Audit Article 30 RGPD : la checklist concrète pour PME en 2026

Juillet 2026. Votre entreprise traite des données clients, prospects, employés. L’Article 30 du RGPD vous impose un registre des activités de traitement à jour.

La CNIL a multiplié les contrôles : plus de 500 inspections en 2025, dont 40% ciblant des PME. Les sanctions pour absence de registre ou registre incomplet atteignent couramment 10 000 € à 50 000 € pour les structures de moins de 150 salariés.

Un audit Article 30, ce n’est pas un exercice de paperasse. C’est un diagnostic précis de vos flux de données, de leur licéité et de leurs risques. Voici la checklist concrète pour le réaliser sans bullshit.

Pourquoi un audit Article 30 en 2026 ?

Évolution des traitements

Depuis 2020, vos traitements ont changé : outils SaaS, IA générative, CRM cloud, solutions de visioconférence, suivi analytics. Chaque nouvel outil peut être un traitement non déclaré. 80% des PME n’ont pas mis à jour leur registre après l’adoption d’un nouvel outil.

Risque juridique réel

L’absence de registre est une infraction autonome. En cas de plainte ou de contrôle, la CNIL commence par demander votre registre. S’il est absent ou lacunaire, l’amende est quasi automatique. 30% des sanctions prononcées en 2024 concernaient le défaut de registre.

Bénéfices indirects

Un audit vous oblige à cartographier vos données. Cela facilite la gestion des droits des personnes, les réponses aux incidents de sécurité, et les négociations avec vos sous-traitants. C’est un investissement de quelques jours par an qui peut vous éviter une crise.

La checklist concrète pour l’audit

Voici les 5 points à vérifier un par un. Ne passez au suivant que lorsque le précédent est documenté.

• Recensement exhaustif des traitements : listez tous les processus où des données personnelles sont collectées, stockées, ou transmises. Incluez : RH (paie, absences, recrutement), clients (CRM, emailing, devis), prospects (formulaires, cookies), sous-traitants (comptabilité, hébergement). N’oubliez pas les fichiers papier et les logs serveur.
• Finalité et base légale pour chaque traitement : chaque ligne doit indiquer pourquoi vous traitez ces données (ex : exécution d’un contrat, obligation légale, intérêt légitime) et quelle base légale (Art. 6 RGPD). 40% des registres de PME confondent finalité et base légale.
• Catégories de données et durée de conservation : précisez les types exacts (nom, email, IP, données bancaires, santé…). Fixez une durée de conservation proportionnée (ex : 3 ans après dernier contact pour prospects). La moitié des PME n’a pas de politique de purge.
• Destinataires et sous-traitants : qui a accès aux données ? Internes (service commercial, RH, IT) ou externes (hébergeur, prestataire emailing, avocat). Pour chaque sous-traitant, vérifiez qu’un contrat RGPD (Art. 28) est signé. 70% des PME n’ont pas de contrat avec leur hébergeur.
• Transferts hors UE : si vos données transitent par un service basé aux États-Unis (Salesforce, Google Analytics 4, Slack, Zoom), vérifiez le mécanisme de transfert (Clauses Contractuelles Types, Décision d’adéquation). Beaucoup de PME ignorent que l’utilisation de Google Analytics implique un transfert. 90% des sites utilisant Google Analytics ne sont pas conformes.

Les pièges fréquents lors de l’audit

Même avec une checklist, on tombe dans des erreurs classiques. Les voici :

• Oublier les traitements papier : fiches de paie, dossiers médicaux, formulaires papier. Ils doivent figurer dans le registre. 15% des PME oublient leurs archives papier.
• Négliger les cookies et traceurs : les solutions de analytics, pixels publicitaires, scripts de réseaux sociaux sont des traitements. Depuis 2024, la CNIL sanctionne aussi les PME pour défaut de consentement lié aux traceurs.
• Confondre registre interne et déclaration à la CNIL : plus besoin de déclarer, mais le registre doit être tenu en interne et présenté sur demande. Beaucoup l’ignorent encore.
• Ne pas documenter les analyses d’impact (AIPD) : si vous traitez des données sensibles (santé, biométrie) ou surveillez systématiquement des personnes, une AIPD est obligatoire. Exemple : système de pointage biométrique. Seulement 10% des PME concernées réalisent une AIPD.

Passer à l’action : outillage et fréquence

Un audit Article 30 doit être réalisé au moins une fois par an. Idéalement à date fixe (ex : janvier). Pour les PME sans DPO interne, des outils gratuits existent : le modèle de registre de la CNIL (format Excel ou tableur).

Mais un tableur seul ne suffit pas si vos traitements évoluent vite. L’alternative : externaliser l’audit auprès d’un consultant ou DPO externalisé. Sur gapup.io, nous référençons 115 expertises RGPD et conformité adaptées aux PME de 5 à 150 personnes. Vous pouvez trouver un accompagnement sur-mesure sans vous ruiner.

La clé : ne pas faire l’audit une fois pour toutes. Intégrez la mise à jour de votre registre dans vos process : chaque nouvel outil SaaS, chaque nouveau processus métier doit déclencher une vérification Article 30.

Un registre à jour n’est pas une contrainte administrative. C’est la preuve que vous maîtrisez vos données, que vous respectez vos clients et vos collaborateurs, et que vous êtes prêt à répondre à un contrôle. Planifiez votre audit avant la fin 2026.