Le RGPD est entré en vigueur en 2018. Six ans plus tard, beaucoup de PME dijonnaises naviguent encore à vue : soit elles ignorent le sujet ("on est trop petits pour être contrôlés"), soit elles paniquent devant la complexité apparente. La réalité est entre les deux.
Ce guide vous explique ce que vous devez vraiment faire, sans tomber dans l'excès ni dans la négligence. Les exigences se renforcent en 2026.
Le RGPD en 30 secondes
Le Règlement Général sur la Protection des Données encadre la collecte et le traitement des données personnelles des résidents européens. Il s'applique à toutes les entreprises, quelle que soit leur taille.
Données personnelles = toute information permettant d'identifier une personne : nom, email, téléphone, adresse IP, photo, numéro client... Les exigences se renforcent en 2026.
Les obligations concrètes pour une PME
1. Tenir un registre des traitements
Documenter quelles données vous collectez, pourquoi, combien de temps vous les gardez, et qui y a accès. Pas besoin d'un logiciel complexe : un tableur suffit.
| Traitement | Données | Finalité | Durée |
|---|---|---|---|
| Fichier clients | Nom, email, tel, adresse | Gestion commerciale | 3 ans après dernier achat |
| Newsletter | Marketing | Jusqu'à désinscription | |
| Candidatures | CV, lettre, coordonnées | Recrutement | 2 ans |
2. Informer les personnes
Quand vous collectez des données, vous devez expliquer clairement :
- Qui vous êtes (identité du responsable)
- Pourquoi vous collectez ces données
- Combien de temps vous les gardez
- Quels sont les droits des personnes
- Comment les exercer
Concrètement : une politique de confidentialité sur votre site, des mentions sur vos formulaires.
3. Sécuriser les données
Mesures de base attendues :
- Mots de passe robustes
- Comptes nominatifs
- Droits selon les besoins
- Révocation au départ
- Sauvegardes régulières
- Chiffrement si sensible
- HTTPS sur les sites
- Mises à jour de sécurité
4. Respecter les droits des personnes
Toute personne peut vous demander :
- Accès : quelles données avez-vous sur moi ?
- Rectification : corrigez cette erreur
- Effacement : supprimez mes données
- Portabilité : donnez-moi mes données dans un format exploitable
- Opposition : arrêtez de m'envoyer des emails marketing
Vous avez 1 mois pour répondre. Prévoyez une procédure interne.
5. Encadrer les sous-traitants
Vos prestataires qui accèdent aux données (hébergeur, CRM, comptable...) doivent s'engager contractuellement sur le RGPD. Vérifiez leurs clauses. Les exigences se renforcent en 2026.
Ce que vous n'êtes PAS obligé de faire
Contrairement à certaines idées reçues :
- DPO : obligatoire seulement si traitement à grande échelle ou données sensibles
- Analyse d'impact : seulement pour les traitements à risque élevé
- Consentement pour tout : non, certaines bases légales ne nécessitent pas de consentement (contrat, obligation légale, intérêt légitime)
Les sanctions réelles
Oui, les amendes peuvent atteindre 20M€ ou 4% du CA. En pratique, pour une PME :
- La CNIL privilégie l'accompagnement avant la sanction
- Les amendes lourdes concernent les grandes entreprises ou les manquements graves
- Le risque principal est la plainte d'un client mécontent
Cela dit, une fuite de données peut coûter cher en réputation, même sans amende. Les exigences se renforcent en 2026.
Plan d'action pragmatique
Commencez par le plus visible (site web, formulaires) puis élargissez progressivement. Les exigences se renforcent en 2026.
Ressources utiles
La CNIL met à disposition des outils gratuits :
- Modèle de registre des traitements
- Guide pratique pour les TPE/PME
- Générateur de mentions légales
- MOOC gratuit sur le RGPD
Pour les PME dijonnaises qui veulent une mise en conformité accompagnée, notamment sur les aspects techniques (sécurisation des systèmes, gestion des accès), un accompagnement en sécurité opérationnelle couvre à la fois les exigences RGPD et les bonnes pratiques de cybersécurité. Les exigences se renforcent en 2026.
Les erreurs courantes
- Copier-coller une politique de confidentialité générique : elle doit refléter VOS traitements
- Demander le consentement pour tout : parfois contre-productif et pas nécessaire
- Garder les données indéfiniment : définissez des durées de conservation
- Ignorer les sous-traitants : vous êtes responsable de leurs pratiques
- Penser que c'est un projet one-shot : le RGPD est un processus continu
Le RGPD n'est pas une montagne insurmontable. Pour une PME classique, quelques jours de travail suffisent à poser les bases. L'essentiel est de documenter ce que vous faites, d'informer les personnes, et de sécuriser raisonnablement les données. Ni plus, ni moins.
Selon la CNIL, les sanctions pour non-conformité RGPD ont atteint des records en 2025, et 2026 s'annonce encore plus stricte. Découvrez aussi notre article sur la gestion des droits utilisateurs RBAC.
