Retour aux articles
Les 10 erreurs RGPD les plus courantes des entreprises
RGPD Conformité CNIL Erreurs

Les 10 erreurs RGPD les plus courantes des entreprises

DPLIANCEÉditeur de solutions Data & IA souveraines
13 min de lecture

Les 10 erreurs RGPD les plus courantes des entreprises

Huit ans après l’entrée en vigueur du RGPD, les mêmes erreurs reviennent. Encore et encore. Et la CNIL ne fait plus de pédagogie — elle sanctionne. En 2025, 486,8 millions d’euros d’amendes. En 2024, 87 sanctions pour 55 millions d’euros. La procédure simplifiée permet désormais de sanctionner rapidement les dossiers les plus flagrants (amendes jusqu’à 20 000 euros sans audience).

Le problème n’est pas que les entreprises refusent de se conformer. C’est qu’elles pensent l’être alors qu’elles ne le sont pas.

Voici les 10 erreurs RGPD les plus courantes — avec pour chacune un exemple concret, les risques encourus, et la solution pour y remédier.

Erreur 1 : politique de confidentialité absente ou copiée-collée

C’est l’erreur la plus visible et la plus répandue. Soit la politique de confidentialité n’existe tout simplement pas, soit elle a été copiée depuis un autre site sans aucune adaptation.

Le problème : Une politique de confidentialité générique ne reflète pas les traitements réels de votre entreprise. Elle ne mentionne ni les bonnes finalités, ni les bons destinataires, ni les bonnes durées de conservation. En cas de contrôle, c’est un signal d’alarme immédiat.

Ce que dit le RGPD : Les articles 13 et 14 imposent une information transparente, intelligible et aisément accessible sur les traitements de données.

L’ampleur du problème : Lors de ses contrôles en ligne, la CNIL constate que de nombreuses entreprises utilisent des modèles de politique de confidentialité trouvés sur internet, souvent en anglais traduit approximativement, qui ne correspondent en rien à leurs traitements réels. Certaines mentionnent des services qu’elles n’utilisent pas, d’autres omettent des traitements essentiels comme l’emailing ou le CRM.

Comment corriger : Rédiger une politique spécifique à votre activité, détaillant chaque traitement, sa finalité, sa base légale, ses destinataires et les droits des personnes. Complio audite automatiquement votre site web et identifie les manquements dans votre politique de confidentialité.

Erreur 2 : cookies déposés sans consentement

Google : 325 millions d’euros d’amende en septembre 2025. SHEIN : 150 millions d’euros. Le motif ? Des cookies publicitaires déposés avant même que l’utilisateur ait eu la possibilité de consentir ou de refuser.

Le problème : De nombreux sites déposent des traceurs dès le chargement de la page, avant toute interaction avec le bandeau cookies. D’autres rendent le refus plus difficile que l’acceptation (dark patterns).

Ce que dit la CNIL : Depuis 2021, les recommandations CNIL sur les cookies imposent que le refus soit aussi simple que l’acceptation. Aucun traceur non essentiel ne peut être déposé avant un consentement explicite.

Les dark patterns les plus fréquents : Un bouton “Accepter” en vert vif à côté d’un lien “Paramétrer” en gris discret. Un bandeau qui se ferme en acceptant les cookies si l’utilisateur clique n’importe où sur la page. Un bouton “Refuser” caché dans un second écran de paramétrage. Toutes ces pratiques sont considérées comme non conformes par la CNIL.

Comment corriger : Déployer une CMP (Consent Management Platform) conforme comme Cookilio, qui bloque tous les traceurs non essentiels tant que l’utilisateur n’a pas donné son consentement, et qui propose le refus au même niveau que l’acceptation.

Erreur 3 : registre des traitements absent

Le registre des traitements est obligatoire pour toute entreprise de plus de 250 salariés, mais aussi pour les plus petites si elles effectuent des traitements non occasionnels (ce qui concerne la quasi-totalité des entreprises ayant un site web, un CRM ou une base de contacts).

Le problème : Beaucoup d’entreprises n’ont tout simplement pas de registre. D’autres ont un document créé une seule fois et jamais mis à jour, qui ne reflète plus la réalité des traitements.

Ce que dit le RGPD : L’article 30 impose la tenue d’un registre détaillant les finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité pour chaque traitement.

Ce que beaucoup ignorent : L’exception “moins de 250 salariés” est un trompe-l’œil. Le RGPD précise que même les entreprises de moins de 250 salariés doivent tenir un registre si leurs traitements ne sont pas occasionnels, s’ils portent sur des données sensibles, ou s’ils sont susceptibles de comporter un risque pour les droits et libertés des personnes. En pratique, toute entreprise qui a un site web avec un formulaire de contact, une newsletter, ou un outil CRM est concernée.

Comment corriger : Commencer par cartographier tous les traitements existants (site web, CRM, emailing, paie, comptabilité). La CNIL propose un modèle de registre gratuit. Complio facilite cette cartographie pour votre présence web.

Erreur 4 : droits des personnes ignorés

Vos clients et utilisateurs ont le droit de savoir quelles données vous détenez sur eux, de les faire rectifier, supprimer ou porter vers un autre service. En pratique, beaucoup d’entreprises n’ont aucun processus pour traiter ces demandes.

Le problème : Pas d’adresse email dédiée, pas de procédure interne, pas de suivi des demandes. Le délai légal de réponse (un mois) est régulièrement dépassé ou ignoré.

Ce que dit le RGPD : Les articles 15 à 22 définissent les droits des personnes. L’article 12 impose de répondre dans un délai d’un mois.

Un cas concret : Un client demande l’accès à ses données par email. Le message arrive dans la boîte générale de l’entreprise, personne ne sait qui doit le traiter, personne ne répond. Trois mois plus tard, le client dépose une plainte à la CNIL. La procédure simplifiée permet à la CNIL de sanctionner ce type de manquement en quelques semaines.

Comment corriger : Mettre en place une adresse email dédiée (dpo@votreentreprise.fr ou rgpd@votreentreprise.fr), une procédure documentée avec des modèles de réponse pour chaque type de droit, et un registre de suivi des demandes avec les dates de réception et de réponse.

Erreur 5 : sous-traitants non encadrés

Vous utilisez un hébergeur cloud, un outil d’emailing, un CRM, un outil analytics ? Chacun de ces prestataires est un sous-traitant au sens du RGPD. Et chaque sous-traitant doit être encadré par un contrat conforme à l’article 28.

Le problème : Beaucoup d’entreprises ne savent même pas combien de sous-traitants accèdent à leurs données. Encore moins ont un contrat conforme avec chacun d’eux.

Ce que dit le RGPD : L’article 28 impose un contrat écrit détaillant les obligations du sous-traitant, la nature du traitement, les mesures de sécurité et les conditions de sous-traitance ultérieure.

La sous-traitance en cascade : Un risque souvent sous-estimé. Votre prestataire d’emailing utilise peut-être AWS pour son hébergement, qui lui-même peut être soumis au CLOUD Act américain. Votre CRM peut transférer des données vers des serveurs situés hors de l’Union européenne sans que vous le sachiez. Chaque maillon de la chaîne de sous-traitance doit être identifié et encadré.

Comment corriger : Lister tous les outils et prestataires qui manipulent des données personnelles. Vérifier l’existence d’un Data Processing Agreement (DPA) pour chacun. Privilégier des sous-traitants hébergés en Europe pour éviter les problématiques de transfert hors UE.

Erreur 6 : consentement par case pré-cochée

Une case pré-cochée n’est pas un consentement. Un scroll sur la page n’est pas un consentement. La simple poursuite de la navigation n’est pas un consentement.

Le problème : Le consentement doit être libre, spécifique, éclairé et univoque (article 4.11 du RGPD). Toute forme de consentement présumé ou implicite est invalide.

Ce que dit la CNIL : La CNIL a sanctionné à plusieurs reprises des entreprises pour des mécanismes de consentement non conformes, notamment via des dark patterns rendant le refus plus complexe que l’acceptation.

Au-delà des cookies : Le consentement vicié ne concerne pas que les cookies. Les formulaires d’inscription à une newsletter avec une case pré-cochée “J’accepte de recevoir des offres partenaires”, les conditions générales qui incluent un consentement au traitement de données dans un bloc de texte illisible, ou les pop-ups qui ne laissent pas d’autre choix que “Accepter” sont autant de pratiques non conformes.

Comment corriger : S’assurer que chaque formulaire de collecte utilise des cases non cochées par défaut, avec une information claire sur l’usage prévu. Pour les cookies, utiliser une CMP comme Cookilio qui garantit un consentement conforme.

Erreur 7 : données conservées indéfiniment

“On garde tout, on ne sait jamais.” C’est probablement la phrase la plus dangereuse en matière de conformité RGPD.

Le problème : Conserver des données au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées constitue une violation de l’article 5.1.e du RGPD (principe de limitation de la conservation).

Ce que dit le RGPD : Les données ne peuvent être conservées que le temps nécessaire aux finalités pour lesquelles elles ont été collectées. Au-delà, elles doivent être supprimées ou anonymisées.

Des exemples concrets de durées : La CNIL publie des référentiels sectoriels. Pour un prospect qui n’a pas donné suite à une sollicitation commerciale, la durée maximale de conservation est de 3 ans à compter du dernier contact actif. Pour les données de candidature à un emploi, c’est 2 ans maximum. Pour les logs de connexion, c’est généralement 1 an. Pour les données de facturation, les obligations comptables imposent une conservation de 10 ans, mais cela ne justifie pas de conserver l’intégralité des données associées à la commande.

Comment corriger : Définir une durée de conservation pour chaque traitement dans votre registre. Mettre en place des procédures de purge automatique. La CNIL publie des référentiels de durées de conservation par secteur.

Erreur 8 : pas de DPO quand c’est obligatoire

Certaines entreprises sont tenues de désigner un Délégué à la Protection des Données et ne le font pas, soit par ignorance de l’obligation, soit par refus d’allouer les ressources nécessaires.

Le problème : L’absence de DPO quand il est obligatoire est une non-conformité en soi, indépendamment de tout autre manquement.

Ce que dit le RGPD : L’article 37 impose un DPO aux autorités publiques, aux entreprises dont l’activité principale implique un suivi régulier et systématique à grande échelle, et à celles traitant des données sensibles à grande échelle.

La confusion sur le périmètre : Beaucoup d’entreprises pensent ne pas être concernées parce qu’elles ne sont pas dans la “tech”. Pourtant, une agence d’intérim qui gère des milliers de profils de candidats, un réseau de pharmacies qui traite des données de santé, ou une enseigne de grande distribution avec un programme de fidélité sont toutes potentiellement soumises à l’obligation de désigner un DPO.

Comment corriger : Évaluer objectivement si votre entreprise entre dans l’un des trois cas obligatoires. Si oui, désigner un DPO interne ou externalisé. Si non, envisager quand même un référent RGPD interne.

Erreur 9 : transferts hors UE non documentés

Utiliser Google Analytics, AWS hébergé aux USA, Mailchimp, ou tout autre service américain sans garanties adéquates constitue un transfert de données hors UE potentiellement illégal.

Le problème : Depuis l’arrêt Schrems II (juillet 2020), les transferts vers les États-Unis ne bénéficient plus d’une protection automatique. Le EU-US Data Privacy Framework adopté en 2023 est contesté juridiquement et pourrait être invalidé (potentiel “Schrems III”).

Ce que dit le RGPD : Les articles 44 à 49 encadrent strictement les transferts hors UE. Le responsable de traitement doit garantir un niveau de protection équivalent au RGPD.

L’iceberg des transferts invisibles : Au-delà des outils dont vous avez conscience, votre site web peut transférer des données vers les États-Unis de manière invisible. Google Fonts charge des fichiers depuis des serveurs américains et transmet l’adresse IP du visiteur à Google. Un CDN américain comme Cloudflare voit passer toutes les données échangées entre votre site et vos visiteurs. Un pixel Facebook dépose des cookies et transfère des données comportementales vers les serveurs de Meta aux États-Unis.

Comment corriger : Cartographier les flux de données vers des pays tiers. Privilégier les solutions hébergées en Europe. Remplacer Google Analytics par Mirage Analytics, hébergé sur Scaleway en Europe, qui ne transfère aucune donnée hors UE.

Erreur 10 : pas de notification en cas de violation

FREE Mobile et FREE : 42 millions d’euros d’amende en janvier 2026 pour des mesures de sécurité insuffisantes ayant permis l’accès aux données de 24 millions d’abonnés. France Travail : 5 millions d’euros pour des failles ayant exposé les données de millions d’inscrits.

Le problème : Beaucoup d’entreprises n’ont aucune procédure de détection et de notification des violations de données. Certaines découvrent la fuite par la presse.

Ce que dit le RGPD : L’article 33 impose une notification à la CNIL dans les 72 heures suivant la découverte de la violation. L’article 34 impose d’informer les personnes concernées si le risque est élevé.

Les 72 heures commencent à la découverte, pas à l’incident. La CNIL considère que le responsable de traitement doit avoir mis en place des mesures permettant de détecter rapidement les violations. Un système de détection inexistant ou défaillant ne constitue pas une excuse pour un retard de notification. Au contraire, la CNIL a sanctionné des entreprises pour avoir découvert une violation avec un retard excessif, considérant que des mesures de monitoring adéquates auraient permis une détection plus rapide.

Comment corriger : Mettre en place un processus de détection des incidents (logs, monitoring, alertes). Documenter une procédure de notification avec des responsabilités claires et des modèles pré-rédigés. Former les équipes à identifier et remonter les incidents de sécurité.

Le vrai coût de la non-conformité

Les amendes ne sont que la partie visible. Une violation de données non gérée, c’est aussi :

  • Une perte de confiance de vos clients
  • Un risque réputationnel durable
  • Des coûts juridiques et techniques de remédiation
  • Un avantage concurrentiel offert à vos concurrents conformes
  • Une exclusion potentielle des appels d’offres publics et privés
  • Un impact sur la valorisation de l’entreprise en cas de levée de fonds ou de cession

La conformité RGPD n’est pas un fardeau. C’est un investissement dans la confiance.

FAQ

Quelles sont les amendes RGPD les plus élevées en France ?

En 2025, les amendes CNIL les plus importantes ont été : Google (325 millions d’euros pour des cookies déposés sans consentement), SHEIN (150 millions d’euros pour le même motif), FREE Mobile et FREE (42 millions d’euros pour des failles de sécurité), et France Travail (5 millions d’euros pour sécurité insuffisante). Source : CNIL — Bilan des sanctions 2025.

La CNIL contrôle-t-elle les petites entreprises ?

Oui. La procédure simplifiée mise en place par la CNIL permet de sanctionner rapidement les dossiers sans complexité particulière, avec des amendes jusqu’à 20 000 euros. Les TPE et PME ne sont pas exemptées de contrôles. En 2025, plus de 60 % des sanctions concernaient des PME. La CNIL utilise des robots pour scanner automatiquement les sites web, ce qui lui permet de détecter les manquements les plus courants sans aucune intervention humaine.

Peut-on utiliser Google Analytics en France ?

C’est juridiquement risqué. Google Analytics transfère des données vers les États-Unis. Le EU-US Data Privacy Framework est contesté et pourrait être invalidé. Pour une conformité sereine, privilégiez une solution comme Mirage Analytics qui héberge toutes les données en Europe et ne dépose aucun cookie.

Comment savoir si mon site web est conforme au RGPD ?

Un audit de conformité permet d’identifier les manquements : cookies non conformes, politique de confidentialité absente ou incomplète, traceurs tiers non déclarés. Complio réalise cet audit automatiquement et vous fournit un rapport actionnable avec un score de conformité et des recommandations concrètes.

Combien de temps pour se mettre en conformité ?

Pour une TPE avec un site web simple, quelques jours suffisent pour l’essentiel (politique de confidentialité, CMP, analytics conforme). Pour une PME ou ETI avec des traitements complexes, comptez plusieurs semaines à quelques mois pour un programme de conformité complet. L’important est de commencer par les risques les plus visibles — notamment le site web, que la CNIL peut contrôler à tout moment — et de progresser par étapes.

Guide complet — Cet article fait partie de notre guide approfondi sur l’audit RGPD de site web. Consultez le guide pilier : Audit RGPD site web : guide complet 2026.

Sources : CNIL — Bilan des sanctions 2025, CNIL — Sanctions et mesures correctrices 2024, CNIL — Sanction FREE, CNIL — Sanction France Travail, CNIL — Sanction Google. Article mis à jour le 12 février 2026.

Écrivez-nous

contact@dpliance.com
Nous contacter