Sommaire
ToggleRésumé
Une PME qui traite des données de clients ou de salariés doit tenir quatre documents concrets : un registre des traitements, des mentions d’information conformes, une politique de confidentialité publiée, et des accords de sous-traitance (DPA) avec ses fournisseurs. Le reste, c’est souvent du remplissage vendu par des cabinets de conseil. Nous détaillons ce qui compte vraiment pour la CNIL, et ce qui ne sert à rien.
Le registre des traitements : le document que personne ne tient à jour
C’est la pièce centrale, et la première que demande la CNIL en cas de contrôle. Le registre des activités de traitement liste chaque traitement de données (paie, CRM, newsletter, vidéosurveillance) avec sa finalité, les données concernées, les destinataires et la durée de conservation. L’obligation vise en théorie les entreprises de plus de 250 salariés, mais l’exception s’applique dès qu’un traitement n’est pas occasionnel : une paie mensuelle ou un fichier client suffisent à faire basculer une PME de 20 salariés dans l’obligation. Elle en a généralement entre 8 et 15 traitements à recenser.

Le problème, ce n’est pas de le créer, c’est de le maintenir. Nous avons vu des registres remplis une fois lors d’un audit externe, puis jamais retouchés alors que l’entreprise avait changé trois fois d’outil CRM depuis. Un registre daté de 2023 qui liste encore un logiciel abandonné n’a aucune valeur en cas de contrôle : mieux vaut le revoir deux fois par an, à date fixe, que de le laisser pourrir.
Les mentions d’information : le formulaire de contact qui vous expose
Chaque formulaire qui collecte une donnée (contact, newsletter, candidature) doit informer la personne : qui collecte, pourquoi, combien de temps, et comment exercer ses droits. Un simple lien « politique de confidentialité » en bas de page ne suffit pas si le formulaire lui-même ne mentionne rien.
Nous voyons régulièrement des sites e-commerce avec une politique de confidentialité soignée, mais un formulaire de contact totalement muet sur l’usage des données. C’est justement ce type d’incohérence que les contrôles CNIL relèvent en premier, parce que c’est visible en trente secondes sans creuser.
La politique de confidentialité : pas un copier-coller
Un document générique récupéré sur un site concurrent ou généré automatiquement par un outil gratuit ne colle presque jamais à la réalité de votre traitement. Il doit refléter vos outils réels, vos durées de conservation réelles, vos sous-traitants réels. Une politique qui mentionne un hébergeur que vous n’utilisez plus depuis deux ans est un signal d’abandon, pas de conformité.
Un bon réflexe : synchroniser la mise à jour de ce document avec chaque changement d’outil métier significatif (nouveau CRM, nouvel hébergeur, nouvelle solution de paie). Un logiciel RH tout-en-un qui centralise la gestion des données salariés simplifie d’ailleurs cette traçabilité, plutôt que de disperser les informations entre cinq outils différents.
Les accords de sous-traitance (DPA) : le document que tout le monde oublie
Dès qu’un prestataire externe traite des données pour votre compte (hébergeur, outil emailing, solution de paie, agence marketing), un accord de sous-traitance encadrant ce traitement est obligatoire. Beaucoup de PME découvrent ce point uniquement lors d’un audit, parce que ce n’est pas un document qu’on pense spontanément à demander à un prestataire SaaS.
Notre conseil : avant de signer avec un nouveau prestataire qui touche à des données personnelles, demandez directement son DPA type. Les éditeurs sérieux l’ont prêt à l’emploi ; ceux qui tergiversent sur le sujet méritent qu’on s’interroge sur leur propre conformité, et donc sur le risque qu’ils vous font porter.
Ce qui ne sert (presque) à rien
Rappelons le cadre : la CNIL peut sanctionner jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros, le montant le plus élevé étant retenu. Ce chiffre impressionne, mais il concerne des manquements graves et répétés, pas l’absence d’une clause dans un document annexe. Certains cabinets vendent des audits RGPD à cinq chiffres avec des livrables de 80 pages que personne ne relira jamais. Une PME de moins de 50 salariés sans traitement sensible (pas de données de santé, pas de profilage à grande échelle) n’a généralement pas besoin d’un délégué à la protection des données désigné officiellement, ni d’une charte informatique de 40 pages. Le bon niveau d’effort, c’est les quatre documents ci-dessus, tenus à jour, plutôt qu’une pile de PDF impressionnante mais figée.
FAQ
Une auto-entreprise doit-elle tenir un registre des traitements ?
Oui si elle traite des données au-delà de la simple facturation (newsletter, prospection, CRM). En dessous, un registre allégé suffit largement.
Quel est le risque réel en cas de contrôle sans ces documents ?
Au-delà de la sanction financière (jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros selon le montant le plus élevé), la CNIL commence quasi systématiquement par une mise en demeure avec délai de mise en conformité avant toute sanction lourde.
Faut-il un DPO pour une PME ?
Pas obligatoirement, sauf activité de suivi à grande échelle ou données sensibles en volume. Un référent RGPD en interne, formé mais non certifié, suffit dans la majorité des cas.
Le registre des traitements doit-il être public ?
Non, il reste interne et n’est montré qu’en cas de contrôle CNIL. Seule la politique de confidentialité doit être accessible publiquement.
Notre avis
La conformité RGPD d’une PME ne se joue pas sur le volume de documents produits, mais sur leur exactitude et leur mise à jour régulière. Quatre documents bien tenus valent mieux qu’un audit de conseil oublié dans un tiroir dès le mois suivant. Si vous ne devez retenir qu’une priorité : commencez par le registre des traitements, c’est celui qui révèle tout le reste, et c’est celui que la CNIL regarde en premier.
