La CNIL contrôle de plus en plus de PME
En 2025, la CNIL a réalisé plus de 300 contrôles formels et traité 17 772 plaintes. Un tiers des sanctions concernaient des mesures de sécurité inadéquates. Les PME ne sont plus à l'abri : la CNIL cible désormais les entreprises de toutes tailles, particulièrement dans les secteurs santé, finance et justice.
Ce que la CNIL vérifie lors d'un contrôle
La CNIL vérifie la conformité au RGPD sur plusieurs axes. L'article 32 est celui qui concerne directement la sécurité technique de votre application.
Registre des traitements : avez-vous documenté quelles données vous collectez, pourquoi, et pour combien de temps ?
Base légale : avez-vous un fondement juridique pour chaque traitement (consentement, contrat, intérêt légitime) ?
Mesures techniques Article 32 : avez-vous mis en place des mesures de sécurité proportionnées aux risques ?
Droits des personnes : pouvez-vous répondre aux demandes d'accès, de rectification, de suppression ?
Notification de violation : avez-vous une procédure pour notifier la CNIL sous 72h en cas de faille ?
La checklist Article 32 pour les PME
L'article 32 du RGPD exige des "mesures techniques et organisationnelles appropriées". Concrètement, pour une application web :
Comment préparer votre PME à un contrôle
Étape 1 : Inventaire : listez toutes les données personnelles que votre application manipule. Noms, emails, adresses, données de santé, données financières.
Étape 2 : Audit technique : faites auditer votre application par un expert. Le rapport d'audit constitue une preuve de diligence en cas de contrôle.
Étape 3 : Plan de remédiation : corrigez les failles identifiées et documentez chaque correction.
Étape 4 : Procédures : rédigez votre procédure de notification de violation (72h) et votre procédure de réponse aux droits des personnes.
Étape 5 : Formation : sensibilisez votre équipe aux bonnes pratiques de sécurité.
Ce que le rapport d'audit doit contenir
Pour être utile face à la CNIL, votre rapport d'audit doit inclure le périmètre analysé, la méthodologie utilisée, les vulnérabilités identifiées avec leur criticité, les données personnelles potentiellement exposées, les recommandations de correction classées par priorité, et la date de l'audit.
Notre point de vue pour les PME
Notre Audit Complet (4 200€) produit un rapport conforme aux exigences CNIL. Il identifie les failles de sécurité, évalue l'impact sur les données personnelles, et fournit un plan de remédiation priorisé. C'est votre meilleure preuve de diligence.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
CNIL secteur prioritaire 2026 : santé, finance, justice dans le viseur
La CNIL cible les secteurs santé, finance et justice pour ses contrôles 2026. Comment se préparer concrètement.
CNIL 2025 : 487M€ d'amendes. Ce que les petites équipes SaaS doivent retenir
Record d'amendes CNIL en 2025. Analyse des sanctions et des leçons concrètes pour les équipes produit qui gèrent des données sensibles.
HDS 2.0 obligatoire au 16 mai 2026 : checklist sécurité pour healthtech
Le référentiel HDS 2.0 devient obligatoire. Voici la checklist complète pour préparer votre application de santé.
Sources
Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.