Aller au contenu principal
Sébastien MAIMON
Accueil
Diagnostic Situations critiques Cas clients À propos
Contact
Publié le

RGPD : la checklist du dirigeant de PME

Une checklist actionnable pour mettre en conformité RGPD une PME, avec les obligations réelles et les priorités pratiques.

#RGPD #Conformité #Données #Sécurité

Le RGPD est en vigueur depuis 2018, mais beaucoup de PME restent dans le flou. Les sanctions existent – y compris pour les petites structures. Voici les points essentiels à vérifier, classés par priorité.

Priorité haute : les fondamentaux

Désigner un référent RGPD

Toute entreprise n’est pas tenue de nommer un DPO (Data Protection Officer), mais il faut au minimum un référent interne qui pilote le sujet. Dans une PME, c’est souvent le dirigeant lui-même ou le responsable administratif.

Tenir le registre des traitements

C’est le document central. Il recense :

  • chaque traitement de données personnelles (paie, CRM, newsletter, vidéoprotection…)
  • la finalité de chaque traitement
  • les catégories de données collectées
  • les durées de conservation
  • les destinataires des données

La CNIL fournit un modèle de registre gratuit sur son site.

Vérifier les bases légales

Chaque traitement doit reposer sur une base légale : consentement, exécution d’un contrat, obligation légale, intérêt légitime. Le consentement n’est pas toujours nécessaire – mais quand il l’est, il doit être libre, éclairé et retirable.

Priorité moyenne : sécuriser et informer

Mettre à jour les mentions d’information

Les personnes dont vous traitez les données (clients, salariés, prospects) doivent être informées : quelle donnée, pourquoi, combien de temps, quels droits. Vérifier les mentions sur le site web, les formulaires, les contrats de travail.

Mettre en place une procédure de gestion des violations

En cas de fuite de données, l’entreprise dispose de 72 heures pour notifier la CNIL. Il faut donc :

  • une procédure écrite de détection et de remontée
  • un modèle de notification pré-rempli
  • les coordonnées du référent à alerter

Sécuriser les accès aux données

  • Appliquer le principe du moindre privilège (chacun n’accède qu’aux données nécessaires à sa mission)
  • Mettre en place l’authentification multi-facteurs sur les applications critiques
  • Chiffrer les données sensibles au repos et en transit

Priorité basse mais obligatoire

Auditer les sous-traitants

Tout prestataire qui traite des données pour votre compte (hébergeur, éditeur SaaS, expert-comptable) doit être lié par un contrat incluant des clauses RGPD. Vérifier la localisation des données – les transferts hors UE nécessitent des garanties supplémentaires.

Gérer les droits des personnes

Les personnes concernées peuvent exercer leurs droits : accès, rectification, effacement, portabilité. Il faut une adresse de contact identifiée et une procédure pour répondre dans le délai légal d’un mois.

En résumé

La conformité RGPD n’est pas un projet ponctuel mais une hygiène continue. Commencer par le registre des traitements et les mentions d’information, puis structurer progressivement le reste. Le risque n’est pas seulement la sanction financière : c’est aussi la confiance des clients et des partenaires.