Huit ans après son entrée en vigueur, le RGPD reste un sujet flou pour beaucoup de PME du bassin nazairien. Certaines pensent être en règle parce qu'elles ont ajouté une bannière cookies sur leur site. D'autres n'ont jamais ouvert le sujet. Voici 10 questions pour faire le point honnêtement.
Les 10 questions à se poser
1. Avez-vous un registre des traitements à jour ?
Le registre est le document central du RGPD. Il liste toutes les opérations dans lesquelles vous traitez des données personnelles : paie, recrutement, clients, prospects, vidéosurveillance, badgeuse. Si vous ne pouvez pas le sortir en 30 secondes, vous n'êtes pas en règle. C'est obligatoire dès le premier salarié.
2. Vos sous-traitants RGPD sont-ils contractualisés ?
Votre paie est externalisée chez un cabinet ? Votre site web hébergé chez OVH ? Votre standard téléphonique dans le cloud ? Tous ces prestataires sont des « sous-traitants RGPD ». Vous devez avoir avec eux un contrat ou un avenant spécifique, signé. Pas une simple mention dans des CGV.
3. Avez-vous une politique de durée de conservation ?
Combien de temps gardez-vous les CV des candidats non retenus ? Les fiches clients après la fin d'une relation commerciale ? Les enregistrements de vidéosurveillance ? Chaque type de donnée a sa propre durée. Au-delà, c'est non conforme.
4. Les droits des personnes sont-ils opérationnels ?
Si un ancien salarié ou un client vous demande demain de supprimer toutes ses données, savez-vous comment faire en moins d'un mois ? Avez-vous une procédure écrite pour traiter les demandes d'accès, de rectification, d'effacement ?
5. Vos collaborateurs sont-ils sensibilisés ?
L'envoi d'un fichier client par mail non chiffré, l'utilisation d'une clé USB perdue dans le train, l'envoi en copie cachée mal géré sur 200 destinataires : ce sont des incidents RGPD réels. La sensibilisation des équipes est obligatoire et doit être documentée.
6. Avez-vous une procédure de violation de données ?
En cas de fuite de données, vous avez 72 heures pour notifier la CNIL et, dans certains cas, les personnes concernées. Sans procédure documentée et testée, ces 72 heures s'évaporent vite.
7. Votre site web est-il conforme ?
Bandeau cookies vraiment paramétrable (avec un bouton « tout refuser » au même niveau que « tout accepter ») ? Politique de confidentialité accessible ? Mentions légales complètes ? Formulaire de contact avec mention RGPD ? Si non, vous êtes vulnérable à un signalement.
8. Avez-vous désigné un référent RGPD (ou un DPO) ?
Le DPO (Délégué à la Protection des Données) est obligatoire pour les administrations, les organismes traitant des données sensibles à grande échelle, ou certains profilages. Pour les autres PME, un référent interne suffit — mais il doit exister, être formé et avoir une fiche de mission.
9. Vos sauvegardes sont-elles sécurisées ?
Le RGPD impose des « mesures de sécurité appropriées » pour protéger les données. Une sauvegarde non chiffrée sur un disque USB rangé dans un tiroir, ce n'est pas approprié. Une sauvegarde chiffrée AES-256, dans un datacenter français, avec MFA, l'est.
10. Avez-vous documenté tout ça ?
Le principe fondamental du RGPD, c'est l'accountability : vous devez pouvoir démontrer votre conformité. Pas l'affirmer. Cela suppose un dossier RGPD documenté : registre, contrats sous-traitants, politiques internes, traces de sensibilisation, journal des incidents.
Note : si vous avez répondu « non » ou « je ne sais pas » à 5 questions ou plus, votre PME est probablement vulnérable. La CNIL contrôle de plus en plus les PME : 1 250 contrôles en 2024, et les sanctions financières peuvent atteindre 4 % du chiffre d'affaires annuel.
Par où commencer ?
L'erreur classique, c'est de vouloir « tout faire » en même temps. La bonne approche se déroule sur 3 à 6 mois :
- Mois 1 : cartographier (registre des traitements, inventaire des données, audit des outils)
- Mois 2-3 : contractualiser (avenants sous-traitants, mises à jour CGV, politique de confidentialité)
- Mois 4-5 : sécuriser (chiffrement, MFA, sauvegardes, sensibilisation)
- Mois 6 : documenter et industrialiser (procédures, revue annuelle planifiée)
L'accompagnement Astorya
Nous proposons un accompagnement RGPD complet ou ciblé pour les PME de Saint-Nazaire et du bassin nazairien : audit initial, rédaction du registre, formation des équipes, DPO externalisé pour celles qui en ont besoin. Sans jargon juridique inutile, avec une vraie approche opérationnelle. Notre offre cybersécurité & conformité intègre ces volets.