relèvent du Code de la consommation et du droit des contrats. La politique de confidentialité répond aux exigences du RGPD. La CNIL n'accepte pas qu'une clause RGPD insérée dans des CGU remplace une politique de confidentialité dédiée.

Ai-je besoin d'une AIPD pour mon site e-commerce ?

Probablement pas pour une boutique classique. L'AIPD est obligatoire pour les traitements à risque élevé : profilage comportemental à grande échelle, traitement de données de santé, données de géolocalisation précise en temps réel. Un site e-commerce standard avec Google Analytics et une newsletter entre rarement dans ces catégories. Consultez la liste des traitements pour lesquels l'AIPD est requise publiée par la CNIL pour votre situation spécifique.

---

Cet article est une analyse technique, pas un conseil juridique. Pour un avis adapté à votre situation, consultez un avocat spécialisé en droit des données.

Sources

• RGPD (Règlement 2016/679) sur EUR-Lex
• Loi Informatique et Libertés (Legifrance)
• CNIL : Guide cookies et autres traceurs (2023)
• CNIL : Sanctions prononcées
• Code de commerce, article L. 123-22 (Legifrance)