RGPD pour les PME : 12 obligations incontournables
Le guide pratique pour mettre votre entreprise en conformite avec le Reglement General sur la Protection des Donnees
Le RGPD est en vigueur depuis mai 2018. 5 ans apres, de nombreuses PME ne sont toujours pas en conformite. Amendes record, plaintes CNIL en hausse, prise de conscience des consommateurs... La protection des donnees personnelles est devenue un enjeu strategique et reglementaire que vous ne pouvez plus ignorer. Ce guide detaille les 12 obligations fondamentales a mettre en oeuvre dans votre organisation.
⚠️
Attention : En 2025, la CNIL a prononce plus de 30M€ d'amendes. Les PME ne sont plus epargnees — plusieurs entreprises de moins de 50 salaries ont ete sanctionnees. L'ignorance de la loi n'est pas une excuse recevable.
Section 01
Fondamentaux de la conformite
Obligation 01 Obligatoire
Registre des traitements
Documenter tous les traitements de donnees personnelles effectues : nature des donnees, finalites, durees de conservation, destinataires. Le registre doit etre tenu a jour en permanence.
Art. 30 — RGPD
Obligation 02 Critique
Base legale identifiee
Chaque traitement doit reposer sur une base legale claire : consentement explicite, execution d'un contrat, interet legitime, obligation legale, mission d'interet public ou protection d'interets vitaux.
Art. 6 — RGPD
Obligation 03 Obligatoire
Information des personnes
Mettre en place une politique de confidentialite claire, accessible et comprehensible. Les personnes doivent etre informees de leurs droits au moment de la collecte des donnees.
Art. 13-14 — RGPD
Obligation 04 Principe fondamental
Minimisation des donnees
Ne collecter que les donnees strictement necessaires a la finalite declaree. Eviter toute collecte preventive ou speculative de donnees "au cas ou".
Art. 5 — RGPD
Section 02
Droits des personnes
ℹ️
Delai legal : Vous avez 1 mois maximum pour repondre a toute demande d'exercice de droits. Ce delai peut etre etendu a 3 mois pour les demandes complexes, mais vous devez informer la personne dans le premier mois.
Obligation 05 Obligatoire
Droit d'acces
Toute personne peut demander a connaitre quelles donnees vous detenez sur elle, comment elles sont utilisees et combien de temps elles sont conservees. Reponse obligatoire sous 1 mois.
Art. 15 — RGPD
Obligation 06 Obligatoire
Droit a l'effacement
Capacite technique et organisationnelle de supprimer toutes les donnees d'une personne sur simple demande, sauf si une obligation legale impose leur conservation (comptabilite, contrats, etc.).
Art. 17 — RGPD
Obligation 07 Obligatoire
Droit a la portabilite
Permettre a chaque personne d'exporter ses donnees dans un format standard (CSV, JSON) pour les transferer vers un autre service. S'applique aux donnees fournies avec consentement ou dans le cadre d'un contrat.
Art. 20 — RGPD
Obligation 08 Critique
Consentement explicite
Le consentement doit etre libre, eclaire, specifique et univoque. Vous devez pouvoir prouver qu'il a ete donne et la personne peut le revoquer a tout moment, aussi facilement qu'elle l'a accorde.
Art. 7 — RGPD
Section 03
Securite & Gouvernance
Obligation 09 Obligatoire
Mesures de securite
Implementer des mesures techniques et organisationnelles appropriees : chiffrement des donnees, pseudonymisation, controle d'acces, gestion des mots de passe, mise a jour reguliere des systemes.
Art. 32 — RGPD
Obligation 10 Critique
Notification de violation
En cas de fuite ou violation de donnees, notifier la CNIL dans les 72 heures. Si la violation presente un risque eleve pour les personnes, les informer directement et sans delai.
Art. 33 — RGPD
Obligation 11 Conditionnel
Analyse d'impact (AIPD)
Obligatoire pour les traitements susceptibles d'engendrer un risque eleve (profiling, donnees sensibles, surveillance). L'analyse doit etre documentee avant le lancement du traitement.
Art. 35 — RGPD
Obligation 12 Recommande
DPO ou referent RGPD
Designer un Delegue a la Protection des Donnees interne ou externe. Obligatoire pour les organismes publics et certaines entreprises. Fortement recommande pour toutes les PME traitant des donnees en volume.
Art. 37 — RGPD
A savoir
Les sanctions encourues
20 M€
ou 4% du CA mondial pour les infractions graves
10 M€
ou 2% du CA mondial pour les infractions mineures
Mise en demeure
Injonction de mise en conformite avec delai impose par la CNIL
Interdiction
Suspension ou interdiction totale du traitement incrimine
Plan d'action
Les 5 premieres actions a mener
1
Faire l'inventaire des donnees collectees
Lister tous les points de collecte (formulaires, CRM, emails, cookies) et les donnees associees. Identifier qui y a acces et ou elles sont stockees.
2
Mettre a jour la politique de confidentialite
Rediger ou mettre a jour vos mentions legales et politique de confidentialite. Elle doit etre accessible depuis chaque page de votre site web.
3
Implementer le recueil de consentement
Mettre en place une banniere cookies conforme et les mecanismes de consentement pour vos formulaires. Le consentement pre-coche est expressement interdit.
4
Securiser les donnees stockees
Chiffrer les bases de donnees, activer l'authentification a deux facteurs sur vos outils, verifier et restreindre les droits d'acces de vos collaborateurs.
5
Former les equipes
Sensibiliser tous les collaborateurs qui traitent des donnees personnelles aux bonnes pratiques RGPD. La conformite est l'affaire de toute l'entreprise, pas uniquement du service IT.
Auto-evaluation
Checklist de conformite rapide
Pret a vous mettre en conformite ?
RL Conseil vous accompagne pas a pas
Audit initial de votre situation, plan d'action sur mesure, implementation technique des mesures et formation de vos equipes. Un accompagnement complet pour une mise en conformite RGPD sereine et durable.