Fonctionnalités Logiciel RGPD Registre Exercice des droits Conformité PME
Direction Générale Dirigeant PME DPO Interne RSSI / Responsable IT Expert-Comptable TPE / PME Collectivités Associations
Qu'est-ce que le RGPD ? Obligations Sanctions Droits des personnes Guide du registre AIPD Consentement Mise en conformité Sous-traitance RGPD & Excel®
FAQ Comparatif Guide de choix Alternatives
Blog Tarifs Contact Se connecter Activer mon compte Essayer gratuitement
Retour au blog

RGPD 2026-2027 : ce qui change pour les entreprises (calendrier, obligations, sanctions)

Dativo

La conformité RGPD entre dans une nouvelle phase : tout ce qui change en 2026-2027

La mise en conformité au Règlement Général sur la Protection des Données (RGPD) entre dans une nouvelle ère. Entre le programme du CEPD 2026-2027 qui promet des outils concrets de simplification, l'entrée en application complète de l'AI Act en août 2026, la proposition de la Commission européenne de modifier l'article 30 du RGPD, et les sanctions record de la CNIL (487 millions d'euros en 2025), le paysage réglementaire évolue à grande vitesse.

Ce guide fait le point sur tout ce qui change — et sur ce que les entreprises et les DPO doivent anticiper concrètement.

Le programme CEPD 2026-2027 : quatre piliers pour simplifier la conformité

Le Comité européen de la protection des données (CEPD) a adopté début 2026 son programme de travail pour la période 2026-2027. Pour la première fois, le mot « simplification » figure en tête des priorités. Le programme s'articule autour de quatre piliers.

Pilier 1 — Harmonisation et conformité facilitée

Le CEPD va publier des lignes directrices sur plusieurs sujets encore flous après huit ans de RGPD : le consentement, l'anonymisation et la pseudonymisation, le traitement des données des mineurs, et l'intérêt légitime. L'objectif est de réduire les divergences d'interprétation entre les 27 autorités nationales — un problème récurrent qui coûte cher aux entreprises opérant dans plusieurs pays européens.

Le point le plus concret : la création d'outils pratiques destinés aux non-experts. Le CEPD a explicitement reconnu que les guides actuels sont trop juridiques et peu accessibles pour les TPE et PME qui n'ont pas de DPO dédié. Des modèles standardisés et gratuits devraient être publiés courant 2026 : modèle d'analyse de l'intérêt légitime (LIA), registre des traitements type conforme à l'article 30, politique de confidentialité modulaire, formulaire harmonisé de notification de violation, et modèle d'AIPD simplifié.

Pilier 2 — Coopération renforcée entre autorités

Le mécanisme de coopération entre autorités (guichet unique) est souvent critiqué pour sa lenteur. Le CEPD promet d'accélérer le traitement des plaintes transfrontalières et de renforcer l'utilisation des procédures d'urgence. Pour les entreprises, cela signifie potentiellement des décisions plus rapides — mais aussi des sanctions plus vite prononcées.

Pilier 3 — Encadrement des nouvelles technologies

L'intelligence artificielle, la biométrie et les technologies immersives sont dans le viseur. Le CEPD va publier des lignes directrices spécifiques sur l'articulation entre le RGPD et le règlement IA (AI Act), un sujet qui préoccupe de plus en plus les entreprises qui déploient des outils d'IA.

Pilier 4 — Dialogue mondial

La reconnaissance mutuelle des niveaux de protection entre l'Europe et les pays tiers reste un enjeu majeur. Les décisions d'adéquation (comme le Data Privacy Framework avec les États-Unis) seront réévaluées, et de nouveaux accords sont en négociation.

La proposition « Digital Omnibus » : le registre des traitements simplifié pour les PME

C'est probablement le changement le plus concret pour les petites et moyennes entreprises. La Commission européenne a proposé en 2025, dans le cadre de son « Digital Omnibus Package », une modification ciblée de l'article 30 du RGPD.

Ce que dit la proposition

Aujourd'hui, l'article 30(5) du RGPD exempte de l'obligation de tenir un registre des traitements les entreprises de moins de 250 salariés — sauf si le traitement est susceptible de comporter un risque, n'est pas occasionnel, ou porte sur des données sensibles. En pratique, ces exceptions sont si larges que quasiment toutes les entreprises sont concernées, rendant l'exemption théorique.

La nouvelle proposition relève le seuil à 750 salariés et simplifie les critères d'exemption. Seuls les traitements présentant un « risque élevé » au sens du RGPD nécessiteraient un registre complet pour les entreprises sous ce seuil.

La position du CEPD et de la CNIL

Le CEPD et le Contrôleur européen (CEPDS) ont accueilli favorablement cette simplification, tout en demandant des clarifications. Ils s'inquiètent que le relèvement du seuil ne conduise certaines entreprises à abandonner toute documentation de leurs traitements.

La CNIL a rappelé que le registre reste un outil de pilotage indispensable même pour les petites structures, et que la simplification ne doit pas être confondue avec un allégement des obligations de protection des données.

Ce que ça change concrètement

Pour les entreprises de moins de 750 salariés, la tenue d'un registre complet pourrait devenir optionnelle (sauf traitements à haut risque). Mais la proposition n'est pas encore adoptée — le processus législatif prendra probablement jusqu'à fin 2026 ou début 2027. Et même si elle est adoptée, le registre restera une bonne pratique fortement recommandée. C'est comme supprimer l'extincteur parce que le code du bâtiment a changé — le risque d'incendie reste le même.

L'AI Act entre pleinement en application : le 2 août 2026

Le règlement européen sur l'intelligence artificielle (AI Act), adopté en 2024, applique ses obligations de manière progressive. Le 2 août 2026 marque une date charnière : l'entrée en application complète des obligations pour les systèmes d'IA à haut risque.

Calendrier des échéances

  • Février 2025 — Interdiction des systèmes d'IA à risque inacceptable (notation sociale, manipulation subliminale)
  • Août 2025 — Obligations pour les modèles d'IA à usage général (GPAI) : transparence, documentation technique
  • 2 août 2026 — Application complète pour les systèmes d'IA à haut risque : marquage CE, évaluation de conformité, gouvernance des données
  • Août 2027 — Application aux systèmes d'IA intégrés dans des produits déjà réglementés (dispositifs médicaux, machines)

Quels systèmes d'IA sont « à haut risque » ?

Les systèmes utilisés dans les domaines suivants sont classés haut risque et soumis aux obligations les plus strictes : le recrutement et la gestion RH, l'accès au crédit et aux services financiers, la biométrie et l'identification à distance, l'éducation et la formation professionnelle, les infrastructures critiques, l'accès aux services publics essentiels, et les systèmes utilisés dans le cadre de la justice et des forces de l'ordre.

La double conformité RGPD + AI Act

Quand un système d'IA traite des données personnelles — ce qui est le cas dans la quasi-totalité des déploiements en entreprise — les deux règlements s'appliquent simultanément. Le RGPD régit la collecte, le traitement et la protection des données personnelles, tandis que l'AI Act encadre la conception, le déploiement et la supervision du système d'IA.

En pratique, une AIPD devra souvent intégrer à la fois les exigences du RGPD (article 35) et celles de l'AI Act (évaluation de conformité). Les DPO vont voir leur périmètre s'élargir considérablement.

L'AI Act prévoit des sanctions significatives : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour l'utilisation de systèmes d'IA interdits, 15 millions ou 3 % pour la non-conformité des systèmes haut risque.

Sanctions CNIL 2025 : une année record qui annonce la tendance

L'année 2025 a marqué un tournant dans la politique répressive de la CNIL, avec un montant total de sanctions de 487 millions d'euros pour 83 décisions.

Les sanctions marquantes

Les deux sanctions les plus lourdes visaient Google (325 millions d'euros) et Shein (150 millions d'euros), toutes deux pour non-respect de la réglementation sur les cookies. Hors ces deux géants, le montant cumulé pour les 81 autres sanctions s'élève à 11,8 millions d'euros — un chiffre en hausse constante.

Début 2026, la CNIL a déjà frappé fort : Free Mobile et Free (42 millions d'euros) pour des failles de sécurité ayant exposé les données de millions de clients, et France Travail (5 millions d'euros) pour ne pas avoir assuré la sécurité des données des demandeurs d'emploi.

Les thématiques les plus sanctionnées

Sur les 83 sanctions de 2025 : 21 concernaient les cookies et le consentement, 16 la vidéosurveillance illicite des salariés, et le reste portait sur des défauts de sécurité, des manquements au droit d'accès et des transferts de données non conformes.

Ce que ça signifie pour 2026-2027

La tendance est claire : la CNIL durcit sa politique d'application. Les PME ne sont pas épargnées — plusieurs sanctions visaient des entreprises de taille modeste pour des manquements basiques (absence de registre, défaut de consentement, vidéosurveillance sans information). Il n'y a plus de « période de grâce » pour les retardataires.

Priorités de contrôle CNIL 2026 : les quatre axes à surveiller

Dans le cadre de son plan stratégique 2025-2028, la CNIL a défini quatre axes de contrôle prioritaires pour 2026.

1. Intelligence artificielle

La CNIL va intensifier les contrôles sur les traitements d'IA combinant risques élevés et données sensibles. L'accent sera mis sur les systèmes de prise de décision automatisée (article 22 du RGPD) et leur articulation avec les nouvelles obligations de l'AI Act. Les entreprises qui déploient des outils d'IA sans AIPD préalable sont particulièrement exposées.

2. Protection des mineurs

Les plateformes utilisées par les mineurs restent dans le viseur : vérification de l'âge, collecte de données par les réseaux sociaux et les jeux en ligne, conformité des établissements scolaires et des edtech.

3. Cybersécurité

Les violations de données ont explosé en France ces dernières années (France Travail, Free, hôpitaux, DGFIP). La CNIL va renforcer ses contrôles sur les mesures de sécurité techniques et organisationnelles, avec des sanctions systématiques en cas de manquements flagrants. Les sous-traitants hébergeant des données sensibles seront particulièrement ciblés.

4. Usages du quotidien numérique

La CNIL poursuit son action sur les applications mobiles : collecte excessive de données, conformité des SDK tiers, et respect du consentement dans les écosystèmes mobiles.

Action coordonnée européenne (CEF) 2026 : la transparence

Le CEPD a lancé son action coercitive coordonnée 2026, à laquelle participent 25 autorités européennes. Le thème : les obligations de transparence et d'information (articles 12 à 14 du RGPD). Les autorités vont contrôler si les politiques de confidentialité sont réellement compréhensibles, complètes et accessibles. Les entreprises dont les mentions d'information sont des copier-coller juridiques incompréhensibles devraient revoir leur copie — sans mauvais jeu de mots.

Checklist : préparer votre organisation pour 2026-2027

Actions immédiates (T1-T2 2026)

1. Auditez vos systèmes d'IA — Identifiez tous les outils qui utilisent de l'IA dans votre organisation (y compris les solutions SaaS avec IA embarquée : CRM, outils RH, chatbots) et classez-les selon le niveau de risque AI Act.

2. Vérifiez votre politique de confidentialité — L'action coordonnée CEF 2026 porte sur la transparence. Assurez-vous que vos mentions d'information sont claires, complètes et à jour. Pas de jargon juridique incompréhensible.

3. Mettez à jour votre registre des traitements — Même si la simplification de l'article 30 est en cours, un registre à jour reste votre meilleur outil de pilotage et votre meilleur argument en cas de contrôle CNIL.

Actions avant août 2026

4. Réalisez les AIPD manquantes — Particulièrement pour les traitements impliquant de l'IA à haut risque. L'obligation RGPD (article 35) et l'évaluation de conformité AI Act convergent sur ce point.

5. Formez vos équipes — L'AI Act inclut une obligation de compétence suffisante en matière d'IA pour les personnes qui déploient et supervisent ces systèmes (article 4).

6. Revoyez vos contrats sous-traitants — Les clauses de sécurité doivent refléter les exigences renforcées, particulièrement pour les hébergeurs de données sensibles.

Actions continues

7. Suivez les publications du CEPD — Les nouvelles lignes directrices sur l'anonymisation, le consentement et l'intérêt légitime auront un impact direct sur vos pratiques.

8. Documentez, documentez, documentez — En cas de contrôle, la CNIL évalue d'abord votre capacité à démontrer vos efforts de conformité (principe d'accountability). Le meilleur investissement reste la documentation.

9. Outillez-vous — Un tableur Excel peut dépanner au démarrage, mais il ne tient pas dans le temps. Pas de versioning, pas de rappels automatiques, pas de traçabilité. Un logiciel RGPD comme Dativo centralise la gestion du registre, des AIPD, des demandes de droits et de la documentation — pour quelques euros par jour.

Ce qui ne change pas (et c'est important de le rappeler)

Les six principes fondamentaux du RGPD (licéité, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité) restent inchangés. Les droits des personnes (accès, rectification, effacement, portabilité, opposition) ne sont pas modifiés. L'obligation de notification des violations (72 heures) reste identique. Le rôle du DPO n'est ni réduit ni supprimé — il est même renforcé par l'articulation avec l'AI Act.

La conformité RGPD n'est pas un projet ponctuel, c'est un processus continu. Les entreprises qui l'ont compris traversent les évolutions réglementaires sans stress. Les autres courent après la conformité à chaque nouvelle annonce.

Conclusion : le RGPD mûrit, et c'est une bonne nouvelle

Après huit ans d'existence, le RGPD entre dans une phase de maturité. Les outils se simplifient, les interprétations se clarifient, et les autorités passent d'une posture pédagogique à une posture d'application systématique. Pour les entreprises qui ont joué le jeu de la conformité, c'est une bonne nouvelle : la barre se stabilise. Pour celles qui ont repoussé le sujet, le temps des excuses touche à sa fin.

La période 2026-2027 sera marquée par la convergence RGPD / AI Act — un défi mais aussi une opportunité de repenser la gouvernance des données de manière globale. Les DPO qui sauront articuler ces deux cadres réglementaires deviendront des acteurs stratégiques dans leur organisation.

Les outils existent, les ressources arrivent, et les conséquences du non-respect restent lourdes (jusqu'à 20M€ ou 4% du CA mondial pour le RGPD, jusqu'à 35M€ ou 7% pour l'AI Act). La question n'est plus « faut-il se conformer ? » mais « comment le faire efficacement ? »

Quelles sont les principales nouveautés RGPD en 2026 ?

Les changements majeurs en 2026 sont l'entrée en application complète de l'AI Act pour les systèmes à haut risque (2 août 2026), la proposition de simplification du registre des traitements pour les entreprises de moins de 750 salariés (Digital Omnibus), le programme CEPD 2026-2027 avec la publication de lignes directrices sur le consentement, l'anonymisation et les données des mineurs, l'action coordonnée européenne sur les obligations de transparence (CEF 2026), et le renforcement des contrôles CNIL sur l'IA, les mineurs, la cybersécurité et les applications mobiles.

Le registre des traitements est-il toujours obligatoire pour les PME ?

Oui, à ce jour le registre des traitements reste obligatoire pour toutes les entreprises. La proposition de la Commission européenne (Digital Omnibus) prévoit de relever le seuil d'exemption de 250 à 750 salariés, mais ce texte n'est pas encore adopté. Même si cette exemption est votée, le registre restera fortement recommandé comme outil de pilotage de la conformité et comme preuve d'accountability en cas de contrôle.

Comment articuler la conformité RGPD et AI Act ?

Lorsqu'un système d'IA traite des données personnelles, les deux règlements s'appliquent simultanément. En pratique, cela implique de réaliser une AIPD intégrant les exigences des deux cadres, de documenter le fonctionnement du système (transparence AI Act + information RGPD), de mettre en place une supervision humaine respectant les droits des personnes, et de former les équipes aux deux réglementations. Le DPO est le profil naturel pour coordonner cette double conformité.

Quelles sanctions risquent les entreprises non conformes en 2026 ?

Les sanctions RGPD restent plafonnées à 20 millions d'euros ou 4 % du CA mondial. L'AI Act ajoute un barème pouvant atteindre 35 millions d'euros ou 7 % du CA. En 2025, la CNIL a prononcé 83 sanctions pour un total de 487 millions d'euros. Début 2026, Free (42 millions) et France Travail (5 millions) ont déjà été sanctionnés. La tendance est au durcissement, y compris pour les PME.

Quelles sont les priorités de contrôle de la CNIL en 2026 ?

Le plan stratégique CNIL 2025-2028 définit quatre axes prioritaires pour 2026 : l'intelligence artificielle (systèmes combinant risques élevés et données sensibles), la protection des mineurs (vérification d'âge, réseaux sociaux, edtech), la cybersécurité (mesures de sécurité des sous-traitants et hébergeurs), et les usages du quotidien numérique (applications mobiles, SDK tiers, consentement).

Quel est le calendrier complet de l'AI Act ?

L'application de l'AI Act est progressive : les interdictions de systèmes d'IA à risque inacceptable sont en vigueur depuis février 2025, les obligations pour les modèles d'IA à usage général (GPAI) depuis août 2025, les obligations complètes pour les systèmes à haut risque entrent en application le 2 août 2026, et les obligations pour les systèmes d'IA intégrés dans des produits réglementés s'appliqueront en août 2027.

Pour aller plus loin :

Source : CEPD (EDPB)

Besoin d'aide pour votre conformité RGPD ?

Dativo accompagne les PME, DPO et collectivités dans leur mise en conformité RGPD avec un logiciel simple et complet.

À lire aussi

PME et RGPD : se protéger du phishing et des accès non autorisés Accès bancaires et RSA : enjeux RGPD d'une surveillance accrue Systèmes militaires et données : quels enjeux RGPD ?
Tous les articles