En mai 2018, l’entrée en application du RGPD (règlement général sur la protection des données) a provoqué une onde de choc dans les entreprises françaises. Entre audits express, mentions légales réécrites dans l’urgence et bandeaux cookies apparus du jour au lendemain, la mise en conformité ressemblait parfois à une course contre la montre.
Sept ans plus tard, le règlement fait partie du quotidien des organisations. Mais au-delà des apparences, où en est réellement la conformité aujourd’hui ? Est-elle devenue un réflexe durable ou reste-t-elle, dans certains cas, une formalité administrative de façade ? 

Spoiler alert : la conformité est partielle, et les chiffres parlent d’eux-mêmes. 

« Plus 88 % des sites web de TPE/PME françaises ne sont toujours pas conformes au RGPD en 2024. » (Source : baromètre de la conformité RGPD des TPE et PME – éd 2024 / France Num) 

Un cadre désormais bien intégré… sur le papier 

Sept ans après son entrée en application, le RGPD est globalement maîtrisé sur le plan structurel. La majorité des entreprises ont formalisé : 

• leurs politiques de protection des données, 
• leurs registres de traitements, 
• leurs mentions d’information, 
• leurs processus de gestion des droits des personnes. 

Les équipes marketing et data ont gagné en maturité. Le RGPD n’est plus affecté au juridique : il s’invite aujourd’hui dans les projets CRM, marketing automation, data et IT. La donnée est devenue un actif stratégique, donc naturellement encadré. 

Pourtant, malgré ces progrès, 74 % des sites utilisant des traceurs ne respectent pas les règles de consentement.  (Source : baromètre de la conformité RGPD des TPE et PME – éd 2024 / France Num) 

Mais une conformité encore inégale sur le terrain 

Dans la réalité opérationnelle, la conformité reste parfois fragile. Les irritants les plus fréquents sont bien connus : 

• registres non mis à jour, 
• consentements imparfaitement tracés,
• durées de conservation floues, 
• gouvernance de la donnée morcelée, 
• bases historiques peu nettoyées. 

Sans oublier la gestion des sous-traitants, souvent théorique dans les contrats, mais peu auditée dans les faits.
Un fichier client trop ancien, c’est un peu comme un placard jamais trié : on sait qu’il y a de la valeur, mais on préfère parfois ne pas trop regarder de près. 

/!\ 51 % des TPE/PME ont déjà subi un incident de sécurité lié aux données personnelles.  (Source : baromètre de la conformité RGPD des TPE et PME – éd 2024 / France Num) 

Contrôles, sanctions… et surtout enjeu de confiance 

Les contrôles se renforcent progressivement et les sanctions rappellent que le RGPD n’est pas optionnel. En 2024, la CNIL dévoile qu’il y a eu 87 sanctions dont 75 amendes pour un montant cumulé de 55 212 400 €. 

Mais, dans la majorité des cas, le principal risque n’est pas l’amende : c’est la perte de confiance. 

Aujourd’hui, la capacité d’une entreprise à protéger les données personnelles est devenue un critère de crédibilité. Le RGPD est un indicateur de sérieux dans la gestion de la donnée. 

Le regard des directions marketing et commerciales a changé 

Longtemps vécu comme un frein, le RGPD est désormais mieux perçu par les équipes marketing et commerciales. Beaucoup constatent que : 

• une donnée collectée de façon transparente est souvent plus qualitative, 
• une base mieux gouvernée est aussi plus performante, 
• un contact consentant est généralement plus engagé. 

Moins de volume, plus de valeur : le RGPD a, en partie, favorisé une meilleure hygiène de la donnée. 

Le RGPD ne suffit plus à lui seul 

En 2025, la conformité ne se limite plus aux textes : 

• explosion des volumes de données, 
• généralisation du cloud, 
• interconnexions d’outils, 
• essor de l’IA, 
• disparition progressive des cookies tiers, 
• multiplication des sources de données. 

Le RGPD est devenu un socle. Mais un socle soumis à des usages beaucoup plus complexes qu’en 2018. Les entreprises doivent désormais raisonner en termes de gouvernance globale, de traçabilité et d’éthique de la donnée. 

2026 : vers une exigence plus forte, sans forcément changer la loi 

À horizon 2026, plusieurs signaux sont clairs : 

• des contrôles plus techniques et fréquents, 
• des attentes accrues des citoyens, 
• une attention renforcée sur l’IA et la data prédictive, 
• une demande croissante de “data responsable”. 

Le cadre juridique n’évoluera pas forcément en profondeur, mais son niveau d’exigence, lui, va continuer de monter. La conformité ne sera plus seulement documentaire : elle deviendra de plus en plus opérationnelle, mesurable et stratégique. 

La conformité, nouveau levier de performance durable 

Les entreprises les plus avancées ont changé de posture : elles ne “font plus du RGPD”, elles structurent leur stratégie data autour de la conformité. 

Cela passe par : 

• la cartographie des données, 
• la maîtrise des flux, 
• la fiabilisation des bases, 
• une gouvernance claire entre les métiers. 

La conformité devient alors un véritable levier de performance, de confiance client et de sécurisation des projets data. 

Sept ans après son entrée en application, le RGPD a profondément transformé les pratiques. La culture est là, les réflexes progressent, mais la conformité reste un chantier permanent. 

À l’approche de 2026, elle s’impose désormais comme un pilier de la stratégie data et non plus comme une simple contrainte réglementaire.
En matière de RGPD, il n’existe pas vraiment de ligne d’arrivée. Il s’agit d’un équilibre à entretenir, dans la durée, au rythme des usages… et des données.