Systèmes supervisés · en ligne SLA 99,9 % Support 7j/7 01 84 80 12 34
prestataire.org Devis gratuit

GUIDE CONFORMITÉ

RGPD en entreprise : guide de mise en conformité

Obligations, registre des traitements, sécurité des données, sous-traitants : ce que le RGPD impose concrètement à une TPE/PME française, et par où commencer.

En bref

  • Les obligations qui concernent toutes les entreprises
  • Le registre des traitements pas à pas
  • Sécurité et sous-traitants : vos responsabilités
  • Plan d'action en 7 étapes

Le RGPD concerne toutes les entreprises, sans exception de taille

Le Règlement général sur la protection des données s'applique dès qu'une entreprise traite des données personnelles : fichiers clients, paie, candidatures, newsletters, vidéosurveillance. Autrement dit, toutes les entreprises, y compris une TPE de trois salariés. Il n'existe pas de seuil d'effectif en dessous duquel le RGPD ne s'appliquerait pas — seules certaines formalités (comme le registre) sont allégées pour les moins de 250 salariés, et encore, avec des exceptions.

Les grands principes : ne collecter que les données nécessaires (minimisation), pour une finalité définie, pendant une durée limitée, en informant les personnes, et en sécurisant les traitements. Le tout selon une logique de responsabilité (accountability) : vous devez pouvoir démontrer votre conformité, pas seulement l'affirmer.

Le registre des traitements : la pierre angulaire

Le registre des activités de traitement est le document central de votre conformité. Il recense, pour chaque traitement (paie, prospection, recrutement…) :

  • la finalité du traitement et sa base légale (contrat, obligation légale, intérêt légitime, consentement) ;
  • les catégories de données et de personnes concernées ;
  • les destinataires, y compris les sous-traitants ;
  • les durées de conservation ;
  • les mesures de sécurité appliquées.

La CNIL propose un modèle de registre simplifié adapté aux PME. Comptez une demi-journée à quelques jours de travail selon la complexité de vos activités. Ce registre n'est pas à envoyer à la CNIL : il doit être tenu à jour et présentable en cas de contrôle.

Sécuriser les données : l'obligation la plus technique

L'article 32 du RGPD impose des « mesures techniques et organisationnelles appropriées ». Concrètement, pour une PME :

  • Contrôle des accès : comptes nominatifs, mots de passe robustes, double authentification sur la messagerie et les applications sensibles.
  • Sauvegardes testées : une sauvegarde régulière, dont une copie hors site, selon la règle 3-2-1.
  • Postes et serveurs à jour : correctifs de sécurité appliqués, antivirus/EDR déployé.
  • Chiffrement des ordinateurs portables et des supports amovibles.
  • Sensibilisation des équipes, notamment au phishing, première cause de compromission.
  • Journalisation des accès aux données sensibles.

En cas de violation de données (piratage, vol de portable, envoi erroné), vous devez notifier la CNIL sous 72 heures si la violation présente un risque pour les personnes, et informer les personnes concernées si le risque est élevé. Un accompagnement en cybersécurité aide à structurer ces mesures et à documenter leur application.

Sous-traitants : vous restez responsable

Prestataire informatique, hébergeur, éditeur SaaS, cabinet de paie : tous ceux qui traitent des données pour votre compte sont des sous-traitants au sens de l'article 28. Vous devez signer avec chacun un contrat (ou avenant) précisant l'objet du traitement, les instructions, la confidentialité, la sécurité, la sous-traitance ultérieure et le sort des données en fin de contrat. Vérifiez ce point avant de signer un contrat d'infogérance ou d'externaliser votre informatique : un prestataire sérieux fournit cette annexe spontanément. Attention aussi aux transferts hors Union européenne, fréquents avec les outils cloud américains : ils exigent des garanties spécifiques.

Sanctions CNIL : ce que risque réellement une PME

Le plafond théorique est élevé : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En pratique, la CNIL gradue : rappel aux obligations, mise en demeure (parfois publique), puis amende. Depuis 2022, une procédure simplifiée vise spécifiquement les manquements courants des petites structures, avec des amendes pouvant atteindre 20 000 €. Les motifs les plus fréquents : défaut de sécurité, prospection sans consentement, vidéosurveillance excessive, durées de conservation illimitées. Le risque réputationnel — une mise en demeure publique — pèse souvent plus lourd que l'amende elle-même.

Plan d'action : 7 étapes pour se mettre en conformité

  1. Désignez un pilote interne (un DPO n'est obligatoire que dans certains cas : suivi régulier à grande échelle, données sensibles).
  2. Cartographiez vos traitements et créez votre registre.
  3. Triez : supprimez les données inutiles ou trop anciennes, définissez des durées de conservation.
  4. Informez : mentions d'information sur vos formulaires, politique de confidentialité sur votre site, information des salariés.
  5. Organisez les droits des personnes : accès, rectification, effacement — avec un point de contact et un délai d'un mois pour répondre.
  6. Encadrez vos sous-traitants par contrat.
  7. Sécurisez votre système d'information et documentez les mesures, idéalement après un audit informatique.

Erreur à éviter : traiter le RGPD comme un projet ponctuel. La conformité est un processus continu : chaque nouvel outil, chaque nouveau traitement doit être ajouté au registre et évalué.

Questions fréquentes

FAQ

Une TPE doit-elle tenir un registre des traitements ?

Oui dans la plupart des cas. L'exemption des moins de 250 salariés ne joue pas si le traitement est régulier — ce qui est le cas de la paie ou d'un fichier clients. Le modèle simplifié de la CNIL suffit généralement.

Faut-il obligatoirement un DPO ?

Non, sauf si votre activité principale implique un suivi régulier et systématique à grande échelle ou des données sensibles. Une PME classique désigne plutôt un référent interne, éventuellement épaulé par un conseil externe.

Mon prestataire informatique est-il concerné par ma conformité ?

Oui, doublement : il est sous-traitant (contrat article 28 obligatoire) et il met en œuvre une grande partie de vos mesures de sécurité — sauvegardes, accès, mises à jour, chiffrement.

Que faire en cas de piratage ou de perte de données ?

Documentez l'incident immédiatement, évaluez le risque pour les personnes, et notifiez la CNIL sous 72 heures si nécessaire. Si le risque est élevé, informez aussi les personnes concernées.

Combien coûte une mise en conformité RGPD ?

Pour une PME, l'essentiel est du temps interne (registre, tri, mentions) plus des mesures de sécurité informatique souvent déjà justifiées par ailleurs. Un accompagnement externe se chiffre en quelques jours de conseil.

Besoin de sécuriser vos données pour le RGPD ?

Nous mettons en place les mesures techniques : accès, sauvegardes, chiffrement, sensibilisation.