Beaucoup de dirigeants de PME pensent encore que le RGPD est une affaire de grands groupes. Ils se trompent. Une entreprise de huit salariés qui gère un fichier clients sur Excel et envoie une newsletter mensuelle traite déjà des données personnelles, donc elle entre dans le périmètre du règlement. Les contrôles CNIL ne visent plus seulement les Google et Amazon de ce monde : en 2024, plusieurs structures de moins de 50 salariés ont été sanctionnées pour des manquements basiques (absence de registre, mentions d’information incomplètes, conservation excessive).
Ce guide est conçu pour un dirigeant ou un responsable opérationnel qui veut comprendre ce que la mise en conformité veut dire concrètement, par où démarrer et combien de temps ça prend. Pas de jargon juridique inutile, pas de promesses de « conformité totale en 24h » non plus. Juste les étapes qui marchent, les pièges à éviter, et les outils gratuits que la CNIL met à disposition.
Pourquoi le RGPD concerne votre PME, même avec cinq salariés
Le règlement général sur la protection des données est entré en application le 25 mai 2018. Il s’applique à toute organisation qui traite des données personnelles de résidents européens, peu importe sa taille ou son chiffre d’affaires. Une donnée personnelle, c’est toute information qui permet d’identifier une personne physique, directement ou indirectement : nom, e-mail, numéro de téléphone, adresse IP, identifiant client, photo… La liste est large.
Et « traiter » couvre presque tout ce qu’on fait avec ces données : collecter, enregistrer, organiser, consulter, transmettre, conserver, supprimer. Donc oui, votre tableur RH, votre CRM, votre formulaire de contact, vos cookies de mesure d’audience et vos vidéos de surveillance sont des traitements de données personnelles.
L’idée fausse la plus tenace, c’est de croire qu’on est trop petit pour intéresser la CNIL. Le régulateur reçoit chaque année plus de 16 000 plaintes, et beaucoup viennent de salariés ou d’anciens clients mécontents. Une plainte suffit à déclencher un contrôle. Un contrôle peut aboutir à une mise en demeure publique, ce qui est déjà très inconfortable d’un point de vue commercial. Et si l’entreprise persiste, l’amende suit.
Une particularité du RGPD qui change tout : la responsabilité ne se délègue pas. Vous pouvez confier votre paie à un cabinet, héberger votre site chez OVH ou Scaleway, utiliser HubSpot ou Mailchimp pour vos campagnes… le responsable de traitement, juridiquement, c’est vous. Le sous-traitant a aussi des obligations propres, mais il ne vous décharge de rien.
Les six principes du RGPD à intégrer dès le départ
L’article 5 du règlement pose six principes qui doivent guider toutes vos décisions de traitement. Ils paraissent abstraits, ils sont concrets dans la pratique.
Licéité, loyauté et transparence. Chaque traitement doit reposer sur une base légale claire (on y revient plus bas) et l’utilisateur doit savoir ce que vous faites de ses données. Pas de collecte cachée, pas de finalité dissimulée derrière une mention vague comme « améliorer votre expérience ».
Limitation des finalités. Les données collectées pour un objectif précis ne peuvent pas servir à autre chose sans nouvelle base légale. Vous récupérez les e-mails de vos clients pour leur envoyer leur facture ? Vous ne pouvez pas les ajouter automatiquement à votre liste prospection sans leur consentement.
Minimisation. Ne collectez que ce qui est strictement nécessaire. Demander la date de naissance pour s’inscrire à une newsletter, c’est disproportionné. La CNIL applique ce principe avec sérieux dans ses contrôles.
Exactitude. Les données doivent être à jour. Les utilisateurs ont d’ailleurs un droit de rectification.
Limitation de la conservation. Vous ne pouvez pas garder les données indéfiniment. Chaque type de donnée doit avoir une durée de conservation justifiée et appliquée. Les fichiers de prospects, par exemple, ne doivent pas dépasser trois ans à compter du dernier contact actif.
Au même titre qu’une assurance multirisque professionnelle, la conformité RGPD fait partie des protections essentielles pour votre PME.
Intégrité, confidentialité, responsabilité. Vous devez sécuriser les données et pouvoir prouver à tout moment que vous le faites. Ce dernier point, l’accountability, est central : la CNIL ne demande pas seulement d’être conforme, elle demande de pouvoir le démontrer documents à l’appui.
Comme pour votre logiciel comptable, la sécurité des données doit être une priorité dans votre gestion RGPD.
Le registre des traitements, point de départ obligatoire
Si vous ne faites qu’une seule chose après avoir lu ce guide, faites celle-là. L’article 30 du RGPD impose à toute organisation, publique ou privée, de tenir un registre des activités de traitement. C’est un document vivant qui recense, pour chaque traitement, qui fait quoi avec quelles données.
Une dérogation existe pour les organismes de moins de 250 salariés… mais elle est tellement étroite qu’en pratique, presque tous les traitements doivent être inscrits. Sont concernés : tous les traitements non occasionnels (paie, gestion clients, fournisseurs, RH, prospection), ceux qui présentent un risque pour les personnes (vidéosurveillance, géolocalisation), et ceux qui portent sur des données sensibles (santé, opinions, biométrie). Bref, considérez que le registre est obligatoire pour vous.
Le contenu attendu par la CNIL pour chaque entrée :
- le nom et la finalité du traitement (par exemple : « Gestion de la paie des salariés ») ;
- les catégories de données (identité, coordonnées, données bancaires, etc.) ;
- les catégories de personnes concernées (salariés, candidats, clients, prospects) ;
- les destinataires internes et externes (URSSAF, expert-comptable, banque) ;
- la durée de conservation prévue ;
- les mesures de sécurité en place (mots de passe, chiffrement, accès restreint).
| Étape | Action concrète | Outil utile |
|---|---|---|
| 1. Recenser | Lister tous les fichiers et logiciels qui contiennent des données | Réunion d’équipe d’1h, par service |
| 2. Documenter | Remplir une fiche par traitement | Modèle gratuit CNIL (.ods et .docx) |
| 3. Hiérarchiser | Identifier les traitements à risque | Grille AIPD CNIL |
| 4. Mettre à jour | Réviser au moins une fois par an | Inscription à l’agenda interne |
La CNIL met à disposition un modèle de registre prêt à l’emploi sur son site, en format tableur ouvert. Pour une PME de moins de 50 salariés, comptez une demi-journée à une journée de travail pour la première version, en faisant le tour des services. Un cabinet d’expertise externe facture en général entre 1 500 € et 4 000 € pour ce travail initial, mais rien n’empêche de le faire en interne avec un peu de méthode.
Choisir la bonne base légale pour chaque traitement
L’article 6 du RGPD prévoit six bases légales possibles, et chaque traitement doit reposer sur une et une seule. C’est un point que beaucoup d’entreprises ratent, parce qu’elles invoquent le consentement par réflexe alors qu’une autre base est plus adaptée.
- Le consentement de la personne. Doit être libre, spécifique, éclairé, univoque. Une case précochée ne vaut pas consentement. Le consentement est la base par défaut pour la prospection commerciale par e-mail vers des particuliers.
- L’exécution d’un contrat. Si vous vendez un produit en ligne, traiter le nom et l’adresse du client pour livrer la commande relève de cette base. Pas besoin de consentement pour ça.
- L’obligation légale. Stocker les fiches de paie pendant cinq ans, c’est une obligation. Pas de consentement à demander.
- La sauvegarde des intérêts vitaux. Cas rare, surtout en santé.
- La mission d’intérêt public. Pour les acteurs publics ou délégataires.
- L’intérêt légitime. Base « fourre-tout » mais qui exige un test de mise en balance écrit. La prospection BtoB peut s’appuyer dessus, sous conditions.
Le piège classique : envoyer une newsletter mensuelle sans avoir collecté un consentement opt-in clair. Une case à cocher décochée par défaut, accompagnée d’une mention explicite (« Je souhaite recevoir la newsletter de [Nom] »), est la bonne pratique. Stockez l’horodatage et la source du consentement. Sans cette preuve, vous ne pouvez pas démontrer la conformité en cas de plainte.
Pour la prospection BtoB (e-mails professionnels), la CNIL accepte l’intérêt légitime, mais le destinataire doit être informé au moment de la collecte et pouvoir s’opposer en un clic. La règle dite du « soft opt-in » pour les clients existants permet aussi de leur envoyer des offres sur des produits similaires sans nouveau consentement.
Politique de confidentialité et droits des personnes
Tout site web et toute interface qui collecte des données doit afficher une politique de confidentialité (souvent appelée « politique de protection des données » ou « mentions d’information »). Elle doit être accessible, claire, dans un langage compréhensible.
Les éléments attendus :
- l’identité du responsable de traitement et ses coordonnées ;
- les finalités de chaque traitement et la base légale associée ;
- les destinataires des données ;
- la durée de conservation par catégorie de donnée ;
- l’existence des droits et la manière de les exercer ;
- les éventuels transferts hors Union européenne (et les garanties associées) ;
- le droit d’introduire une réclamation auprès de la CNIL.
Côté droits, le RGPD en consacre huit. Les utilisateurs peuvent demander :
- d’accéder aux données vous détenez sur eux ;
- de les faire rectifier si elles sont inexactes ;
- de les faire effacer dans certains cas (droit à l’oubli) ;
- de limiter un traitement le temps de vérifier un point ;
- de s’opposer à certains traitements, en particulier la prospection ;
- de récupérer leurs données dans un format réutilisable (portabilité) ;
- d’être informés clairement avant la collecte ;
- de ne pas faire l’objet d’une décision entièrement automatisée ayant un effet juridique.
Vous avez un mois pour répondre à une demande, prolongeable de deux mois si la requête est complexe (avec justification). Mettez en place une procédure interne : qui reçoit la demande, qui vérifie l’identité, qui rédige la réponse, qui supprime ou exporte les données. Et tracez tout. Une demande d’accès non traitée dans les délais est l’un des motifs de plainte les plus fréquents reçus par la CNIL.
Sécuriser les données : les attentes minimales de la CNIL
L’article 32 demande des « mesures techniques et organisationnelles appropriées » au regard du risque. Le mot important, c’est « appropriées » : la CNIL n’attend pas d’une PME les mêmes contrôles qu’une banque, mais elle attend un socle minimum solide.
Le minimum vital, vu côté contrôle :
- Mots de passe. Au moins douze caractères, complexité réelle (majuscules, chiffres, symboles), renouvellement raisonné. Pas de mot de passe partagé sur un Post-it. Un gestionnaire de mots de passe (Bitwarden, 1Password) coûte quelques euros par utilisateur et par mois.
- Authentification à double facteur (2FA) sur les outils critiques : messagerie, CRM, console d’administration WordPress, comptes bancaires. C’est gratuit dans la majorité des cas et ça ferme la porte à 90 % des compromissions.
- Gestion des accès. Un commercial junior n’a pas besoin d’accéder à la paie. Listez les rôles, attribuez les permissions au minimum nécessaire, retirez les accès dès le départ d’un salarié.
- Sauvegardes. Quotidiennes, chiffrées, testées au moins deux fois par an. Une sauvegarde qu’on n’a jamais essayé de restaurer n’est pas une sauvegarde.
- Mises à jour. Le système d’exploitation, le CMS (WordPress, Drupal), les plugins, les antivirus. La CNIL considère qu’un site qui tourne avec un WordPress non patché depuis six mois est négligent.
- Chiffrement. HTTPS sur tout site qui collecte des données (un certificat Let’s Encrypt est gratuit). Chiffrement des disques durs des ordinateurs portables.
- Journalisation. Logs des accès aux fichiers sensibles, conservés au minimum six mois. C’est ce qui permet d’investiguer une fuite.
Et puis il y à la fameuse règle des 72 heures. En cas de violation de données (vol d’ordinateur portable non chiffré, accès non autorisé, fuite via un sous-traitant…), vous avez 72 heures pour notifier la CNIL si la violation présente un risque pour les droits et libertés des personnes. Si le risque est élevé, vous devez en plus informer les personnes concernées. Préparez une procédure d’urgence, ne découvrez pas le formulaire en ligne au moment où la maison brûle.
DPO et sanctions CNIL : ce que risque réellement une PME
La désignation d’un délégué à la protection des données (DPO) est obligatoire dans trois cas :
- les autorités et organismes publics ;
- les organismes dont l’activité de base implique un suivi régulier et systématique des personnes à grande échelle (par exemple, une plateforme avec millions d’utilisateurs) ;
- les organismes qui traitent à grande échelle des données sensibles.
Pour la majorité des PME, le DPO n’est donc pas obligatoire. Mais désigner un référent interne, salarié ou prestataire mutualisé, reste recommandé. Il joue le rôle d’interface avec la CNIL, suit les évolutions réglementaires et porte la culture protection des données dans l’équipe. Un DPO externe mutualisé pour une PME coûte typiquement entre 200 € et 800 € par mois, en fonction du périmètre.
Côté sanctions, l’article 83 prévoit deux paliers maximum, selon la nature du manquement :
| Type de manquement | Plafond |
|---|---|
| Violations des obligations du responsable de traitement (registre, sécurité, AIPD, sous-traitance…) | 10 millions d’euros ou 2 % du CA mondial annuel |
| Violations des principes de base, droits des personnes, transferts hors UE | 20 millions d’euros ou 4 % du CA mondial annuel |
C’est le montant le plus élevé qui s’applique. Pour une PME de cinq millions d’euros de chiffre d’affaires, le plafond théorique est donc de 200 000 €.
En pratique, la CNIL gradue. Pour une PME de bonne foi qui régularise rapidement, on est plus souvent sur des mises en demeure publiques (sans amende) ou des sanctions de quelques milliers d’euros. Pour des manquements répétés, des refus de coopérer ou des fuites massives, le couperet tombe plus fort. La sanction de 250 000 € infligée à Cdiscount en 2024 pour défaut d’information sur les cookies a marqué les esprits parce qu’elle visait un acteur français de taille intermédiaire, pas un GAFAM.
Au-delà de l’amende, deux risques sont souvent sous-estimés. Le risque réputationnel (la décision est publique, indexée par Google pendant des années) et le risque civil (les personnes peuvent demander réparation devant les tribunaux). Une plainte collective via une association comme La Quadrature du Net peut coûter bien plus cher qu’une amende administrative.
Plan d’action concret en six semaines
Voici ce qui marche, testé sur des dizaines de structures de moins de 50 salariés. Le piège, c’est de vouloir tout faire d’un coup et de ne rien finir. Mieux vaut une mise en conformité progressive et tenue qu’un projet ambitieux abandonné au bout d’un mois.
Semaine 1. Cartographier. Réunion d’1h30 par service. Lister tous les fichiers, logiciels et formulaires qui contiennent des données personnelles. Sortie : une liste brute, même incomplète. Ça suffit pour démarrer.
Semaine 2. Construire le registre. Récupérer le modèle CNIL, remplir une fiche par traitement à partir de la liste de la semaine 1. Pas besoin que ce soit parfait. Mieux vaut un registre à 80 % qu’un registre absent.
Semaine 3. Refondre la politique de confidentialité. Vérifier que tous les éléments obligatoires y sont. Si vous partez d’un modèle générique, l’adapter à vos vraies finalités et durées. Mettre à jour le bandeau cookies si besoin (le consentement doit être aussi simple à refuser qu’à accepter).
Semaine 4. Sécuriser. Activer la 2FA sur les comptes critiques. Mettre en place un gestionnaire de mots de passe. Vérifier les sauvegardes. Patcher tout ce qui n’est pas à jour.
Semaine 5. Procédures internes. Créer une procédure de réponse aux demandes d’exercice des droits (boîte mail dédiée du type rgpd@votreentreprise.fr). Créer une procédure violation de données avec un kit « 72 heures » prêt à l’emploi.
Semaine 6. Sous-traitants. Lister tous les outils tiers qui hébergent des données (CRM, paie, hébergeur, mailing). Vérifier que chaque contrat contient une clause RGPD conforme à l’article 28. Demander la documentation aux prestataires qui ne l’ont pas spontanément fournie.
À l’issue des six semaines, vous n’êtes pas « 100 % conforme » (personne ne l’est totalement), mais vous avez un dispositif solide, documenté, prêt à tenir face à un contrôle. Le principe d’accountability est respecté. Pour la suite, prévoyez une revue annuelle du registre et un point trimestriel sur les nouveaux traitements (un nouveau logiciel, une nouvelle campagne, un nouveau partenariat… chaque ajout est un traitement à documenter).