Le mythe du « RGPD c'est pour les grands »

Faux. Le RGPD s'applique dès le premier salarié, dès la première donnée client. Une PME de 10 personnes traite typiquement 200 à 2000 personnes (clients, prospects, salariés, fournisseurs). C'est largement assez pour entrer dans le radar de la CNIL en cas de fuite.

Les 5 obligations minimales

1. Le registre des traitements

Un fichier Excel ou Google Sheets qui liste : quel traitement (RH, paie, mailing, etc.), quelles données, qui y a accès, combien de temps on les garde. La CNIL fournit un modèle gratuit. Compter 1 journée pour le faire la première fois, puis 1h tous les 6 mois pour le mettre à jour.

2. Les mentions d'information

Sur votre site, votre formulaire de contact, votre contrat de travail : un texte qui dit qui vous êtes, ce que vous collectez, à quoi ça sert, qui y a accès, combien de temps vous gardez, comment exercer ses droits. Modèles gratuits sur cnil.fr.

3. La sécurité technique de base

Mots de passe forts, MFA sur les comptes pros, chiffrement des laptops, sauvegardes régulières. Si vous n'avez aucune mesure de sécurité écrite et qu'une fuite survient, la sanction est lourde. Si vous avez ces bases documentées, la sanction est souvent ramenée à un avertissement.

4. Le contrat avec les sous-traitants

Tout outil qui traite vos données (paie externalisée, CRM, mail, cloud) doit avoir un contrat de sous-traitance RGPD signé avec vous. Les grands éditeurs (Google, Microsoft, Sage) ont des modèles standards.

5. La gestion des incidents

Si une fuite survient, vous avez 72 heures pour notifier la CNIL. Préparez le canevas à l'avance : qui prévenir en interne, qui rédige la déclaration, qui prévient les personnes concernées.

Le faux ami : le DPO obligatoire

Le DPO (Délégué à la Protection des Données) n'est obligatoire que dans 3 cas :

• Vous êtes un organisme public
• Vos activités principales nécessitent un suivi systématique à grande échelle
• Vous traitez à grande échelle des données sensibles

Une PME classique de 10 personnes n'en a souvent pas besoin. Vous pouvez désigner un « référent RGPD » interne qui suit le sujet, sans le statut formel de DPO.

Le coût de la non-conformité

Sanctions CNIL en 2024-2025 pour des PME :

• 30 000 € pour une absence totale de registre
• 80 000 € pour une fuite RH sans déclaration
• 250 000 € pour un site sans mentions et avec cookies non conformes

À comparer au coût de la conformité : environ 2-3 journées de travail interne et 0 à 500 € de logiciel.

La trousse de démarrage

• Registre des traitements (modèle CNIL)
• Mentions d'information sur le site
• Politique de cookies si vous avez des cookies
• Charte numérique signée à l'embauche
• MFA sur les comptes pros
• Sauvegarde hors site

Cinq points, deux journées de travail, et vous êtes au niveau standard d'une PME française moyenne.