Audit RGPD PME en autonomie : checklist 30 points actionables 2026

Le RGPD a 8 ans en 2026 mais beaucoup de PME sont en non-conformité partielle. Cet auto-audit en 30 points permet d'identifier rapidement vos écarts pour mettre en place un plan d'action correctif.

Section 1 — Registre des traitements (5 points)

• 1. Registre des traitements écrit existe et est à jour (modèle CNIL téléchargeable)
• 2. Tous les traitements identifiés (RH, clients, prospects, fournisseurs, vidéo-surveillance, géoloc véhicules)
• 3. Pour chaque traitement : finalité, base légale, catégories de données, destinataires, durée conservation, transferts hors UE
• 4. Registre revu au moins annuellement
• 5. Registre disponible immédiatement en cas de contrôle CNIL

Section 2 — Information des personnes (5 points)

• 6. Mentions légales sur le site web complètes (éditeur, hébergeur, contact)
• 7. Politique de confidentialité accessible depuis le pied de page (lien direct)
• 8. Mention RGPD sur tous les formulaires de collecte (contact, newsletter, devis)
• 9. Mention RGPD sur factures (mention "Vos données sont traitées à des fins comptables…")
• 10. Mention RGPD sur signatures email équipe (option recommandée par CNIL)

Section 3 — Cookies & traceurs (3 points)

• 11. Bannière de consentement sur le site web (refus aussi simple que l'accord)
• 12. Cookies bloqués avant consentement (sauf strictement nécessaires + analytics anonymisée)
• 13. Page "Politique cookies" listant chaque cookie + finalité + durée

Section 4 — Droits des personnes (5 points)

• 14. Procédure documentée pour gérer demandes d'accès, rectification, effacement, portabilité, opposition
• 15. Adresse email dédiée (rgpd@... ou dpo@...) communiquée publiquement
• 16. Délai de réponse 1 mois respecté (preuve : registre des demandes)
• 17. Procédure de vérification d'identité du demandeur
• 18. Suppression effective vérifiable (incluant sauvegardes)

Section 5 — Sécurité (6 points)

• 19. MFA obligatoire sur tous les comptes admin (M365, AD, VPN, hébergeur)
• 20. Chiffrement des données au repos sur serveurs et postes (BitLocker, FileVault)
• 21. Chiffrement des données en transit (TLS 1.2+ sur tous les services)
• 22. Sauvegarde testée mensuellement (au moins une restauration de fichier)
• 23. Procédure de notification CNIL sous 72h en cas de violation documentée
• 24. Antivirus / EDR à jour sur tous les postes

Section 6 — Sous-traitants (3 points)

• 25. Liste des sous-traitants à jour (hébergeur, CRM, ERP, paie, logiciel cabinet, etc.)
• 26. Contrat type RGPD (DPA) signé avec chaque sous-traitant
• 27. Vérification que sous-traitants UE ou avec garanties (clauses contractuelles types pour USA)

Section 7 — Gouvernance (3 points)

• 28. Désignation DPO (obligatoire si traitement à grande échelle ou données sensibles, recommandée sinon)
• 29. Sensibilisation équipe annuelle (preuve : feuille d'émargement ou attestation e-learning)
• 30. Analyse d'impact (AIPD/PIA) pour traitements à risque (ex : vidéo-surveillance, scoring client)

Score & priorisation

Comptez vos points conformes :

• 27-30 : conformité avancée. Audit externe recommandé pour validation
• 20-26 : conformité partielle. Plan d'action 90 jours pour combler écarts
• 10-19 : conformité fragmentaire. Risque CNIL si contrôle. Action urgente
• < 10 : non-conformité critique. Stop et reprise du sujet immédiate

Conclusion

Cet auto-audit prend 2h. Il ne remplace pas un audit externe par un DPO certifié, mais permet d'identifier rapidement les actions prioritaires. KOLOSALTech accompagne PME en mise en conformité RGPD : audit, registre, procédures, formation équipe, DPO externalisé. Cf aussi /securite pour notre engagement interne.