Définition
Le RGPD (Règlement Général sur la Protection des Données) est le texte de référence européen sur la protection des données personnelles. En vigueur depuis mai 2018, il s’applique à toute organisation qui traite des données de personnes résidant dans l’Union européenne, quelle que soit la taille de la structure.
Le RGPD est en vigueur depuis 2018, mais beaucoup de PME n’ont toujours pas mis en place les fondations réglementaires de base. Or, la CNIL ne contrôle pas uniquement les grands groupes : elle instruit des plaintes émanant de particuliers et peut initier des contrôles auprès de structures de toute taille. Dès que vous traitez des données personnelles — coordonnées clients, fichiers RH, données de prospects — vous êtes soumis au RGPD. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Structurer votre conformité n’est pas optionnel : c’est une obligation légale et un facteur de confiance pour vos clients.
Pourquoi les PME sont exposées au RGPD
Une idée reçue persiste : “nous sommes trop petits pour être contrôlés”. C’est inexact. Le RGPD ne prévoit pas de seuil d’exemption lié à la taille. Toute entreprise qui collecte des données personnelles — même une liste de clients ou un fichier de paie — est concernée.
La CNIL instruit chaque année des centaines de plaintes de particuliers. Une plainte suffit à déclencher une procédure de contrôle. Les PME représentent une part croissante des mises en demeure publiées par la CNIL, souvent pour des manquements élémentaires : absence de registre des traitements, pas de politique de confidentialité sur le site web, consentement non recueilli pour les newsletters.
La bonne nouvelle : la mise en conformité RGPD est progressive. Une démarche structurée, même partielle, démontre la bonne foi et réduit considérablement le risque de sanction.
Vos obligations RGPD concrètes
Le RGPD repose sur plusieurs obligations qui s’appliquent dès le premier traitement de données personnelles.
-
Registre des traitements : Document obligatoire (article 30 RGPD) recensant tous vos traitements de données personnelles : finalité, base légale, données collectées, durée de conservation, destinataires. Premier réflexe en cas de contrôle CNIL.
-
Base légale pour chaque traitement : Tout traitement doit reposer sur une base légale : consentement explicite, exécution d'un contrat, obligation légale, intérêt légitime ou sauvegarde d'intérêts vitaux. Sans base légale, le traitement est illicite.
-
Droits des personnes : Vous devez être en mesure de répondre aux demandes d'accès, de rectification, d'effacement, de portabilité et d'opposition. Un délai de réponse d'un mois s'impose.
-
Analyse d'impact (AIPD) : Obligatoire pour les traitements présentant un risque élevé pour les personnes (vidéosurveillance, profilage, données de santé). L'AIPD documente les risques et les mesures pour les atténuer.
-
Notification des violations en 72 heures : En cas de violation de données personnelles (ransomware, fuite, accès non autorisé), vous disposez de 72 heures pour notifier la CNIL. Si le risque est élevé pour les personnes, elles doivent aussi être prévenues directement.
-
DPO : obligatoire ou recommandé : Le Délégué à la Protection des Données est obligatoire pour certaines structures (organismes publics, traitements à grande échelle de données sensibles). Pour les autres PME, désigner un référent RGPD interne ou externe est fortement recommandé.
Sanctions CNIL : ce que vous risquez
Niveaux de sanctions RGPD
| Niveau de sanction | Montant maximum | Exemple |
|---|---|---|
| Sanction administrative simple | 10 M€ ou 2 % du CA mondial | Défaut de registre des traitements, absence de mentions légales |
| Sanction administrative grave | 20 M€ ou 4 % du CA mondial | Traitement illicite, violation grave des droits des personnes |
Notre approche : pragmatique et adaptée aux PME
La conformité RGPD ne s’atteint pas en une journée, mais elle peut progresser rapidement avec une méthode claire. Notre conviction : mieux vaut une démarche structurée et documentée qu’une conformité théorique sur le papier.
1. Audit RGPD
Cartographie complète de vos traitements de données personnelles : quelles données, pour quelles finalités, avec quels tiers.
- • Entretiens avec les équipes métier
- • Inventaire des logiciels et outils traitant des données
- • Identification des transferts vers des sous-traitants
- • Rapport de situation initial
2. Registre et base légale
Formalisation de chaque traitement dans votre registre. Vérification et documentation de la base légale pour chacun.
- • Rédaction du registre des traitements (article 30)
- • Qualification de la base légale traitement par traitement
- • Revue des durées de conservation
- • Mise à jour des clauses contractuelles sous-traitants
2. Registre et base légale
Formalisation de chaque traitement dans votre registre. Vérification et documentation de la base légale pour chacun.
- • Rédaction du registre des traitements (article 30)
- • Qualification de la base légale traitement par traitement
- • Revue des durées de conservation
- • Mise à jour des clauses contractuelles sous-traitants
3. Procédures
Mise en place des procédures opérationnelles pour garantir le respect des droits des personnes et répondre aux incidents.
- • Procédure de gestion des demandes d'exercice de droits
- • Procédure de notification de violation (72h CNIL)
- • Mise à jour des mentions légales et politique de confidentialité
- • AIPD pour les traitements à risque élevé
4. Gouvernance et maintien
La conformité RGPD n'est pas un projet ponctuel. Les traitements évoluent, les réglementations aussi.
- • Formation des équipes aux obligations RGPD
- • Désignation d'un référent ou DPO
- • Revues périodiques du registre
- • Support en cas de contrôle CNIL ou de demande d'une personne
4. Gouvernance et maintien
La conformité RGPD n'est pas un projet ponctuel. Les traitements évoluent, les réglementations aussi.
- • Formation des équipes aux obligations RGPD
- • Désignation d'un référent ou DPO
- • Revues périodiques du registre
- • Support en cas de contrôle CNIL ou de demande d'une personne
Par où commencer : checklist pratique
Actions immédiates
- Identifier qui traite des données personnelles dans votre entreprise (RH, commercial, informatique)
- Vérifier l’existence d’un registre des traitements
- Contrôler les mentions légales de votre site web et les formulaires de collecte
- Désigner un référent RGPD (interne ou prestataire externe)
Court terme (1 à 3 mois)
- Rédiger ou mettre à jour le registre des traitements
- Qualifier la base légale de chaque traitement
- Mettre en place une procédure de gestion des demandes de droits
- Encadrer les sous-traitants traitant des données personnelles par des clauses contractuelles
Moyen terme (3 à 12 mois)
- Réaliser les AIPD pour les traitements à risque élevé
- Former les équipes aux bonnes pratiques RGPD
- Mettre en place une procédure de notification des violations
- Planifier des revues périodiques du registre
Passez à l’action
Premier contact
Un premier échange de 30 minutes pour évaluer votre situation et identifier les priorités.
Audit RGPD
Cartographie de vos traitements et analyse des écarts par rapport aux obligations réglementaires.
Plan de conformité
Définition des actions prioritaires avec effort estimé et planning réaliste.
Accompagnement
Support jusqu'à la conformité effective : registre, procédures, formation et maintien dans la durée.
Ressources officielles
- CNIL - RGPD : de quoi parle-t-on ? - Référentiel officiel RGPD
- CNIL - Le registre des traitements - Guide pratique registre
Et si NIS2 vous concerne aussi ?
Si votre entreprise dépasse 50 salariés dans certains secteurs, la directive NIS2 viendra s’ajouter à vos obligations RGPD. Les deux textes partagent un socle commun — analyse de risques, notification d’incidents, sécurité des sous-traitants — ce qui permet de mutualiser les efforts. Découvrez notre accompagnement conformité NIS2.
FAQ : Conformité RGPD
Le RGPD s'applique-t-il aux PME de moins de 11 salariés ?
Oui, dès que vous traitez des données personnelles — clients, employés, prospects, fournisseurs — vous êtes soumis au RGPD, quelle que soit la taille de votre entreprise. L'obligation de tenir un registre des traitements s'applique à toutes les structures. Seule la désignation formelle d'un DPO peut ne pas s'imposer selon votre activité.
Le DPO est-il obligatoire ?
Le DPO (Data Protection Officer) est obligatoire pour les organismes publics et les entreprises dont l'activité principale implique un suivi systématique des personnes à grande échelle ou un traitement à grande échelle de données sensibles. Pour les autres PME, un référent RGPD interne ou externe est fortement recommandé pour structurer la démarche et rester à jour.
Quel est le délai de notification à la CNIL en cas de violation ?
72 heures. Toute violation de données personnelles présentant un risque pour les droits des personnes — ransomware, fuite de données, accès non autorisé — doit être notifiée à la CNIL dans les 72 heures suivant sa découverte. Si le risque est élevé pour les personnes concernées, celles-ci doivent également être notifiées directement, sans délai indu.
Qu'est-ce que le registre des traitements ?
Le registre des traitements est un document obligatoire en vertu de l'article 30 du RGPD. Il recense l'ensemble des traitements de données personnelles réalisés par votre organisation : finalité de chaque traitement, base légale, catégories de données concernées, durée de conservation, destinataires. Il doit être tenu à jour et présenté à la CNIL en cas de contrôle.
Clarifiez Votre Situation RGPD
Chaque PME a un contexte différent. Les obligations exactes dépendent de votre activité, du type de données que vous traitez, et de vos relations avec les tiers. Un diagnostic précis est indispensable.
Demander un diagnostic