RGPD pour PME : Conformité en 10 Étapes

Si vous êtes dirigeant ou indépendant et que la seule mention du RGPD vous donne mal à la tête, ce guide est fait pour vous. Nous n'allons pas vous expliquer les 99 articles du Règlement : nous allons vous donner les 10 étapes concrètes que votre PME doit franchir pour se conformer à la réglementation sur la protection des données et éviter les sanctions. Sans jargon inutile, avec des exemples pratiques et une checklist pour vérifier que rien n'est laissé de côté. Cette méthode pas-à-pas s'appuie sur les recommandations de l'AEPD et sur l'expérience accumulée auprès de dizaines de PME espagnoles confrontées à ce parcours.

Si vous avez besoin d'une vision plus complète, consultez notre guide définitif du RGPD pour entreprises.

Étape 1 : inventoriez vos traitements de données

Avant de protéger les données, vous devez savoir quelles données vous détenez, où elles se trouvent et à quoi vous les utilisez. Établissez la liste de tous les traitements de données personnelles réalisés par votre entreprise. Les plus courants en PME sont la gestion des clients et prospects (noms, adresses électroniques, téléphones, historique d'achat), la gestion des salariés et de la paie (données professionnelles, bancaires, médicales), la gestion comptable et fiscale (données de facturation), la gestion des fournisseurs (coordonnées, données bancaires), le site web de l'entreprise (formulaires de contact, cookies, newsletter), les caméras de vidéosurveillance (si vous en possédez) et les communications commerciales (newsletters, campagnes d'emailing).

Pour chaque traitement, notez quelles données vous collectez, auprès de qui, dans quel but, pendant combien de temps vous les conservez, qui y a accès, si vous les partagez avec des tiers et quelles mesures de sécurité vous appliquez.

Étape 2 : identifiez la base légale de chaque traitement

Chaque traitement requiert une justification légale. Les plus courantes en PME sont l'exécution d'un contrat (pour les données nécessaires à la fourniture de votre service ou à la vente de votre produit au client), le respect d'une obligation légale (pour les obligations fiscales, sociales et comptables), le consentement (pour les communications commerciales et les cookies non essentiels) et l'intérêt légitime (pour certains traitements commerciaux B2B, avec une pondération préalable formalisée).

Étape 3 : rédigez les mentions d'information

Sur tous les points où vous collectez des données personnelles, vous devez informer la personne concernée de l'identité du responsable de traitement, de la finalité et de la base légale, des destinataires des données, de la durée de conservation, des droits qu'elle peut exercer et de la manière de le faire, et si la communication des données constitue une exigence légale ou contractuelle.

Les points les plus courants où vous avez besoin de mentions d'information sont votre site web (politique de confidentialité, politique cookies, formulaires de contact), les devis et contrats avec les clients, les contrats de travail, les contrats avec les fournisseurs et les panneaux d'information de vidéosurveillance si vous disposez de caméras.

Étape 4 : gérez correctement le consentement

Le consentement doit être libre (sans le conditionner au service), spécifique (pour chaque finalité distincte), éclairé (la mention d'information ayant été lue) et univoque (par une action affirmative claire, comme cocher une case non pré-cochée). Vous devez pouvoir prouver que vous avez obtenu le consentement (conservez la preuve), et faciliter sa révocation à tout moment (avec un lien de désabonnement dans chaque communication commerciale, par exemple).

Étape 5 : formalisez les contrats avec les sous-traitants

Tout tiers qui traite des données personnelles pour le compte de votre entreprise (le cabinet comptable, l'hébergeur, le service d'emailing, l'éditeur de paie, le service cloud) est un sous-traitant et requiert un contrat encadrant le traitement conformément à l'article 28 du RGPD. Ce contrat doit inclure l'objet et la durée du traitement, la nature et la finalité, les types de données et les catégories de personnes concernées, les obligations et droits du responsable, et les mesures de sécurité appliquées par le sous-traitant.

Étape 6 : élaborez le Registre des Activités de Traitement

Documentez tout ce qui précède dans un Registre des Activités de Traitement (RAT). Ce n'est pas un document complexe : il peut prendre la forme d'un tableau avec une ligne par traitement et des colonnes correspondant aux champs exigés par le RGPD. L'AEPD propose un modèle simplifié pour les PME qui peut servir de point de départ.

Étape 7 : mettez en place des mesures de sécurité proportionnées

Les mesures doivent être proportionnées au risque. Pour la majorité des PME, les mesures essentielles sont des mots de passe robustes et uniques avec gestion centralisée, l'authentification multifacteur sur tous les comptes ayant accès à des données personnelles, le chiffrement des appareils portables, des sauvegardes périodiques et vérifiées, la formation de base du personnel à la protection des données, le contrôle d'accès fondé sur le besoin d'en connaître, et la politique du bureau propre et du verrouillage automatique de l'écran.

Étape 8 : évaluez les risques de vos traitements

Réalisez une analyse de risque simplifiée pour vos traitements de données. L'AEPD propose l'outil Gestiona RGPD, gratuit, qui vous guide pas à pas dans l'analyse de risque et vous indique si vous devez réaliser une Analyse d'Impact relative à la Protection des Données (AIPD).

Étape 9 : établissez des procédures pour traiter les droits

Définissez une procédure interne pour recevoir et traiter les demandes d'exercice des droits des personnes concernées. Désignez une personne responsable de leur gestion, mettez en place un canal de communication accessible (courriel, formulaire web), documentez une procédure avec des délais (un mois maximum pour répondre), et enregistrez l'ensemble des demandes et des réponses fournies.

Étape 10 : préparez-vous aux violations de sécurité

Tenez documentée une procédure d'action en cas de violation de sécurité affectant des données personnelles. Elle doit inclure la manière de détecter une violation, la personne qui en évalue la gravité, le moment et la manière de notifier l'AEPD (outil Comunica-Brecha), le moment de communiquer aux personnes concernées, et la façon de documenter l'incident et les mesures adoptées.

Erreurs les plus fréquemment sanctionnées par l'AEPD en PME

Les erreurs les plus sanctionnées sont l'envoi de communications commerciales sans consentement ou sans option de désabonnement, l'absence de politique de confidentialité sur le site ou une politique obsolète, les caméras de vidéosurveillance sans panneau informatif ou captant des espaces publics, le défaut de contrat avec les sous-traitants, et la prise en charge tardive ou incorrecte des demandes d'exercice des droits. Éviter ces cinq écueils suffit déjà à écarter la majorité des risques de sanction pour une PME standard.

Outils gratuits proposés par l'AEPD

L'AEPD met à disposition plusieurs outils gratuits qui facilitent grandement la conformité des PME : Facilita RGPD pour les traitements à faible risque, Gestiona RGPD pour les analyses de risque, Comunica-Brecha pour la notification des violations, et un ensemble de modèles téléchargeables (clauses, mentions d'information, registres). Exploiter ces ressources avant de recourir à du conseil payant permet à une PME de couvrir 70 % de la mise en conformité avec un investissement très limité.

Si vous avez besoin d'approfondir les analyses d'impact, consultez notre article sur l'AIPD.

Vous devez mettre de l'ordre dans la conformité RGPD de votre PME ? Parlons-en pour un audit rapide de protection des données qui vous dira exactement ce qui vous manque et comment y remédier.

Auteur : Ángel Ortega Castro, consultant indépendant en stratégie, qualité et digitalisation pour PME. Relié : Audit de Cybersécurité : Évaluation Complète.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro