Le RGPD a sept ans. La CNIL a multiplié par cinq son activité de contrôle depuis 2023, et les amendes touchent désormais aussi les PME — plus seulement les multinationales. La bonne nouvelle, c'est qu'on peut être conforme avec une dizaine d'actions concrètes.
Le minimum vital
1. Un registre des traitements. Obligatoire pour toute structure (sauf exceptions très rares). Document Excel ou outil dédié, qui liste : quels types de données vous collectez, pour quoi faire, sur quelle base légale, combien de temps vous les conservez.
2. Une politique de confidentialité accessible. Sur votre site, dans le pied de page, en clair et en français. Doit indiquer qui collecte, pourquoi, combien de temps, et comment exercer ses droits.
3. Une politique de cookies conforme. Bandeau qui demande un consentement avant tout dépôt de cookie non-essentiel (analytics, marketing). Boutons "Accepter" et "Refuser" doivent être de même taille et même clarté — sinon vous êtes en faute.
4. Le consentement explicite pour les emails marketing. Une case pré-cochée n'est pas un consentement. Un compte client ne donne pas le droit d'envoyer des newsletters. Il faut un opt-in clair et séparé.
Les pièges classiques
Le formulaire de contact qui n'a pas de mention. Le RGPD exige que vous indiquiez à quoi servent les données du formulaire, combien de temps vous les gardez, et comment exercer ses droits. Un simple paragraphe sous le formulaire suffit.
Les sauvegardes qui durent dix ans sans purge. Vous devez purger les données dont vous n'avez plus besoin. Si un client a quitté votre service il y a cinq ans, vous n'avez probablement plus de base légale pour conserver ses données.
Les sous-traitants sans DPA. Tout prestataire qui traite des données pour vous (hébergeur, prestataire emailing, comptable, CRM) doit avoir un accord de traitement de données (DPA). C'est un contrat type fourni par le prestataire — il suffit de le signer.
Ce que la CNIL contrôle vraiment
Sur les contrôles récents de PME, trois sujets reviennent :
- Cookies non conformes (87 % des sites contrôlés en 2024)
- Conservation excessive (données gardées sans justification)
- Absence de DPA avec les sous-traitants
Une mise en demeure laisse généralement 2 à 3 mois pour corriger. Une non-correction expose à une amende. Le record pour une PME française en 2024 : 60 000 €.
La nomination d'un DPO
Obligatoire dans trois cas :
- Vous êtes un organisme public
- Votre activité principale consiste à surveiller des personnes à grande échelle
- Votre activité principale traite des données sensibles à grande échelle
Pour la grande majorité des PME, ce n'est pas obligatoire — mais nommer un DPO mutualisé externe (entre 200 et 500 €/mois) reste un excellent investissement pour avoir un référent.
Notre approche
Pour nos clients, on déploie une politique RGPD de base en quelques heures : registre, mentions, bandeau cookies, politique de confidentialité, audit du parc d'applications. C'est le socle qui couvre 95 % des risques. Pour le reste (analyses d'impact, transferts hors UE), on travaille avec des cabinets spécialisés.
Si vous ne savez pas où vous en êtes, demandez-nous une vérification rapide — on identifie les manquements en une matinée.