Données personnelles

Audit RGPD : prix et tarifs 2026 (grille complète)

Prix d'un audit RGPD en 2026 : grille tarifaire par taille et périmètre (audit flash, complet, CNIL-ready), cabinet vs audit automatisé par logiciel.

Le prix d’un audit RGPD en 2026 va de 1 500 à 4 000 € pour un audit flash de TPE/PME, 4 000 à 12 000 € pour un audit complet de PME, et 15 000 à 60 000 € pour un audit approfondi d’ETI ou de grand compte multi-sites. Un audit « CNIL-ready » — pensé pour résister à un contrôle — se situe dans le haut de chaque fourchette. À côté de l’audit-cabinet, un audit automatisé par logiciel coûte quelques centaines à quelques milliers d’euros par an et couvre le diagnostic récurrent, là où le cabinet apporte l’expertise juridique ponctuelle.

Voici la grille détaillée par taille et par périmètre, ce qui fait varier la facture, et comment arbitrer entre cabinet, DPO externalisé et outil automatisé.

Points clés

  • Un audit flash (2-5 jours) situe les écarts majeurs ; un audit complet couvre registre, bases légales, sécurité, sous-traitants et droits des personnes.
  • Le prix suit le nombre de traitements et de sites, pas seulement l’effectif.
  • L’audit se mesure contre les référentiels de la CNIL (guide de la sécurité, référentiels sectoriels) : c’est le juge de paix d’un audit « CNIL-ready ».
  • Un logiciel d’audit RGPD rend le diagnostic récurrent et bon marché ; le cabinet reste pertinent pour l’interprétation juridique et les cas complexes.

Grille tarifaire par taille et périmètre

Les fourchettes ci-dessous reflètent les prix constatés sur le marché français. Elles supposent un prestataire qualifié (avocat, DPO certifié, cabinet spécialisé) et un livrable écrit avec plan d’action.

Type d’audit Périmètre TPE/PME ETI / grand compte
Audit flash Écarts majeurs, quick wins 1 500 - 4 000 € 5 000 - 12 000 €
Audit complet Registre, bases légales, sécurité, droits 4 000 - 12 000 € 15 000 - 40 000 €
Audit CNIL-ready Preuve d’accountability, pré-contrôle 8 000 - 18 000 € 30 000 - 60 000 €
Audit automatisé (logiciel) Diagnostic récurrent 500 - 3 000 € / an 3 000 - 15 000 € / an

Trois facteurs expliquent les écarts à l’intérieur de chaque case.

Le nombre de traitements. Un audit se paie à la complexité. Une entreprise avec 15 traitements standards s’audite en quelques jours ; une structure santé ou RH avec 80 traitements dont des données sensibles demande plusieurs semaines.

Le périmètre technique. Auditer la seule conformité documentaire coûte moins qu’un audit incluant la sécurité des données au sens de l’article 32, les tests d’intrusion ou l’analyse des flux hors UE.

Le niveau de preuve exigé. Un audit destiné à préparer un contrôle de la CNIL produit une documentation opposable, plus lourde qu’un simple état des lieux interne.

Ce que couvre chaque niveau d’audit

Tous les « audits RGPD » ne se valent pas. Distinguez trois profondeurs.

L’audit flash identifie les risques majeurs en 2 à 5 jours : existence du registre, bases légales des traitements principaux, bandeau cookies, mentions d’information, sous-traitants critiques. Il sert à prioriser, pas à tout corriger. C’est le bon point d’entrée pour une PME qui découvre son retard.

L’audit complet suit une méthodologie structurée : cartographie des traitements, analyse des bases légales, revue des durées de conservation, contrôle des contrats de sous-traitance (art. 28), évaluation de la sécurité, test des procédures de droits. Notre guide méthodologique de l’audit RGPD en détaille chaque étape.

L’audit CNIL-ready ajoute la logique de preuve. Il ne se contente pas de constater ; il vérifie que chaque obligation est démontrable au sens de l’accountability de l’article 5(2) RGPD. C’est ce que recherche une organisation qui craint un contrôle ou qui a reçu une plainte.

Cabinet, DPO externalisé ou logiciel : quel coût pour quel besoin

L’audit-cabinet et l’audit automatisé ne s’opposent pas, ils se complètent.

Le cabinet (avocat ou consultant spécialisé) facture à la journée, entre 800 et 1 500 € HT selon la séniorité. Il apporte l’interprétation juridique, la défense en cas de litige et la crédibilité d’un tiers indépendant. Il est irremplaçable sur les cas complexes : transferts internationaux, intérêt légitime contesté, traitements à haut risque.

Le DPO externalisé mutualise l’audit et le suivi dans un forfait mensuel. Utile pour une PME sans ressource interne — voir notre analyse du coût d’un DPO externalisé.

Le logiciel d’audit rend le diagnostic continu. Au lieu de payer un audit ponctuel tous les deux ans, la conformité est mesurée en permanence : écarts vs référentiel, alertes, plan d’action mis à jour. Notre comparatif des logiciels d’audit RGPD détaille le fonctionnement de ces outils, et la méthodologie d’audit de conformité montre comment structurer la démarche.

Le bon arbitrage pour une PME : un audit complet initial par un tiers, puis un maintien en condition par logiciel, avec appel ponctuel au cabinet sur les points juridiques sensibles. Une plateforme comme Legiscope automatise précisément ce diagnostic récurrent, en confrontant votre registre aux référentiels de la CNIL et en signalant les écarts.

Ce que doit contenir le livrable d’audit

Un audit sans livrable exploitable est de l’argent perdu. Exigez trois pièces, quel que soit le prestataire.

Un rapport d’écarts hiérarchisé, qui distingue les non-conformités majeures (risque de sanction immédiat), les non-conformités moyennes et les axes d’amélioration. Sans hiérarchisation, une PME ne sait pas par où commencer.

Un plan d’action daté et responsabilisé : chaque écart pointe vers une correction, un porteur et une échéance. C’est ce document que la CNIL demande pour apprécier votre bonne foi en cas de contrôle.

Une cartographie des traitements à jour, alimentant directement le registre RGPD. Un audit qui ne consolide pas le registre laisse l’organisation sans socle documentaire.

Méfiez-vous des offres « audit à 490 € » qui se résument à un questionnaire automatique sans revue humaine : elles ne produisent ni analyse juridique, ni preuve opposable. À l’inverse, un audit à cinq chiffres pour une TPE de dix salariés est surdimensionné. Le juste prix est proportionné au nombre de traitements et au risque réel.

Audit ponctuel ou conformité continue

La logique de l’audit ponctuel montre ses limites : entre deux audits espacés de deux ans, l’organisation dérive. De nouveaux traitements apparaissent, des sous-traitants changent, des durées de conservation expirent. Le rapport payé cher devient obsolète en quelques mois.

La tendance de fond est le passage à une conformité mesurée en continu. Un logiciel confronte en permanence le registre aux référentiels et signale les écarts dès qu’ils apparaissent, plutôt qu’à la prochaine mission. Le cabinet intervient alors en appui ciblé, sur les points qui exigent réellement un juriste. Cette combinaison — diagnostic permanent outillé + expertise ponctuelle — coûte moins cher sur trois ans qu’une succession d’audits complets, tout en réduisant le risque entre deux missions.

Concrètement, cette bascule se chiffre. Une PME qui commande un audit complet à 8 000 € tous les deux ans dépense 24 000 € sur six ans, sans rien entre deux missions. La même PME qui paie un audit initial puis un abonnement logiciel à 1 500 € par an dépense 8 000 € plus 9 000 €, soit 17 000 €, tout en gardant un diagnostic à jour en permanence. L’écart n’est pas seulement budgétaire : il porte sur le risque couvert entre deux photographies. C’est ce raisonnement en coût sur plusieurs années, et non le prix affiché d’une mission ponctuelle, qui doit guider l’arbitrage d’une organisation soucieuse de tenir sa conformité dans la durée.

Le coût de l’inaction : la vraie référence

Un audit se juge à l’aune du risque qu’il couvre. La CNIL a prononcé 50 millions d’euros contre Google (délibération n°SAN-2019-001, 21 janvier 2019). En matière de cookies, elle a sanctionné Google de 150 millions et Facebook de 60 millions d’euros en décembre 2021 (délibérations SAN-2021-023 et SAN-2021-024). Un audit à 10 000 € qui révèle un bandeau non conforme se rentabilise immédiatement.

Au-delà des sanctions, l’audit réduit un coût invisible : le temps perdu à répondre dans l’urgence à une plainte ou à une demande de droits mal outillée. L’EDPB rappelle que la conformité se démontre par la documentation ; un audit produit exactement cette documentation.

FAQ

Quel est le prix moyen d’un audit RGPD ?

Pour une PME française, comptez 4 000 à 12 000 € pour un audit complet, et 1 500 à 4 000 € pour un audit flash ciblant les écarts majeurs. Une ETI ou un grand compte multi-sites paiera 15 000 à 60 000 € selon le nombre de traitements et le niveau de preuve exigé.

Un audit RGPD est-il obligatoire ?

Non, le RGPD n’impose aucun audit formel. Mais l’article 5(2) impose de pouvoir démontrer sa conformité, et l’article 24 exige des mesures adaptées et réexaminées. Un audit est le moyen le plus fiable de produire cette preuve et de piloter le plan d’action.

Faut-il un cabinet ou un logiciel pour auditer sa conformité ?

Les deux ont un rôle. Le cabinet apporte l’expertise juridique et l’indépendance, indispensables sur les cas complexes. Le logiciel rend le diagnostic récurrent et bon marché. La combinaison la plus efficace : audit initial par un tiers, maintien continu par logiciel.

Combien de temps dure un audit RGPD ?

Un audit flash prend 2 à 5 jours, un audit complet de PME 2 à 4 semaines, un audit d’ETI multi-sites 1 à 3 mois. La durée dépend du nombre de traitements, de la disponibilité des interlocuteurs et de l’accès aux preuves documentaires.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →