RGPD en PME : les 10 points de contrôle essentiels
Sécurité des données

RGPD en PME : les 10 points de contrôle essentiels

Un micro-cours concret et pédagogique pour identifier les risques RGPD dans une PME et appliquer des solutions immédiatement opérationnelles, même sans compétences juridiques.

Temps de lecture : environ 7 min

Qu’est-ce que le RGPD, simplement ?

Le RGPD (Règlement Général sur la Protection des Données) est une loi européenne qui impose aux entreprises de protéger les données personnelles qu’elles détiennent :

  • Les coordonnées de vos clients et prospects.
  • Les informations de vos salariés.
  • Les CV des candidats.
  • Les emails, factures, documents contenant des données privées.

::: retenir L’idée centrale Le RGPD dit que vous ne pouvez pas faire n’importe quoi avec les données des personnes. Vous devez les collecter avec un but précis, les sécuriser et les détruire quand vous n’en avez plus besoin. :::

Pourquoi cela concerne votre PME ?

Une PME est tout aussi concernée qu’un grand groupe. En France, la CNIL peut contrôler n’importe quelle entreprise. Les sanctions sont proportionnées, mais elles peuvent aller jusqu’à 4 % du chiffre d’affaires mondial en cas de manquement grave.

::: warning Ce que redoute la CNIL La CNIL sanctionne surtout l’absence de démarche : pas de registre des traitements, pas de sécurité, pas de procédure en cas de fuite. :::

3 exemples très concrets de risques RGPD en PME

::: card Exemple 1 : la fiche de paie envoyée au mauvais email Un assistant envoie une fiche de paie à une ancienne adresse email encore active. La personne qui reçoit le mail n’est plus salariée de l’entreprise.

Risque : violation de données sensibles. Solution : vérifier systématiquement les coordonnées avant d’envoyer des documents sensibles. :::

::: card Exemple 2 : le fichier Excel des candidatures conservé indéfiniment La responsable RH garde tous les CV reçus depuis 5 ans dans un tableur, sans savoir pourquoi.

Risque : conservation excessive et absence de base légale. Solution : définir une durée de conservation pour les candidatures non retenues. :::

::: card Exemple 3 : la base client partagée avec un prestataire marketing Le commercial exporte la liste des clients pour l’envoyer à un prestataire sans autorisation claire.

Risque : utilisation des données hors de leur finalité initiale. Solution : informer les clients et s’assurer du cadre contractuel avec le prestataire. :::

Les 10 points de contrôle essentiels

1. Avoir un registre des traitements

C’est la base du RGPD. Vous devez pouvoir lister, pour chaque donnée personnelle :

  • Quelle donnée vous collectez.
  • Pourquoi vous la collectez.
  • Qui y a accès.
  • Combien de temps vous la conservez.

::: tip Comment commencer Utilisez un simple tableur ou Notion. Listez vos 5 principaux outils contenant des données personnelles : CRM, paie, email, drive, formulaire de contact. :::

2. Définir une base légale pour chaque donnée

Chaque traitement doit reposer sur l’une des bases légales suivantes :

Base légale Quand l’utiliser ? Exemple
Contrat La donnée est nécessaire à un contrat Facturation d’un client
Obligation légale La loi vous impose de conserver la donnée Fiches de paie, comptabilité
Intérêt légitime Vous avez un intérêt réel et non préjudiciable Prospection B2B ciblée
Consentement La personne a donné son accord explicite Newsletter, cookies

::: attention Le consentement n’est pas la base par défaut Dans une relation professionnelle, le contrat ou l’intérêt légitime sont souvent plus adaptés que le consentement. :::

3. Limiter les accès aux données

Le principe est simple : chaque salarié ne doit accéder qu’aux données strictement nécessaires à son travail.

  • Le commercial accède au CRM.
  • La comptable accède à la paie.
  • L’assistant ne doit pas voir tous les dossiers sensibles.

4. Sécuriser les mots de passe et les accès

::: tip Les 3 règles d’or

  1. Utilisez un gestionnaire de mots de passe.
  2. Activez la double authentification sur les outils sensibles.
  3. Ne partagez jamais le même mot de passe entre plusieurs comptes. :::

5. Protéger les emails et les pièces jointes

Les erreurs d’email sont l’une des premières causes de fuite de données. Quelques réflexes :

  • Vérifiez le destinataire avant d’envoyer.
  • Ne mettez pas plusieurs personnes en copie si ce n’est pas utile.
  • Utilisez des outils de transfert sécurisé pour les documents sensibles.

6. Définir des durées de conservation

Vous ne pouvez pas conserver les données éternellement. Exemples de durées courantes :

Type de donnée Durée indicative
Candidatures non retenues 6 mois à 2 ans
Données clients inactifs 3 ans après dernier contact
Fiches de paie 5 ans après départ du salarié
Factures 10 ans (obligation comptable)

7. Respecter les droits des personnes

Le RGPD donne des droits aux personnes dont vous détenez les données :

  • Droit d’accès : elles peuvent demander quelles données vous avez.
  • Droit de rectification : elles peuvent corriger des informations.
  • Droit à l’effacement : elles peuvent demander la suppression.
  • Droit à la portabilité : elles peuvent récupérer leurs données dans un format exploitable.

::: tip Procédure simple Désignez une personne en charge des demandes. Créez un modèle de réponse type et une deadline de 30 jours pour répondre. :::

8. Avoir une procédure en cas de fuite de données

Une fuite de données peut arriver. Préparez-vous avec une fiche réflexe :

  1. Identifiez la nature des données concernées.
  2. Évaluez le nombre de personnes touchées.
  3. Alerter le dirigeant et la personne référente RGPD.
  4. Évaluez si vous devez notifier la CNIL (dans les 72 heures si risque élevé).
  5. Informez les personnes concernées si nécessaire.

9. Sensibiliser les équipes

La sécurité des données dépend avant tout du comportement des salariés. Organisez une courte formation annuelle sur :

  • Les mots de passe.
  • La protection des emails sensibles.
  • Les règles sur l’IA et les données personnelles.
  • La procédure en cas de fuite.

10. Documenter vos choix

Le RGPD valorise la démarche. Même si vous n’êtes pas parfait, montrez que vous avez réfléchi, documenté et progressé.

::: retenir Ce que vous devez retenir Le RGPD n’est pas une obligation de résultat absolue. C’est une obligation de démarche : identifier les risques, sécuriser les données, former les équipes et documenter vos actions. :::

Votre plan d’action sur une semaine

  • Jour 1 : lister vos 5 outils principaux contenant des données personnelles.
  • Jour 2 : identifier la base légale de chaque traitement.
  • Jour 3 : vérifier qui a accès à quoi et restreindre si nécessaire.
  • Jour 4 : activer la double authentification sur les outils sensibles.
  • Jour 5 : définir les durées de conservation de vos données.
  • Jour 6 : créer une fiche réflexe en cas de fuite.
  • Jour 7 : rédiger un mini-guide interne pour vos salariés.

Exercice pratique

Exercice pratique — RGPD en PME

Objectif

Appliquer immédiatement la méthode à 3 outils de votre entreprise pour identifier vos risques RGPD prioritaires.

Consigne

  1. Choisissez 3 outils qui contiennent des données personnelles dans votre PME. Exemples : CRM, logiciel de paie, messagerie, drive partagé, formulaire de contact, tableur de candidatures.
  2. Pour chaque outil, complétez les 5 colonnes suivantes :
Outil Données personnelles concernées Qui y a accès ? Durée de conservation actuelle Action prioritaire cette semaine
Exemple : CRM Coordonnées clients, historique d’achats Commercial + dirigeant Indéfinie Vérifier la base légale et nettoyer les inactifs
Outil 1
Outil 2
Outil 3

  1. Identifiez pour chaque outil la base légale la plus adaptée :

    • Contrat
    • Obligation légale
    • Intérêt légitime
    • Consentement

  2. Relevez la situation la plus risquée et définissez une action concrète à mener dans les 7 jours.

Questions de réflexion

  • Un ancien salarié ou un ancien client pourrait-il demander aujourd’hui la suppression de ses données ? Pourriez-vous le faire facilement ?
  • Vos salariés savent-ils quelles données personnelles ils ne doivent jamais coller dans ChatGPT ou Claude ?
  • Avez-vous une procédure écrite en cas de fuite de données ?
Télécharger la solution (PDF)