Le RGPD fait peur aux PME. Acronyme obscur, texte de 99 articles, sanctions pouvant atteindre 4% du chiffre d'affaires... De quoi décourager. Pourtant, la conformité RGPD n'est ni impossible ni ruineuse pour une PME. Ce guide traduit les obligations légales en actions concrètes, sans jargon juridique.
Le RGPD en bref : ce que vous devez savoir
Le Règlement Général sur la Protection des Données (RGPD) encadre la collecte et le traitement des données personnelles dans l'Union Européenne depuis mai 2018.
Qu'est-ce qu'une donnée personnelle ?
Toute information permettant d'identifier directement ou indirectement une personne : nom, email, téléphone, adresse IP, photo, numéro client, données de localisation... Si vous pouvez remonter à une personne, c'est une donnée personnelle.
Qui est concerné ?
Toute organisation qui collecte ou traite des données personnelles de résidents européens, quelle que soit sa taille. Une PME de 5 personnes est concernée au même titre qu'une multinationale.
Les principes fondamentaux
Licéité : Vous devez avoir une base légale pour traiter les données (consentement, contrat, obligation légale, intérêt légitime...).
Finalité : Les données sont collectées pour un objectif précis et ne peuvent être utilisées autrement.
Minimisation : Ne collectez que les données strictement nécessaires.
Exactitude : Les données doivent être tenues à jour.
Limitation de conservation : Les données ne sont pas gardées indéfiniment.
Sécurité : Les données doivent être protégées contre les accès non autorisés.
Les obligations concrètes pour une PME
Voici ce que le RGPD exige concrètement de votre entreprise.
Tenir un registre des traitements
Documentez tous les traitements de données personnelles : quelles données, pour quoi faire, combien de temps, qui y accède, quelles mesures de sécurité. La CNIL propose un modèle de registre gratuit.
Exemple de traitement : "Gestion des clients - Nom, email, téléphone, historique achats - Pour facturation et relation client - Conservation 5 ans après dernier achat - Accès : service commercial et comptabilité".
Informer les personnes
Chaque collecte de données doit s'accompagner d'une information claire : qui collecte, pourquoi, combien de temps, quels droits. C'est le rôle de la politique de confidentialité sur votre site et des mentions sur vos formulaires.
Recueillir le consentement quand nécessaire
Pour certains traitements (newsletter, cookies non essentiels, prospection), le consentement explicite est requis. Il doit être libre, spécifique, éclairé et univoque. Les cases pré-cochées sont interdites.
Respecter les droits des personnes
Les personnes ont des droits sur leurs données :
Accès : Obtenir une copie de leurs données.
Rectification : Corriger des données inexactes.
Effacement : Demander la suppression (droit à l'oubli).
Opposition : Refuser certains traitements.
Portabilité : Récupérer leurs données dans un format exploitable.
Vous devez répondre à ces demandes sous un mois.
Sécuriser les données
Mettez en place des mesures techniques et organisationnelles : mots de passe robustes, chiffrement, sauvegardes, gestion des accès, sensibilisation des équipes. Pour un accompagnement technique, consultez les services de cybersécurité.
Notifier les violations
En cas de fuite de données, notification à la CNIL sous 72h et aux personnes concernées si risque élevé.
Le registre des traitements : mode d'emploi
Le registre est la pierre angulaire de votre conformité. Voici comment le construire.
Inventorier vos traitements
Listez toutes les activités impliquant des données personnelles :
• Gestion des clients et prospects
• Gestion des fournisseurs
• Gestion des salariés (paie, congés, formation)
• Site web (formulaires, analytics, cookies)
• Vidéosurveillance
• Contrôle d'accès
Pour chaque traitement, documenter
• Finalité (pourquoi ?)
• Catégories de données (quoi ?)
• Catégories de personnes concernées (qui ?)
• Destinataires (à qui sont transmises les données ?)
• Durée de conservation
• Mesures de sécurité
• Transferts hors UE éventuels
| Traitement | Données | Base légale | Conservation |
|---|---|---|---|
| Clients | Nom, email, tel, achats | Contrat | 5 ans après dernier achat |
| Newsletter | Consentement | Jusqu'à désinscription | |
| Salariés | État civil, RIB, contrat | Obligation légale | 5 ans après départ |
| Analytics web | IP, navigation | Intérêt légitime | 13 mois |
Politique de confidentialité : les mentions obligatoires
Votre politique de confidentialité doit contenir :
• Identité et coordonnées du responsable de traitement
• Coordonnées du DPO si vous en avez un
• Finalités et bases légales des traitements
• Destinataires des données
• Durées de conservation
• Droits des personnes et comment les exercer
• Droit de réclamation auprès de la CNIL
• Transferts hors UE éventuels
Rédigez en langage clair, pas en jargon juridique. L'objectif est que les personnes comprennent.
Cookies et traceurs : les règles
Les cookies sont soumis à des règles spécifiques (directive ePrivacy + RGPD).
Cookies exemptés de consentement
Certains cookies sont strictement nécessaires et ne requièrent pas de consentement : authentification, panier d'achat, préférences de langue, sécurité.
Cookies soumis à consentement
Les cookies de mesure d'audience (sauf configuration respectueuse de la vie privée), publicité, réseaux sociaux nécessitent un consentement préalable.
Bandeau cookies conforme
Le bandeau doit permettre de refuser aussi facilement qu'accepter. Pas de "dark patterns" (bouton refuser caché, couleurs trompeuses). Le silence ou la poursuite de navigation ne vaut pas consentement.
Faut-il un DPO ?
Le Délégué à la Protection des Données (DPO) est obligatoire dans certains cas :
• Organismes publics
• Traitement à grande échelle de données sensibles
• Suivi régulier et systématique des personnes à grande échelle
Pour la plupart des PME, le DPO n'est pas obligatoire mais reste recommandé. Un DPO externe mutualisé est une option économique.
Sanctions : les risques réels
Les sanctions RGPD font les gros titres, mais qu'en est-il pour les PME ?
Amendes théoriques
Jusqu'à 20 millions d'euros ou 4% du CA mondial. Ces montants concernent les infractions graves des grandes entreprises.
Réalité pour les PME
La CNIL privilégie l'accompagnement pour les PME de bonne foi. Les sanctions visent d'abord les manquements graves ou répétés. Mais l'absence totale de conformité expose à des amendes de quelques milliers à dizaines de milliers d'euros.
Autres risques
Au-delà des amendes : atteinte à la réputation, perte de confiance des clients, impossibilité de travailler avec des grands comptes exigeants sur la conformité de leurs sous-traitants.
Plan d'action en 5 étapes
Étape 1 : Cartographier
Identifiez tous vos traitements de données personnelles. Impliquez chaque service.
Étape 2 : Documenter
Créez votre registre des traitements. Rédigez ou mettez à jour votre politique de confidentialité.
Étape 3 : Sécuriser
Évaluez et renforcez la sécurité : mots de passe, accès, sauvegardes, chiffrement.
Étape 4 : Informer et former
Mettez à jour vos mentions légales. Sensibilisez vos équipes aux bonnes pratiques.
Étape 5 : Organiser
Définissez qui gère les demandes d'exercice de droits. Préparez une procédure de notification de violation.
FAQ : RGPD pour PME
Le RGPD s'applique-t-il aux données B2B ?
Oui, dès qu'il s'agit de personnes physiques identifiables (email nominatif, téléphone direct). Les données purement corporate (info@entreprise.com) sont moins encadrées.
Puis-je envoyer des emails commerciaux ?
En B2C, consentement préalable obligatoire (opt-in). En B2B, vous pouvez prospecter si le message est en rapport avec la fonction du destinataire, avec possibilité de se désinscrire.
Combien de temps conserver les données ?
Pas de durée universelle. Définissez des durées justifiées par la finalité : durée du contrat + prescription légale pour les clients, 3 ans après dernier contact pour les prospects...
Que faire si un client demande la suppression de ses données ?
Vérifiez si des obligations légales imposent de conserver certaines données (factures, garanties). Supprimez ce qui peut l'être, anonymisez le reste si nécessaire.
Conclusion : la conformité comme avantage
Le RGPD n'est pas qu'une contrainte, c'est une opportunité. Une gestion rigoureuse des données renforce la confiance des clients, améliore la qualité des données, réduit les risques. Les entreprises conformes se différencient positivement.
Commencez par le registre des traitements et la politique de confidentialité. Ces deux documents structurent toute votre démarche. La conformité parfaite n'existe pas, mais une démarche sincère et documentée vous protège.
Image : © Bing Images, licence libre
