La CNIL a changé de posture. Elle ne vérifie plus vos documents — elle contrôle vos pratiques réelles. Ce que ça implique concrètement pour votre PME.
Quand le RGPD est entré en vigueur en 2018, beaucoup de dirigeants ont coché la case "on a mis la mention légale sur le site" et sont passés à autre chose.
En 2026, ça ne marche plus comme ça.
La CNIL a changé de posture. Elle ne cherche plus à savoir si vous avez les bons documents. Elle vérifie si vos pratiques sont réellement conformes, au quotidien, et si vous pouvez le prouver. Ce n'est plus un audit papier — c'est un contrôle opérationnel.
Concrètement, ça veut dire quoi pour vous ?
Votre registre des traitements doit exister et être à jour — pas dans un tiroir, pas dans un mail de 2019. Vos prestataires (hébergeur, comptable, RH externalisé, outil CRM...) doivent avoir signé des clauses de sous-traitance conformes. En cas d'incident — fuite de données, piratage — vous avez 72 heures pour notifier la CNIL. Pas 72 jours. 72 heures.
La sanction FREE de janvier 2026 est parlante : l'autorité a condamné l'opérateur non pas pour une violation massive, mais pour des "mesures de sécurité jugées insuffisantes". L'intention ne compte pas. Les preuves, si.
Ce n'est pas une question d'informatique. C'est une question de gouvernance. Et la gouvernance, c'est mon terrain.
Si vous ne savez pas exactement où vous en êtes sur le RGPD, c'est le bon moment pour faire le point. Pas dans six mois.