Le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis le 25 mai 2018. Et pourtant, en 2026, plus de 80 % des TPE/PME françaises n'ont toujours pas de registre des traitements à jour. Pas par mauvaise volonté — par manque de clarté sur la marche à suivre. Voici l'ordre dans lequel attaquer la conformité de votre entreprise.
Étape 1 — Cartographier vos données
La première chose à faire n'est pas d'écrire des politiques. C'est de recenser ce que vous traitez. Posez-vous les questions suivantes :
- Quelles données collectez-vous sur vos clients ? (nom, adresse, email, IBAN, RIB, factures…)
- Quelles données collectez-vous sur vos salariés ? (numéro de sécu, contrat, fiches de paie…)
- Quelles données collectez-vous sur vos prospects ? (newsletter, démarchage, formulaire web…)
- Faites-vous de la vidéosurveillance ? De la géolocalisation de véhicules ? Du contrôle d'accès biométrique ?
Cette cartographie est le socle. Tout le reste en découle.
Étape 2 — Identifier vos sous-traitants
Au sens RGPD, un sous-traitant est tout tiers qui traite des données personnelles pour votre compte. C'est plus large qu'on ne le croit :
- Votre logiciel de comptabilité, de paie, de facturation
- Votre hébergeur web
- Votre outil d'emailing (Mailchimp, Brevo, Sendinblue…)
- Votre CRM
- Votre expert-comptable externe
- Votre agence marketing
Pour chacun, l'Article 28 du RGPD vous demande d'avoir un contrat écrit (le DPA — Data Processing Agreement) qui précise leurs engagements. La plupart des grands SaaS le proposent dans leurs CGU. Pour les autres, demandez-le.
Étape 3 — Tenir un registre des traitements
L'Article 30 du RGPD impose à toute organisation traitant des données personnelles de tenir un registre des activités de traitement. Ce n'est pas une option, c'est une obligation. En cas de contrôle de la CNIL, c'est le premier document demandé.
Pour chaque traitement (chaque "raison" pour laquelle vous traitez des données), le registre précise :
- QUI traite les données (quels collaborateurs)
- QUOI est traité (quelles données précisément)
- POURQUOI elles sont traitées (la finalité + la base légale)
- OÙ elles sont stockées et qui les reçoit
- JUSQU'À QUAND on les garde (durée de conservation)
Étape 4 — Mettre en place les mesures de sécurité
Une fois la documentation faite, passez à l'opérationnel :
- Politique de mots de passe (12 caractères mini, renouvelée régulièrement)
- Sauvegardes chiffrées et testées
- Mises à jour des logiciels (patches sécurité)
- Sensibilisation des collaborateurs (1 réunion annuelle suffit pour démarrer)
- Procédure en cas de violation de données (notification CNIL sous 72 h, Article 33)
Combien de temps ça prend ?
Avec un outil dédié, comptez une demi-journée pour un premier dossier complet. Sans outil, plusieurs jours étalés sur plusieurs semaines. Le secret : ne pas viser la perfection au premier passage. Mieux vaut un registre incomplet mais réel qu'un registre parfait dans votre tête.
Et si je suis contrôlé·e demain ?
La CNIL privilégie l'accompagnement à la sanction. Si vous montrez de la bonne foi et un plan d'actions documenté, vous bénéficierez généralement d'un délai pour vous mettre en conformité. C'est l'absence totale de démarche qui sanctionne — pas la démarche imparfaite.
Le bon moment pour commencer, c'est aujourd'hui. La deadline pratique de mise en conformité s'approche, et chaque mois passé sans registre est un mois de risque accumulé.