RGPD 2026 : le guide complet pour les TPE et PME françaises

Conformité, DPO, AIPD, sanctions CNIL, sous-traitance Article 28 — tout ce que vous devez savoir et faire en 2026, avec une méthode opérationnelle prête à exécuter.

§1. Le RGPD en 2026 — pourquoi votre TPE ou PME est concernée

Le RGPD — Règlement général sur la protection des données — est entré en application le 25 mai 2018 dans l’ensemble de l’Union européenne (Règlement UE 2016/679). Huit ans après, il reste le socle réglementaire applicable à toute organisation traitant des données personnelles de résidents européens, quelle que soit sa taille. En droit interne, il est complété par la Loi n° 78-17 du 6 janvier 1978 (modifiée par la Loi n° 2018-493) et le Décret n° 2018-687. La CNIL a sanctionné 87 entreprises en 2025 pour 55,2 M€ d’amendes cumulées, soit +107 % vs 2024. 32 % des contrôles 2025 ont visé des TPE et PME (contre 18 % en 2023) : la procédure simplifiée (Article 22 Loi 78-17 modifiée) abaisse mécaniquement le seuil d’exposition des structures de moins de 50 salariés [FAIT – CNIL bilan annuel 2025]. Ce n’est plus un sujet juridique réservé aux grandes entreprises ; c’est un sujet de pilotage opérationnel pour toute entreprise française qui traite des emails de prospects, des fiches clients ou des données de salariés.

RGPD c’est quoi exactement (définition officielle)

Le RGPD (en anglais GDPR) est directement applicable dans les 27 États membres sans transposition nationale et poursuit deux objectifs cumulatifs (Considérant 13) : renforcer les droits fondamentaux des personnes et harmoniser le cadre juridique européen. La définition officielle d’une donnée personnelle est posée à l’Article 4.1 : « toute information se rapportant à une personne physique identifiée ou identifiable » — nom, email, adresse IP, identifiant client, géolocalisation, données de profilage. Toute entreprise française qui collecte ou traite ces données — même un artisan qui conserve un carnet d’adresses Excel — est concernée. La taille de l’entreprise ne change pas le principe d’applicabilité.

Les chiffres CNIL 2025 : 32 % des contrôles visent les TPE/PME

Le bilan annuel CNIL 2025 documente une bascule structurelle. 5 629 notifications de violations enregistrées en 2024 (+20 % vs 2023), dont 40 incidents touchant plus d’un million de personnes. La CNIL sanctionne désormais autant les mesures de sécurité insuffisantes (Article 32) que les défauts d’information (Articles 13-14). Cas exemplaires : procédure Free/Iliad d’octobre 2024 ayant abouti à une décision CNIL au quatrième trimestre 2026, illustrant l’aggravation des sanctions cumulées pour défauts de sécurité (Article 32) et de notification (Articles 33-34) [SOURCE : CNIL délibération à publier · vérifier à la date de mise en production] ; sanction Boulanger septembre 2024 (manquements Articles 32 et 33).

RGPD, AI Act, NIS2, VSME : la convergence réglementaire 2026-2027

Quatre cadres se superposent en 2026-2027 : AI Act (Règlement UE 2024/1689, Article 4 littératie applicable depuis le 02/02/2025, risque limité août 2026, risque élevé août 2027) ; NIS2 (Directive UE 2022/2555, transposition française T2-T3 2026, ReCyF ANSSI mars 2026 étendant le périmètre à 15 000-18 000 entités, contre environ 500 sous NIS1) ; VSME (référentiel ESG simplifié EFRAG décembre 2024) ; Loi française Résilience NIS2 T2-T3 2026. Coût moyen d’une cyberattaque PME : 466 000 € (ANSSI 2024). 60 % des PME victimes ferment dans les 18 mois (Infolegale 2024). La conformité RGPD seule ne suffit plus : elle est l’épine dorsale d’une architecture RGPD + AI Act + NIS2 qu’il faut piloter de manière coordonnée. [INFÉRENCE – CONFIANCE FORTE]

§2. Vous êtes une TPE — comment vous mettre en conformité simplement

Vous dirigez une TPE de 0 à 9 salariés. Ni juriste interne, ni DPO désigné, ni budget pour un cabinet. Vous traitez pourtant des données personnelles tous les jours : fiches clients, devis, factures, prospects, signature électronique, formulaire de contact. La conformité pour une TPE ne consiste pas à transformer votre entreprise en cabinet d’avocats. Elle consiste à centraliser trois documents, piloter quelques gestes opérationnels et conserver des traces datées. Investissement maîtrisé : 800 à 2 500 € en première année (audit + livrables + formation, retours France Num 2025). Vous restez aux commandes. L’objectif n’est pas de tout savoir : c’est de tout retrouver le jour d’un contrôle CNIL ou d’une demande client. Vous n’êtes pas tenu de désigner un DPO (Article 37.1), sauf suivi régulier et systématique à grande échelle ou traitement de données sensibles (Article 9).

La conformité pensée pour votre rythme

La même rigueur que pour les grands groupes, dans un format adapté à votre quotidien. Vous décidez du calendrier ; nous structurons les étapes. Un dirigeant TPE a besoin de trois livrables prêts à présenter (registre, politique de confidentialité, bannière cookies) et d’un réflexe documenté en cas de demande client.

Les 8 obligations essentielles pour une TPE de 0 à 9 salariés

  1. Tenir un registre des traitements (Article 30, version simplifiée) ;
  2. Identifier la base légale (Article 6 : consentement, contrat, obligation légale, intérêts vitaux, mission service public, intérêt légitime) ;
  3. Informer les personnes concernées (Articles 12-14) ;
  4. Permettre l’exercice des droits (Articles 15-22) ;
  5. Sécuriser les données (Article 32) ;
  6. Encadrer les sous-traitants (Article 28 — DPA) ;
  7. Notifier les violations (Article 33 — CNIL sous 72 h) ;
  8. Conserver les preuves (accountability Article 5.2).

Registre des traitements simplifié : modèle prêt à compléter

L’Article 30.5 autorise les structures de moins de 250 salariés à tenir un registre simplifié « sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 » [FAIT — Texte intégral Article 30.5, EUR-Lex]. En pratique, dès qu’une TPE traite régulièrement de la donnée client (CRM, mailing), la dérogation s’éteint. Modèle CNIL téléchargeable. Notre Guide AIPD pas à pas détaille les cas obligatoires.

Cookies, mentions légales, politique de confidentialité — les 3 livrables minimum

Trois pages : politique de confidentialité (exemple OGMA) conforme Articles 13-14 ; page cookies (page cookies avec bannière fail-closed et refus aussi simple que l’acceptation — délibération CNIL n° 2020-091 du 17/09/2020) ; mentions légales (LCEN n° 2004-575, Article 6-III).

Combien coûte la conformité pour une TPE en 2026

800 à 2 500 € en première année, hors temps dirigeant. Audit initial (300-800 €), rédaction des trois livrables (400-1 000 €), formation littératie IA (gratuit via MOOC CNIL — Article 4 AI Act depuis le 02/02/2025). À comparer aux 20 000 € d’amende plancher procédure simplifiée et aux 466 000 € de coût moyen d’une cyberattaque PME (ANSSI 2024). L’audit offert OGMA, 30 minutes en visioconférence, est un point d’entrée gratuit.

§3. Vous êtes une PME — sécurisez votre conformité et capitalisez sur la souveraineté

Vous dirigez une PME de 10 à 250 salariés (services B2B, industrie sous-traitante, tech ou FinTech régulée). Votre exposition n’est plus celle d’une TPE : volumes dix fois supérieurs, SI distribué, multi-prestataires SaaS, sous-traitance en cascade NIS2, exigences clients grands comptes ou ACPR/AMF. 52 % des PME françaises citent la peur du vol de données par des tiers américains ou chinois comme obstacle majeur à l’adoption de l’IA, et 32 % exigent un fournisseur basé en Europe comme condition stricte [FAIT – IONOS/YouGov n=250 PME FR février 2026]. Une non-conformité documentée n’est plus seulement un risque CNIL : c’est un risque commercial direct (perte d’appel d’offres, sortie de panel défense/aéronautique, déréférencement plateforme régulée). À l’inverse, une conformité documentée associée à une souveraineté infrastructure devient un argument de vente structurant.

Conformité PME : enjeux stratégiques et risques financiers documentés

Pour une PME de 50 salariés, la non-conformité documentée est estimée entre 50 000 et 200 000 €/an ; s’y ajoute le risque NIS2 cascade — jusqu’à 10 M€ ou 2 % CA mondial pour les entités essentielles, 7 M€ ou 1,4 % CA mondial pour les entités importantes (Directive UE 2022/2555 Article 34 §4, le plus élevé). La mise en conformité industrialisée représente 80-250 K€/an la première année, puis 30-80 K€/an en run. Guide DORA et AI Act FinTech pour les PME régulées ACPR/AMF.

DPO interne, mutualisé ou externalisé : comment choisir

L’Article 37 impose la désignation d’un DPO dans trois cas : autorité ou organisme public ; suivi régulier et systématique à grande échelle ; traitement à grande échelle de données sensibles (Article 9) ou relatives à des condamnations (Article 10). Le Décret n° 2018-687 précise les modalités et l’indépendance fonctionnelle (Article 38). Missions énumérées à l’Article 39 : informer, conseiller, contrôler, coopérer avec la CNIL. Trois options : interne (60-90 K€/an, PME > 100 sal.), mutualisé (8-25 K€/an, PME 30-100 sal.), externalisé (12-40 K€/an). Guide DPO externalisé. Le DPO est une fonction réglementée exercée par une personne physique nommément désignée — aucun outil logiciel ne peut s’y substituer.

AIPD (Analyse d’Impact) : quand elle est obligatoire, comment la conduire

L’AIPD (Article 35.1) est obligatoire dès qu’un traitement présente un risque élevé pour les droits et libertés des personnes : profilage à grande échelle, surveillance systématique, données sensibles, mineurs, technologies nouvelles. La CNIL publie deux listes (délibérations 2018-327 et 2019-118).

Méthodologie de référence : Lignes directrices EDPB 9/2022 + WP248 rev.01 — formule multiplicative :

DPC = SE × CB + RB

DPC = Data Protection Concerns · SE = Severity (gravité, 1-4) · CB = Confidentiality Breach likelihood (probabilité, 1-4) · RB = Risk Buckets.

Conforme Article 35 RGPD et délibération CNIL n° 2018-327 du 11 octobre 2018 (liste des traitements à AIPD obligatoire). La CNIL met à disposition l’outil PIA Software gratuit et open source. Pour les Agents d’IA générative, l’AIPD est quasi systématique (Considérant 91 + recommandations CNIL 2024-2025 sur les modèles de langage). Guide AIPD étape par étape.

Article 28 : sécurisez vos contrats sous-traitants (DPA)

L’Article 28 impose que chaque sous-traitant soit lié par un DPA. Dix mentions obligatoires (Article 28.3) : objet · durée · nature · finalité · types de données · catégories de personnes · obligations et droits du responsable · mesures de sécurité (Article 32) · sous-traitance ultérieure avec autorisation écrite préalable · restitution ou suppression en fin de prestation. Une PME française travaille avec 15-40 sous-traitants ; auditer ces contrats représente 60-120 heures la première année. Le défaut de DPA conforme est fréquemment relevé en contrôle CNIL. Modèle dans notre Article 28 RGPD.

Souveraineté France et anti-Cloud Act : argument commercial décisif

46 % des entreprises françaises citent l’IA comme raison principale d’adopter un cloud souverain (vs 30 % EMEA, PwC EMEA 2025) [FAIT]. L’arrêt CJUE Schrems II du 16 juillet 2020 (C-311/18) a invalidé le Privacy Shield. Le Cloud Act US Section 2383 autorise les autorités américaines à exiger d’un fournisseur basé aux États-Unis la communication de données conservées à l’étranger. Pour une PME répondant à des appels d’offres défense, aéronautique, santé ou public, la souveraineté infrastructure 100 % France n’est pas une option de communication : c’est une condition d’éligibilité commerciale. OGMA Systems opère cette souveraineté de bout en bout (Pillar Souveraineté IA France · Expertise FinTech).

Pré-audit RGPD offert · sans engagement →

§4. Conformité RGPD pas à pas — la méthode opérationnelle OGMA en 7 étapes

La méthode opérationnelle OGMA en 7 étapes condense ce qu’un DPO senior réalise sur un cycle complet, présenté sous forme exécutable. Le principe : centraliser les preuves, piloter les délais, conserver les traces. Aucune étape ne dépend d’un outil OGMA. Ce qui change, c’est le temps gagné sur la collecte, la mise à jour et la traçabilité — pas la nature des étapes [INFÉRENCE – CONFIANCE FORTE].

Étape 1 — Audit RGPD : cartographier vos traitements (registre Article 30)

Recenser chaque traitement : finalité, catégories de données, destinataires, durées, sous-traitants, transferts hors UE, mesures de sécurité (Article 32). Sortie : registre Article 30 complet et daté. Durée moyenne TPE 8-15 h ; PME 40-120 h.

Étape 2 — Identifier les bases légales (Article 6 et Article 9)

L’Article 6.1 énumère limitativement six bases : consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêts légitimes. Un même traitement repose sur une seule base (panachage non conforme — CNIL SAN Free Mobile 2019). Les données sensibles (Article 9 : origine raciale, opinions politiques, convictions religieuses, syndicales, génétiques, biométriques, santé, vie ou orientation sexuelle) exigent une dérogation expresse.

Étape 3 — Documenter et sécuriser les transferts hors UE (Cloud Act + Schrems II)

Tout transfert vers un pays non couvert par une décision d’adéquation (Article 45) doit être encadré (Article 46) : CCT Commission UE du 4 juin 2021, BCR, codes de conduite, certifications. Un Transfer Impact Assessment (TIA) documenté est obligatoire (recommandations EDPB 01/2020) : analyse de la législation destinataire, risques d’accès gouvernemental (Cloud Act, FISA 702), mesures supplémentaires (chiffrement, pseudonymisation). Les transferts vers les États-Unis sont à nouveau encadrés par le Data Privacy Framework (10 juillet 2023). Les principaux outils SaaS américains hébergés hors UE doivent figurer au registre des transferts.

Étape 4 — Mettre en place les droits des personnes (Articles 15 à 22)

Sept droits : accès (15), rectification (16), effacement (17), limitation (18), portabilité (20), opposition (21, y compris profilage), décision automatisée (22). L’Article 12.3 impose un délai de réponse d’un mois prolongeable de deux mois, avec information préalable de la personne dans le premier mois. PME : 3-15 demandes/an ; TPE 0-3. Sortie : procédure + adresse email dédiée.

Étape 5 — Gérer les violations de données en 72 h (Article 33)

L’Article 33.1 impose, « en cas de violation de données à caractère personnel, [au responsable du traitement de] notifier la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » [FAIT — Texte intégral Article 33.1]. L’Article 34 ajoute : si risque élevé, le responsable communique la violation à la personne concernée dans des termes clairs. Sanction jusqu’à 10 M€ ou 2 % du CA mondial (Article 83 §4). Sortie : procédure incident + template email.

Étape 6 — Former vos équipes (Article 4 AI Act + accountability RGPD)

Depuis le 2 février 2025, l’Article 4 du Règlement UE 2024/1689 (AI Act) rend obligatoire « la mise en place de mesures pour atteindre, dans la mesure du possible, un niveau suffisant de littératie en matière d’IA » du personnel et de toute personne s’occupant du fonctionnement des systèmes d’IA en leur nom [FAIT — Texte intégral Article 4]. Cette obligation s’articule avec l’Article 39.1.b plaçant la sensibilisation dans les missions du DPO. Le MOOC CNIL « L’atelier RGPD » (gratuit, 5 h) est le point d’entrée le plus efficient. Sortie : attestations datées (Article 5.2).

Étape 7 — Maintenir la conformité dans le temps (audit annuel)

L’accountability (Article 5.2) impose une revue continue : registre, bases légales, DPA (Article 28), test procédure 72 h, revue AIPD (Article 35.11), audit cookies, CCT. Pour un Agent IA, l’audit révise également journaux applicatifs, jeux de prompts, politiques d’usage et indicateurs de dérive. Sortie : rapport annuel signé direction + DPO.

§5. Comment OGMA va plus loin que le RGPD — 3 Agents IA Gouvernés pour votre TPE ou PME

OGMA Systems opère une Conciergerie IA sur mesure pour TPE et PME françaises. Principe simple : vous décidez, l’Agent IA Gouverné travaille pour vous, dans un cadre conforme à l’AI Act, au RGPD et aux exigences NIS2. À Mois 2, trois Agents IA Gouvernés sont disponibles, conçus comme un système cohérent. La promesse n’est pas de remplacer vos conseils (DPO, avocat, expert-comptable). La promesse est de centraliser ce que vous documentez déjà, piloter les délais réglementaires, et conserver les preuves sous un format auditable. Vos cas d’usage modèlent les Agents privés. Vos décisions restent les vôtres.

Le Conformité Privé OGMA — votre assistant pour votre DPO désigné

Le Conformité Privé OGMA centralise votre registre Article 30, vos AIPD (méthodologie Guide PIA CNIL + WP248 rev.01 endossée EDPB, approche multiplicative DPO française), vos DPA Article 28, votre procédure droits Articles 15-22, votre journal de violations Article 33, votre plan de littératie AI Act Article 4. L’outil pré-rédige, journalise, alerte sur les délais (72 h, un mois). Il ne signe rien, ne décide rien, n’engage pas. Le dirigeant et son DPO restent les seuls décideurs. Périmètre Mois 2 : RGPD + AI Act + NIS2 + VSME. Aucun concurrent identifié sur le marché français généraliste TPE/PME ne couvre ces quatre cadres [INFÉRENCE – CONFIANCE FORTE — DR-D2 cartographie 40 acteurs]. Roadmap : Le Cybersécurité Privé OGMA (M4) · Le Trésorerie Privé OGMA (M5) · Le Facturation Privé OGMA (M6).

Découvrir Le Conformité Privé OGMA →

Le Stratégie Privé OGMA — pilotez vos décisions sous contrainte réglementaire

Le Stratégie Privé OGMA sécurise les décisions de direction sous contrainte RGPD/AI Act/NIS2/VSME (DORA si FinTech) : il documente la base légale d’un nouveau traitement, simule l’AIPD préliminaire, restitue les arbitrages opportunité-risque dans un langage de dirigeant. Cas type : lancement d’un CRM, recrutement automatisé (AI Act Annexe III §4), expansion européenne. Vous arbitrez ; l’Agent documente les chemins et leurs garde-fous.

Découvrir Le Stratégie Privé OGMA →

Le Conseiller Commercial Privé OGMA — relation client RGPD-native

Le Conseiller Commercial Privé OGMA structure votre prospection et votre suivi commercial : qualification de la base légale (intérêt légitime Article 6.1.f vs consentement 6.1.a), gestion de l’opposition Article 21, traçage horodaté du parcours prospect, alerte en cas de bascule en données sensibles Article 9. Différenciateur : la mémoire métier persistante — l’Agent connaît le contexte de chaque client sans réinjection manuelle. Conciergerie de relation, pas agent autonome de prospection.

Découvrir Le Conseiller Commercial Privé OGMA →

La Conciergerie IA sur mesure : 3 Agents privés, une seule équipe

Les 3 Agents fonctionnent ensemble. Ils partagent la mémoire métier persistante (architecture pgvector souveraine hébergée en France) et le Compliance Gate fail-closed (§6). 85 % d’Agents IA Gouvernés, 15 % d’expertise humaine, zéro substitution aux professions régulées, zéro Cloud Act.

§6. Pourquoi OGMA Systems pour votre conformité RGPD — 6 différenciateurs combinatoires

Six différenciateurs combinatoires, pas isolés. Aucun acteur identifié sur le marché français B2B ne combine simultanément les six attributs ci-dessous [INFÉRENCE – CONFIANCE FORTE — DR-D2 sur 40 acteurs cartographiés].

Compliance Gate fail-closed — la conformité est une barrière, pas une option

Chaque action d’un Agent IA Gouverné OGMA passe par un Compliance Gate fail-closed : couche logicielle qui refuse par défaut toute opération non autorisée par la politique d’usage. Toute requête contenant une donnée sensible non autorisée, tout prompt hors périmètre, toute exfiltration potentielle est bloquée avant exécution, journalisée et notifiée. Aucun équivalent générique documenté chez les concurrents directs.

AXIOM : 3 743 tests automatisés, audit A− (9/10)

AXIOM, testing infrastructure propriétaire, exécute 3 743 tests automatisés sur chaque déploiement et applique 171 flags de contrôle. Audit indépendant A− (9/10) daté et publiable (trust page propriétaire Phase D-E). Preuves, pas promesses.

Souveraineté France — hébergement français, hors Cloud Act

Infrastructure 100 % France : modèles open source hébergés chez Scaleway (Paris, ISO 27001), endpoints UE, Plausible Analytics (Estonie UE), Hetzner (Allemagne UE) en redondance. Aucun flux ne traverse de juridiction soumise au Cloud Act US Section 2383. Argument commercial documentable et opposable lors de tout audit Article 28.

Mémoire métier persistante — votre Agent connaît votre entreprise

Différenciateur n°1 confirmé empiriquement DR-D1 + DR-B. La mémoire métier persistante OGMA (architecture pgvector propriétaire) permet à chaque Agent de capitaliser sur l’historique des interactions, décisions et documents, dans le strict respect des durées de conservation (Article 5.1.e). Aucun concurrent généraliste TPE/PME France ne propose une mémoire métier équivalente avec garantie de souveraineté.

Innovation IA française — composantes R&D vérifiables

OGMA Systems revendique une posture innovation française à composante R&D significative, adossée à six composantes techniques vérifiables et auditables :

  1. Architecture technique propriétaire — pgvector + multi-modèle souverain + Compliance Gate fail-closed + AXIOM 3 743 tests automatisés audités A−.
  2. Différenciateurs combinatoires — 8 attributs uniques validés empiriquement sur 40 acteurs cartographiés (cf. DR-D2 livrée).
  3. Barrière à l’entrée technique — Compliance Gate fail-closed + cadre #222 défendable + Scaleway France + mémoire métier persistante.
  4. Cycle conception long — conception 2024, mise en marché 2026 (trois ans de développement fondateur).
  5. Investissement R&D significatif — 3 743 tests + 171 flags + architecture multi-couches documentée.
  6. Risque maîtrisé by-design — Compliance Gate fail-closed + 8 Anti-Agents formalisés (cf. Lexique cible §2bis.9).

Note de transparence administrative : la qualification administrative DeepTech au sens du référentiel Bpifrance (4 critères vérifiables : lien recherche publique CNRS/SATT/PUI · barrière technologique forte · innovation de rupture · time-to-market long) sera consolidée Phase 2 post-PMF avec ancrage R&D formel. La présente section décrit les composantes techniques d’innovation française de l’architecture, distinctes du label DeepTech officiel Bpifrance qui requiert un dossier d’instruction dédié.

Cohorte fondatrice — 5 places diverses TPE/PME France en co-construction documentée

Cinq places diverses TPE/PME France à -50 % du prix catalogue pendant 24 mois prix gelé. Pas une promotion de lancement. Une Cohorte fondatrice (terme officiel — Lexique cible v1.7 L1) en co-construction documentée. Composition cible : 1 TPE-1 artisanat + 1 TPE-2 freelance digital + 1 TPE-3 SARL services + 1 PME-1 PMI industrielle + 1 PME-2 agence B2B/ESN. Éligibilité paliers LUG et TARANIS uniquement (DAGDA exclu). Engagement contractualisé 24 mois (sécurité juridique Code civil 1195 et 1170). Vos cas d’usage modèlent les Agents privés OGMA. Votre voix devient la preuve.

§7. Les sanctions CNIL en 2026 — ce que vous risquez réellement

Bilan CNIL 2025 : 87 sanctions, 55,2 M€ d’amendes, +107 % vs 2024

87 sanctions prononcées, 55,2 M€ cumulés, +107 % vs 2024 [FAIT – CNIL bilan annuel 2025, publié janvier 2026]. Mouvement expliqué par la procédure simplifiée (Article 22 Loi 78-17 modifiée par la Loi n° 2022-401) et la hausse des notifications spontanées (5 629 en 2024, +20 %, dont 40 incidents > 1 M de personnes). Les amendes RGPD plafonnées à 20 M€ ou 4 % du CA mondial (Article 83 §5) deviennent un risque systémique de gouvernance.

Procédure simplifiée CNIL : la TPE n’est plus à l’abri

L’Article 22 de la Loi n° 78-17 modifiée ouvre une procédure simplifiée devant la formation restreinte permettant des amendes plafonnées à 20 000 € prononcées par un membre unique sur la base d’un manquement non contesté. Utilisée à plusieurs reprises sur des TPE et PME en 2024-2025 (manquements cookies, registre Article 30, défaut de DPA Article 28). Sanctions plafonnées en valeur, prononçables sous 6-18 mois.

Sanctions par type de manquement (tableau de référence)

ManquementArticle RGPDPlafond Article 83Médiane observée 2024-2025
Défaut d’informationArt. 13-144 % CA / 20 M€5 000 – 50 000 €
Défaut de sécuritéArt. 322 % CA / 10 M€15 000 – 150 000 €
Défaut de base légaleArt. 64 % CA / 20 M€20 000 – 300 000 €
Défaut de notification 72 hArt. 332 % CA / 10 M€50 000 – 5 M€
Transferts hors UE non encadrésArt. 44-494 % CA / 20 M€100 000 – 2 M€
Défaut DPA sous-traitanceArt. 284 % CA / 20 M€TPE procédure simplifiée
Défaut AIPD obligatoireArt. 352 % CA / 10 M€Sanctions standard (jurisprudence cumulée)
Manquement répétéArt. 83.5jusqu’à 4 % CA mondial

§8. RGPD et IA générative — articulation avec l’AI Act 2026

ChatGPT et données personnelles : ce que dit la CNIL

L’usage de ChatGPT (ou de tout LLM grand public hébergé hors UE) pour traiter des données personnelles soulève quatre risques opposables : base légale incertaine (Article 6), information défaillante des personnes (Articles 13-14), transferts hors UE non encadrés (Articles 44-49 + Schrems II), AIPD défaillante (Article 35). La CNIL a publié recommandations IA générative 2024 et lignes directrices LLM juin 2025 appelant au paramétrage de la non-réutilisation des prompts pour l’entraînement. La CNB (Conseil National des Barreaux) a publié le 13 mars 2026 une doctrine rappelant que tout avocat doit pseudonymiser toute donnée identifiante avant prompt LLM, au visa de l’Article 226-13 du Code pénal — sanction encourue 1 an d’emprisonnement et 15 000 € d’amende. Cette doctrine, transposable analogiquement à toute profession réglementée, fixe l’attendu prudentiel pour 2026.

Article 4 AI Act sur la littératie : obligatoire depuis février 2025

L’Article 4 du Règlement UE 2024/1689 est entré en vigueur le 2 février 2025. Tout déployeur, tout fournisseur de systèmes d’IA en France doit organiser et tracer la littératie IA de ses équipes. La CNIL et l’ANSSI ont confirmé l’opposabilité de cette obligation lors d’un contrôle a posteriori. À défaut de plan documenté, le responsable expose une rupture d’accountability (Article 5.2).

Pourquoi un assistant IA souverain change la donne

Un assistant IA hébergé en France, opéré par une entité française, sans flux Cloud Act, avec Compliance Gate fail-closed et journalisation horodatée des prompts, restitue au responsable de traitement la maîtrise complète de la chaîne RGPD : base légale tracée, finalités déclarées, durée de conservation pilotée, droits Articles 15-22 directement instruisables. Ce n’est pas une promesse marketing : une conséquence architecturale documentée.

§9. Outils RGPD : faut-il un logiciel RGPD en 2026

Comparatif des approches : tableur, logiciel RGPD, Agent IA Gouverné

CritèreTableur ExcelLogiciel RGPD classiqueAgent IA Gouverné OGMA
Coût annuel indicatif< 200 €1 200-6 000 €Pricing dédié Cohorte fondatrice
AIPD méthodologie multiplicative (CNIL + WP248)NonPartielOui, méthode native
Compliance Gate fail-closedNonNonOui
Souveraineté FR + anti-Cloud ActN/AVariableOui (Scaleway + droit FR)
Mémoire métier persistanteNonLimitéeOui (pgvector souverain)

Les 8 fonctions d’un logiciel RGPD de référence

Registre Article 30 versionné · cartographie sous-traitants Article 28 · demandes Articles 15-22 · journal violations Article 33 · matrice AIPD (Guide PIA CNIL + WP248 rev.01) · plan formation Article 4 AI Act · tableau de bord conformité · cartographie des transferts internationaux.

Pourquoi Le Conformité Privé OGMA dépasse un logiciel RGPD classique

Un logiciel RGPD est une base de données structurée. Le Conformité Privé OGMA est un Agent IA Gouverné : il agit dans le cadre que vous fixez, pas comme un substitut. Là où les principaux logiciels RGPD du marché français reposent sur la saisie manuelle sans mémoire métier, là où certains éditeurs SaaS proposent un pattern « connecte-ton-LLM » dépourvu de Compliance Gate, et là où d’autres acteurs adossent leur outil à des infrastructures soumises au Cloud Act, OGMA combine les six différenciateurs (§6) et la couverture RGPD + AI Act + NIS2 + VSME. Il pré-rédige, alerte sur les échéances, prépare les échanges avec votre DPO. Il ne signe ni ne certifie aucun acte réservé.

§10. FAQ RGPD — 12 questions essentielles

Sources : CNIL, EUR-Lex, ANSSI, EDPB, CNB.

1. RGPD c’est quoi exactement ?
Le RGPD est le Règlement européen 2016/679, entré en application le 25 mai 2018. Il encadre tout traitement de données personnelles. En France, il se combine avec la Loi 78-17 modifiée et le Décret 2018-687. Toute entreprise traitant des données de résidents européens est concernée, quelle que soit sa taille.

2. Différence entre RGPD et CNIL ?
Le règlement est le texte européen ; la CNIL est l’autorité française de contrôle (Article 51 RGPD + Loi 78-17) : elle prononce les sanctions et publie les lignes directrices.

3. Mon entreprise de moins de 10 salariés est-elle concernée ?
Oui. Le règlement s’applique indépendamment de la taille. L’Article 30.5 prévoit un registre simplifié pour les structures < 250 salariés sous conditions. Les obligations sur base légale, information et sécurité sont identiques.

4. Quand un DPO est-il obligatoire ?
Article 37 : autorité ou organisme public, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles (Article 9) ou de condamnations (Article 10). Pour la majorité des TPE/PME B2B, non obligatoire mais fortement recommandé.

5. Coût d’une mise en conformité TPE en 2026 ?
800 à 2 500 € en première année, hors temps dirigeant. Audit 300-800 €, trois livrables 400-1 000 €, formation littératie IA gratuite (MOOC CNIL).

6. Sanctions PME en cas de non-conformité ?
Procédure simplifiée : jusqu’à 20 000 €. Procédure standard : jusqu’à 4 % du CA mondial ou 20 M€ (Article 83 §5). Bilan CNIL 2025 : 87 sanctions, 55,2 M€.

7. AIPD : quand est-elle obligatoire ?
Article 35 : dès qu’un traitement présente un risque élevé. Méthodologie alignée Guide PIA CNIL et Lignes directrices WP29 WP248 rev.01 du 4 octobre 2017 endossées EDPB le 25 mai 2018. Approche multiplicative consolidée par la pratique des cabinets DPO français (gravité × vraisemblance) — refus de l’additivité naïve. Conforme délibération CNIL n° 2018-327. Outil PIA Software CNIL gratuit.

8. ChatGPT et RGPD : que dit la CNIL ?
Un prompt LLM contenant des données personnelles est un traitement (Article 4). Il doit être documenté, encadré par DPA, pseudonymisé avant envoi pour données sensibles. Recommandations CNIL 2024 + CNB doctrine 13/03/2026 (pseudonymisation préalable obligatoire — Article 226-13 Code pénal : 1 an + 15 000 €).

9. Un logiciel RGPD remplace-t-il un DPO ?
Non. Un logiciel structure la documentation ; un DPO porte la responsabilité organisationnelle (Articles 37-39). Le Conformité Privé OGMA est un assistant pour le DPO désigné, jamais un substitut.

10. Article 28 RGPD : que doit contenir un DPA ?
Dix mentions obligatoires (Article 28.3) : objet, durée, nature, finalité, types de données, catégories de personnes, obligations du responsable, sécurité (Article 32), sous-traitance ultérieure, restitution.

11. Comment gérer une violation de données en 72 h ?
Article 33 : notification CNIL sous 72 h, formulaire en ligne. Article 34 : information directe des personnes en cas de risque élevé. Notification en deux temps acceptée si justifiée.

12. AI Act et RGPD : comment articuler les deux en 2026 ?
Le règlement encadre les données personnelles ; l’AI Act encadre les systèmes d’IA. Article 4 littératie applicable depuis 02/02/2025. Tout système d’IA traitant des données personnelles relève des deux cadres. S’y ajoute NIS2 / ReCyF (15 000-18 000 entités concernées dès mars 2026).

§11. Allez plus loin — guides et articles RGPD OGMA

§12. Réservez votre audit RGPD offert — 30 minutes en visioconférence

30 minutes avec un expert OGMA. Vous repartez avec un état des lieux factuel de votre exposition RGPD, une liste priorisée des trois actions à conduire dans les 90 jours, et un devis transparent si vous souhaitez aller plus loin. Audit dédié aux dirigeants TPE/PME (10-49 salariés) services B2B, tech, industrielle, FinTech française. Pré-qualification CF7 5 questions BANT-light.

Réservez votre audit RGPD offert →

§13. Sources et références officielles

Cadre d’usage

Sources juridiques primaires

Doctrine et lignes directrices

Sources officielles Innovation et R&D françaises

Sources complémentaires sectorielles

Garde-fou réglementaire. OGMA Systems fournit un assistant logiciel d’aide à la conformité ; il ne remplace ni l’avis d’un professionnel réglementé (DPO, avocat, commissaire aux comptes, expert métier), ni la consultation des textes officiels en vigueur. Les décisions de mise en conformité relèvent de la responsabilité du lecteur et de ses conseils.