Vous pensez que le RGPD ne concerne que les grandes entreprises. Vous pensez que la CNIL ne s'occupe pas des TPE. Vous pensez qu'avec votre bandeau cookies et vos mentions légales, vous êtes « à peu près en règle ». Voici la réalité : depuis 2024, les contrôles CNIL se sont massivement déportés vers les petites structures précisément parce que les écarts y sont systématiques, faciles à détecter et économiquement valorisables — les amendes pour TPE s'échelonnent désormais de quelques milliers à plusieurs dizaines de milliers d'euros.
Je le constate à chaque refonte de site dans ma pratique en Gironde. La quasi-totalité des TPE girondines vit sur une fausse impression de conformité — installée en 2018 lors de l'entrée en vigueur du règlement, jamais mise à jour depuis. Ce qui était acceptable il y a sept ans est devenu un risque concret en 2026. Voici les quatre angles morts que je rencontre presque systématiquement, et que la CNIL identifie en deux minutes lors d'un contrôle.
"Le RGPD ne sanctionne pas l'ignorance. Il sanctionne les écarts détectables. Et chez la majorité des TPE girondines, les écarts détectables sont partout.
Votre bandeau cookies ment — et c'est l'écart le plus facile à détecter
La quasi-totalité des bandeaux cookies installés sur les sites de TPE en Gironde présente une apparence de conformité — bouton « accepter », bouton « refuser », mention « politique de cookies » — mais avec un défaut technique majeur : ils déposent les cookies de mesure d'audience, de réseaux sociaux ou de publicité avant même que le visiteur ait cliqué. Le bandeau s'affiche en surface, les cookies se chargent en silence en dessous. Vous croyez être en règle parce que le bandeau existe. La CNIL constate l'inverse en regardant les requêtes réseau pendant deux secondes.
Cette pratique — le dépôt anticipé des cookies — est explicitement interdite par la CNIL depuis ses lignes directrices de 2020. Les contrôles automatisés que la CNIL conduit en masse depuis 2023 détectent l'écart en quelques secondes via des outils techniques publics. Et c'est précisément l'écart qui a déclenché la majorité des mises en demeure adressées aux TPE françaises sur les deux dernières années. Vous pouvez vérifier vous-même en ouvrant l'inspecteur réseau de votre navigateur sur votre propre site — vous verrez ce que la CNIL voit.
Le piège est d'autant plus pernicieux que les bandeaux mal configurés sont souvent installés par des plugins gratuits ou des configurations par défaut de plateformes connues. Vous avez fait confiance à votre prestataire, qui a fait confiance à l'éditeur du plugin, qui a fait confiance à une configuration vieille de plusieurs années. La chaîne de confiance n'est plus à jour, et c'est vous qui portez la responsabilité juridique finale.
Ce que je vous recommande : aujourd'hui même, ouvrez votre site dans un navigateur en mode privé, lancez l'inspecteur réseau, et observez quelles requêtes partent vers des domaines tiers (Google, Facebook, des outils de tracking) avant tout clic sur le bandeau. Si vous voyez des requêtes partir, vous avez un problème actif. Et tant qu'il n'est pas corrigé, vous êtes techniquement hors RGPD à chaque visite de votre site.
Votre formulaire collecte des données — sans garder trace du consentement
Chaque fois qu'un visiteur remplit votre formulaire de contact ou de demande de devis, vous collectez des données personnelles — nom, email, téléphone, parfois adresse, parfois description d'un projet sensible. Cette collecte est légale, mais elle est conditionnée à une exigence stricte du RGPD : vous devez pouvoir prouver, des mois après, ce que le visiteur a accepté au moment précis où il a cliqué sur « envoyer ». Date du clic, version exacte de votre politique de confidentialité, libellé exact des cases à cocher, finalités précises annoncées. Cette traçabilité est obligatoire, et elle est presque toujours absente.
Le scénario typique est le suivant. Un prospect remplit votre formulaire en mars. Vous ne donnez pas suite. Six mois plus tard, vous lui envoyez une promo de fin d'année. Il s'agace, dépose une plainte CNIL. La CNIL vous demande de prouver sur quelle base juridique vous lui avez envoyé cette promo. Si vous ne pouvez pas produire la trace du consentement initial — date, libellé, version des CGV en vigueur ce jour-là — vous êtes techniquement responsable. Et la majorité des formulaires de TPE ne génère aucune trace de ce type. Les données arrivent dans une boîte mail, sans contexte juridique attaché.
La solution technique est connue mais rarement déployée : enregistrer pour chaque soumission de formulaire un horodatage précis, la version exacte du texte de consentement présenté, l'adresse IP, et stocker ces traces dans un registre interrogeable. Cette opération est triviale à coder, presque gratuite à maintenir — mais elle suppose qu'on s'en soit préoccupé en amont. C'est précisément ce qui manque chez la quasi-totalité des TPE que je refonds.
Ce que je vous recommande : demandez à votre prestataire web — ou à vous-même si vous gérez votre site — comment est tracé le consentement de vos formulaires actuels. Si la réponse est « on reçoit juste un mail », vous êtes à découvert. Si la réponse est « on stocke la date, le texte, l'IP », vous êtes en règle sur ce point précis. La distinction n'est pas anodine : c'est exactement la pièce que vous devrez produire en cas de contrôle.
Vous envoyez des mailings sans pouvoir dire pourquoi vous y avez le droit
Tout envoi commercial — newsletter, promotion, relance, communication produit — doit reposer sur une base légale identifiable au sens du RGPD. Le règlement en reconnaît six, mais seules deux concernent vraiment les TPE commerciales : le consentement explicite préalable (la case cochée volontairement par votre destinataire), ou l'intérêt légitime dans le cas restreint d'un client existant qu'on relance sur un produit similaire à celui acheté. Toute autre configuration vous expose. Et c'est précisément la configuration dans laquelle se trouvent la majorité des TPE qui envoient des mailings.
Le test simple consiste à vous poser la question suivante avant chaque envoi : « si un destinataire me demande sur quelle base je lui écris, je peux répondre en une phrase précise et documentée. » Si vous ne pouvez pas répondre, vous prenez un risque. Si la réponse est « il était dans mon fichier depuis longtemps », c'est insuffisant. Si la réponse est « on a échangé des cartes de visite il y a deux ans », c'est encore insuffisant. Une seule plainte d'un destinataire mécontent suffit à déclencher une enquête CNIL, et l'enquête remonte ensuite à l'ensemble de votre base.
La règle du désabonnement ajoute une couche supplémentaire que peu de TPE respectent vraiment. Tout email commercial doit comporter un lien de désabonnement actif, immédiat, qui retire effectivement le destinataire de votre liste — pas un lien qui ouvre une page demandant de se connecter, ni un lien qui demande de motiver le désabonnement. Le clic doit retirer la personne, point. Et le retrait doit être instantané. Une seule demande mal traitée vous expose.
Ce que je vous recommande : avant tout prochain envoi commercial, divisez mentalement votre fichier en trois catégories. Ceux qui ont explicitement consenti à recevoir vos communications (case cochée tracée), ceux qui sont clients actifs récents (intérêt légitime applicable), et tous les autres. Cette troisième catégorie ne doit pas recevoir d'envoi commercial — ou doit recevoir d'abord une demande de consentement explicite. C'est sévère, c'est ce que dit le règlement, et c'est ce que la CNIL applique en contrôle.
Une TPE girondine dont j'ai eu connaissance a fait l'objet d'un contrôle CNIL déclenché par une simple plainte d'un ancien prospect mécontent d'avoir reçu une relance commerciale deux ans après un échange unique. L'enquête a remonté l'ensemble du fichier, révélé l'absence de base légale documentée pour la moitié des envois, l'absence de registre des traitements, et un bandeau cookies non conforme. Issue : mise en demeure formelle, obligation de mise en conformité en six mois, et menace d'amende en cas de non-exécution. Une seule plainte initiale, des conséquences durables sur la structure et son fonctionnement commercial.
La première pièce que la CNIL demande — et celle que vous n'avez probablement jamais établie
Le registre des traitements est obligatoire pour toutes les entreprises depuis mai 2018, sans exception liée à la taille. Il s'agit d'un document interne qui recense, pour chaque traitement de données personnelles que vous opérez, sa finalité, sa base légale, les catégories de personnes concernées, les catégories de données collectées, les destinataires, la durée de conservation, et les mesures de sécurité associées. Sans ce registre, vous êtes en infraction structurelle avec le RGPD — c'est-à-dire au-delà d'un simple écart technique, c'est l'absence d'une obligation fondamentale.
Conséquence concrète : c'est la première pièce que la CNIL demande lors d'un contrôle. Pas la dernière, pas une parmi d'autres — la première. Avant même de regarder votre site, votre bandeau cookies, vos formulaires. Si vous ne pouvez pas produire un registre cohérent et tenu à jour, l'enquête s'oriente immédiatement vers une présomption de manquement structurel, et l'ensemble de votre conformité est mise en doute. À l'inverse, présenter un registre propre — même imparfait — atteste d'une bonne foi qui change radicalement le ton de l'échange.
La bonne nouvelle, c'est que ce registre est relativement simple à établir pour une TPE. Une TPE typique a entre quatre et huit traitements à recenser — la gestion des prospects et clients, la paie si vous avez des salariés, la newsletter, la facturation, la vidéosurveillance si applicable. Une journée de travail bien encadrée suffit à le construire. Et une fois en place, il se met à jour en quelques minutes par an. Le ratio effort / risque évité est l'un des plus favorables du RGPD.
Ce que je vous recommande : si vous n'avez pas de registre des traitements aujourd'hui, c'est votre priorité absolue. Pas dans six mois, pas l'an prochain — maintenant. C'est la pièce qui transforme un contrôle CNIL d'un cauchemar potentiel en une procédure administrative encadrée. Et c'est précisément la pièce que j'inclus systématiquement dans mes interventions de mise en conformité pour les TPE girondines.
Quatre angles morts, une seule plainte suffit.
Cookies
Avant clic · Si vos cookies se déposent avant l'accord du visiteur, vous êtes en infraction active.
Formulaires
Traçabilité · Sans horodatage et version archivée, vous ne pouvez rien prouver six mois plus tard.
Mailings
Base légale · Une phrase claire pour justifier chaque envoi. Sinon, une plainte vous expose entièrement.
Registre
Obligatoire · Première pièce demandée par la CNIL. À établir avant tout le reste.
La conformité RGPD ne se règle pas une fois pour toutes. Chaque évolution de votre site, chaque nouveau formulaire, chaque outil tiers ajouté demande une vérification. C'est pour cette raison que je l'intègre systématiquement aux refontes web que je conduis — plutôt que de la traiter à part comme une corvée administrative isolée.
Si vous prévoyez une refonte ou une mise à jour de votre site, lisez CMS ou sur-mesure : ce débat est devenu obsolète en 2026 — la conformité RGPD y est intégrée dès la conception, pas ajoutée après coup.