Le RGPD est en vigueur depuis 2018. En 2026, la CNIL continue de sanctionner — et les PME ne sont plus épargnées. Mais entre les exigences théoriques et ce qui est vraiment applicable à une structure de 10 à 100 personnes, il y a un fossé. Voici ce qui est obligatoire et ce que vous devez mettre en place concrètement.
Le registre des traitements : votre document de base
Toute organisation qui traite des données personnelles (ce qui concerne 100 % des entreprises qui ont des clients, des employés, ou des prospects) doit tenir un registre des activités de traitement. Ce document liste :
- Quelles données vous collectez (noms, emails, numéros de téléphone, données RH…)
- Pourquoi vous les collectez (base légale : contrat, consentement, obligation légale…)
- Combien de temps vous les conservez
- Qui y a accès (interne et sous-traitants)
Il n'y a pas de format imposé — un tableur suffit. Ce qui importe, c'est qu'il existe, qu'il soit à jour, et qu'il soit présentable en cas de contrôle.
Les contrats avec vos sous-traitants
Si vous utilisez un prestataire qui traite des données pour votre compte (hébergeur, logiciel CRM, comptable…), vous devez avoir un contrat de traitement de données (DPA) avec eux. La plupart des éditeurs de SaaS proposent ce document dans leurs CGU ou à la demande. Vérifiez que c'est en place.
L'information des personnes
Chaque fois que vous collectez des données, vous devez informer la personne : qui collecte, pourquoi, comment les données sont utilisées, combien de temps, et quels sont ses droits. En pratique, c'est une mention sur vos formulaires de contact, vos contrats, et votre politique de confidentialité sur le site web.
Cette politique doit exister et être accessible. Une page web de 500 mots bien rédigée suffit — elle n'a pas besoin d'être un roman juridique.
La gestion des droits des personnes
Vos clients, prospects et employés ont des droits sur leurs données : accès, rectification, suppression, portabilité. Vous devez être en mesure de répondre à ces demandes dans un délai d'un mois. Cela signifie savoir où sont stockées les données de chaque personne — d'où l'importance du registre.
La notification des violations de données
En cas de fuite ou de compromission de données personnelles, vous avez 72 heures pour notifier la CNIL. Si la violation présente un risque élevé pour les personnes concernées, vous devez aussi les prévenir directement. Ce n'est pas optionnel et les délais sont stricts.
Avoir un plan de réponse aux incidents (voir notre article sur les ransomwares) aide à respecter ces délais.
Avez-vous besoin d'un DPO ?
Le délégué à la protection des données (DPO) n'est obligatoire que dans trois cas : autorités publiques, organisations qui traitent massivement des données sensibles (santé, biométrie…), ou organisations qui font du suivi systématique à grande échelle. Pour la grande majorité des PME B2B ou B2C classiques : non, un DPO officiel n'est pas obligatoire. Un référent interne ou externe suffit.
Ce qui n'est pas obligatoire mais recommandé
Les analyses d'impact (AIPD) sont obligatoires uniquement pour les traitements à risque élevé. La pseudonymisation est une bonne pratique mais pas une obligation générale. Les audits RGPD annuels sont recommandés si vos traitements évoluent.
Par où commencer ?
Si vous partez de zéro, faites d'abord le registre des traitements. C'est le point d'entrée logique — il force à cartographier les données et à identifier les lacunes. Ensuite : politique de confidentialité, mentions légales, et contrats DPA avec vos prestataires clés. En une journée de travail, une PME peut couvrir l'essentiel.