RGPD : ce que votre PME doit vraiment faire (sans paniquer)

Mise à jour : 2025-12-11
legalsaas

Mai 2018. Le RGPD entre en vigueur. Panique généralisée dans les PME. "On risque des amendes colossales !" "Il faut un DPO !" "On doit tout revoir !" Les cabinets d'avocats frottent leurs mains, les consultants RGPD explosent leurs tarifs, les articles anxiogènes se multiplient.

Sept ans plus tard, où en est-on ? La majorité des PME sont... dans un flou artistique. Ni vraiment conformes, ni vraiment inquiètes. Elles ont fait "quelques trucs" (un bandeau cookies, une politique de confidentialité copiée-collée), sans vraiment comprendre ce qu'elles devaient faire.

Résultat : beaucoup de stress inutile, peu d'actions concrètes, et une conformité en mode "on croise les doigts".

Alors, concrètement, qu'est-ce qu'une PME doit VRAIMENT faire pour être conforme au RGPD ? Sans devenir paranoïaque, sans exploser son budget, sans passer 6 mois sur le sujet ?

Voici le guide pratique. Pas du juridique pompeux. De l'actionnable concret.

Le RGPD, c'est quoi en vrai ?

Avant de paniquer, comprenons ce que le RGPD demande vraiment.

Les principes de base (en français normal)

Le RGPD, c'est un règlement européen qui encadre comment les entreprises collectent, stockent, et utilisent les données personnelles des gens.

Une donnée personnelle, c'est toute information qui permet d'identifier quelqu'un : nom, email, adresse IP, numéro de téléphone, etc.

Le RGPD pose des règles simples :

  1. Transparence : dites aux gens ce que vous faites de leurs données
  2. Finalité : collectez uniquement ce dont vous avez vraiment besoin
  3. Durée limitée : ne gardez pas les données éternellement
  4. Sécurité : protégez les données contre les fuites et hacks
  5. Droits des personnes : permettez aux gens d'accéder, corriger, supprimer leurs données

Ce n'est pas sorcier. C'est du bon sens : respectez les données des gens.

Les amendes (qui font flipper tout le monde)

Le RGPD prévoit des amendes jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros (le montant le plus élevé).

Cette phrase fait paniquer les PME. "On va se faire ruiner !"

La réalité ? Ces amendes max visent les Google, Facebook, Amazon. Les géants qui abusent massivement et volontairement.

Pour une PME qui fait des efforts de bonne foi ? La CNIL (l'autorité française) privilégie la pédagogie. Elle donne des mises en demeure, demande des corrections. Les amendes arrivent si vous ignorez les avertissements et que vous êtes clairement de mauvaise foi.

Bref : oui, le RGPD a des dents. Non, la CNIL ne va pas débarquer pour ruiner votre PME si vous faites des efforts raisonnables.

Les 7 actions concrètes que toute PME doit faire

Oubliez les audits à plusieurs dizaines de milliers d'euros. Voici ce que TOUTE PME doit mettre en place. C'est faisable en quelques jours.

Action #1 : Cartographier vos traitements de données

Vous devez savoir quelles données vous collectez, pourquoi, où elles sont stockées, combien de temps vous les gardez.

Concrètement : faites un tableau simple avec :

  • Quel traitement ? (ex : gestion des clients, newsletter, recrutement)
  • Quelles données ? (nom, email, téléphone, adresse...)
  • Quelle finalité ? (pourquoi vous collectez ça)
  • Où c'est stocké ? (Salesforce, Mailchimp, Google Drive...)
  • Combien de temps gardé ? (3 ans, durée du contrat...)
  • Qui y a accès ? (équipe commerciale, service RH...)

Vous n'avez pas besoin d'un consultant à plusieurs milliers d'euros par jour pour ça. Un Google Sheet suffit. Ça vous prend 2-3 heures.

Ressource gratuite : la CNIL propose un modèle de registre RGPD téléchargeable gratuitement.

Action #2 : Rédiger une politique de confidentialité claire

Vous devez expliquer aux gens ce que vous faites de leurs données. C'est obligatoire.

Concrètement : créez une page "Politique de confidentialité" (ou "Vie privée") sur votre site qui explique :

  • Quelles données vous collectez
  • Pourquoi (quelle finalité)
  • Combien de temps vous les gardez
  • Qui y a accès (vous, vos sous-traitants)
  • Quels sont les droits des personnes (accès, rectification, suppression...)
  • Comment exercer ces droits (email de contact)

Piège à éviter : ne copiez-collez pas une politique générique trouvée sur internet. Adaptez-la à VOTRE activité réelle. La CNIL détecte les copier-coller.

Bon plan : la CNIL propose des modèles gratuits adaptés à différents secteurs.

Action #3 : Mettre en place un bandeau cookies conforme

Votre site utilise probablement des cookies (Google Analytics, pixel Facebook, etc.). Vous devez demander le consentement AVANT de les déposer.

Concrètement : installez un outil de gestion de consentement (Cookie Consent Manager). Il y en a des gratuits et des payants.

Les règles :

  • Le bandeau apparaît AVANT que les cookies soient déposés
  • Le refus doit être aussi facile que l'acceptation (pas de dark patterns)
  • Vous ne pouvez pas bloquer l'accès au site si la personne refuse

Outils gratuits : Tarteaucitron.js (open-source), ou des solutions comme Axeptio, Didomi (version gratuite limitée).

Action #4 : Sécuriser vos données

Vous devez protéger les données contre les fuites, hacks, pertes.

Concrètement :

  • Mots de passe : imposez des mots de passe forts, utilisez un gestionnaire (1Password, Bitwarden)
  • Double authentification : activez-la partout où c'est possible (Gmail, Salesforce, etc.)
  • Chiffrement : pour les données sensibles (santé, finances), utilisez du chiffrement
  • Accès limité : tout le monde n'a pas besoin d'accéder à tout. Limitez les accès au strict nécessaire
  • Sauvegarde : sauvegardez régulièrement vos données (si votre disque dur lâche, vous êtes conforme au RGPD... mais vous avez tout perdu)

Rien de révolutionnaire. C'est de l'hygiène de base.

Action #5 : Permettre l'exercice des droits

Les gens ont le droit de demander l'accès, la rectification, la suppression de leurs données. Vous devez pouvoir répondre.

Concrètement :

  • Indiquez un email de contact dans votre politique de confidentialité (ex : privacy@votreentreprise.fr)
  • Quand quelqu'un vous écrit, vous avez 1 mois pour répondre
  • Pour une demande d'accès : envoyez-lui les données que vous avez sur lui
  • Pour une demande de suppression : supprimez (sauf si vous avez une obligation légale de garder, genre factures pendant 10 ans)

Astuce : documentez vos réponses. Si un jour la CNIL vous contrôle, vous pourrez prouver que vous traitez les demandes.

Action #6 : Encadrer vos sous-traitants

Vous utilisez des outils SaaS (Salesforce, Mailchimp, Google Workspace, Stripe...). Ces outils traitent des données pour vous. Vous restez responsable.

Concrètement :

  • Vérifiez que vos outils sont conformes RGPD (la plupart des gros SaaS le sont)
  • Signez des Data Processing Agreements (DPA) avec eux. Les gros SaaS ont des DPAs pré-rédigés, il suffit de les activer dans les paramètres
  • Documentez la liste de vos sous-traitants dans votre registre

Attention aux US : les outils américains posent des questions (loi américaine vs RGPD). Privilégiez des serveurs EU si possible, ou des outils avec Privacy Shield / clauses contractuelles types.

Action #7 : Former vos équipes (5 minutes suffisent)

Le RGPD, ce n'est pas que le job du boss ou du CTO. C'est toute l'équipe.

Concrètement :

  • Expliquez à votre équipe les bases : ne pas laisser traîner des fichiers clients, ne pas partager des données n'importe comment, faire attention aux emails
  • Sensibilisez sur le phishing (beaucoup de fuites de données viennent de là)
  • Rappelez les bonnes pratiques tous les 6 mois

Vous n'avez pas besoin d'une formation de 3 jours. Un email récap + 15 minutes de réunion suffisent.

Ce que vous N'AVEZ PAS besoin de faire (si vous êtes une petite PME)

Le RGPD a créé une industrie de la peur. Beaucoup de cabinets et consultants vous font croire qu'il faut tout un tas de trucs compliqués. Souvent, c'est faux.

Vous n'avez PAS besoin d'un DPO (sauf cas particuliers)

Le DPO (Délégué à la Protection des Données) est obligatoire uniquement si :

  • Vous êtes une autorité publique
  • Votre activité principale implique un suivi régulier et systématique de personnes à grande échelle
  • Votre activité principale porte sur des données sensibles à grande échelle (santé, religion, biométrie...)

Traduction : une PME classique (commerce, services, SaaS BtoB) n'a PAS besoin de DPO.

Si un consultant vous dit "il vous faut absolument un DPO" alors que vous êtes une PME de 15 personnes qui vend des logiciels... il vous arnaque.

Vous n'avez PAS besoin d'une Analyse d'Impact (PIA) pour tout

Les PIA (Privacy Impact Assessment) sont obligatoires uniquement pour les traitements à haut risque (vidéosurveillance massive, profilage automatisé à grande échelle, traitement de données de santé...).

Traduction : gérer une liste de clients avec nom/email/téléphone ? Pas de PIA nécessaire.

Faire du ciblage publicitaire hyper-précis avec des données comportementales sensibles ? Oui, PIA nécessaire.

Vous n'avez PAS besoin de certifications coûteuses

Certains organismes vendent des "certifications RGPD". Spoiler : elles ne sont pas obligatoires.

Le RGPD n'impose aucune certification. Vous pouvez être conforme sans label. Les certifications peuvent rassurer vos clients (surtout en BtoB), mais elles ne sont pas requises.

Les erreurs classiques des PME

Même avec de bonnes intentions, beaucoup de PME font des erreurs. Voici les plus courantes.

Erreur #1 : Copier-coller une politique de confidentialité générique

Vous téléchargez un modèle, vous changez le nom de l'entreprise, vous publiez. Problème : ça ne correspond pas à votre activité réelle.

La CNIL regarde ça. Si votre politique dit que vous ne collectez que des emails, mais que dans vos CGV vous demandez adresse et téléphone, incohérence. Red flag.

Solution : adaptez votre politique à ce que vous faites VRAIMENT.

Erreur #2 : Oublier les données RH

Les PME pensent "RGPD = données clients". Elles oublient les données RH : CVs des candidats, dossiers employés, fiches de paie...

Ces données sont couvertes par le RGPD aussi. Il faut les protéger, limiter les accès, définir des durées de conservation.

Solution : incluez les RH dans votre registre et vos process.

Erreur #3 : Garder les données éternellement "au cas où"

"On ne sait jamais, on pourrait en avoir besoin." Non. Le RGPD impose de définir des durées de conservation et de s'y tenir.

Un client inactif depuis 5 ans ? Supprimez. Un candidat non retenu depuis 3 ans ? Supprimez. Un ancien employé parti depuis 10 ans ? Supprimez (sauf obligations légales type fiches de paie).

Solution : définissez des durées dans votre registre et mettez des rappels pour purger régulièrement.

Erreur #4 : Bannir Google Analytics "par principe"

Beaucoup de PME ont viré Google Analytics après la décision de la CNIL. Parfois à raison, parfois par panique.

La nuance : Google Analytics 4 (GA4) avec des serveurs EU et anonymisation IP peut être acceptable. Ou bien, basculez sur des alternatives européennes (Matomo, Plausible).

Solution : si vous utilisez GA, configurez-le correctement (serveurs EU, anonymisation). Ou passez sur une alternative conforme.

Erreur #5 : Ne rien faire en attendant qu'on vous contrôle

"Personne ne contrôle les PME, on verra plus tard." C'est un pari risqué.

La CNIL contrôle aussi les PME. Pas toutes, mais elle en contrôle. Et elle reçoit des plaintes (client mécontent, employé viré qui se venge...).

Si vous êtes contrôlé ET que vous n'avez rien fait, l'amende est plus probable.

Solution : faites le minimum. C'est pas si long. Ça vous protège.

Comment prioriser si vous partez de zéro

Vous lisez cet article et vous vous dites "on n'a rien fait, par où commencer ?"

Semaine 1 : Le registre (2-3h)

Listez vos traitements de données dans un tableau. C'est la base. Sans ça, vous ne savez même pas où vous en êtes.

Semaine 2 : La politique de confidentialité (3-4h)

Rédigez ou adaptez votre politique. Publiez-la sur votre site. Liez-la dans vos formulaires.

Semaine 3 : Les cookies (2h)

Installez un bandeau cookies conforme. Configurez-le correctement.

Semaine 4 : La sécurité (1-2h)

Vérifiez vos mots de passe, activez la double authentification sur vos outils critiques, limitez les accès.

Semaine 5 : Les sous-traitants (1-2h)

Listez vos outils SaaS, vérifiez leurs DPA, signez-les.

Semaine 6 : Les droits (30min)

Créez un email de contact privacy, documentez le process pour répondre aux demandes.

Total : 10-15 heures de travail étalées sur 6 semaines. C'est gérable. Vous n'avez pas besoin d'un consultant à plusieurs dizaines de milliers d'euros.

Quand faire appel à un consultant RGPD ?

Parfois, un consultant fait sens. Mais pas toujours.

Vous DEVRIEZ faire appel à un consultant si :

  • Vous traitez des données sensibles (santé, religion, biométrie)
  • Vous avez des millions d'utilisateurs et des traitements complexes
  • Vous êtes dans un secteur régulé (banque, assurance, santé)
  • Vous avez subi une plainte ou un contrôle CNIL

Dans ces cas, oui, investissez dans de l'expertise.

Vous N'AVEZ PAS besoin de consultant si :

  • Vous êtes une PME classique avec des traitements simples
  • Vous avez du temps pour lire et appliquer les ressources gratuites de la CNIL
  • Vous êtes prêt à passer 10-20 heures sur le sujet

La CNIL offre des ressources incroyables gratuitement : guides, modèles, webinaires. Utilisez-les.

Les ressources gratuites indispensables

Le site de la CNIL

cnil.fr est votre meilleure ressource. Sérieusement.

  • Modèle de registre : téléchargeable gratuitement
  • Guides sectoriels : par métier (commerce, santé, RH...)
  • MOOC RGPD : formation en ligne gratuite (3h)
  • Questions/réponses : base de connaissance énorme

Les générateurs de politique de confidentialité

  • Privacy Policy Generator (gratuit pour usage simple)
  • Modèles CNIL (toujours gratuits)

Les outils de gestion de cookies

  • Tarteaucitron.js (open-source, gratuit)
  • Axeptio (version gratuite limitée)

Le verdict : c'est chiant, mais c'est faisable

Le RGPD fait peur. L'industrie de la conformité amplifie cette peur pour vendre. Mais la réalité, c'est que pour une PME, la conformité RGPD tient en quelques actions concrètes.

Oui, c'est du temps. Oui, c'est parfois technique. Oui, c'est chiant. Mais non, ce n'est pas la fin du monde.

Et surtout : au-delà de l'obligation légale, respecter les données de vos clients et employés, c'est juste éthique. Le RGPD formalise ce qui devrait être du bon sens : ne collectez que ce dont vous avez besoin, protégez-le, soyez transparent.

Alors arrêtez de procrastiner. Bloquez 2h dans votre agenda cette semaine. Commencez par le registre. Puis la politique. Puis les cookies.

Dans un mois, vous serez raisonnablement conforme. Vous dormirez mieux. Et vous pourrez dire à vos clients "oui, on est conforme RGPD" sans mentir.

Pas besoin d'être parfait. Juste de bonne foi et organisé. La CNIL ne demande pas plus.