8 ans après son entrée en vigueur, le RGPD reste mal appliqué dans 60 % des PME françaises (CNIL, 2025). Les contrôles se multiplient et les amendes pleuvent (jusqu'à 4 % du CA). Voici la checklist complète des 30 points de conformité à valider pour une PME parisienne en 2026.
Volet 1 : gouvernance et documentation (6 points)
C'est le minimum exigé par la CNIL lors d'un contrôle. L'absence de ces documents est la cause numéro 1 des sanctions PME.
- ✓Registre des traitements à jour (article 30 RGPD), avec finalité, base légale, durées
- ✓Politique de confidentialité publiée sur le site web (mentions claires, accessibles)
- ✓Désignation d'un DPO (obligatoire pour certains secteurs) ou d'un référent RGPD interne
- ✓Mentions d'information sur tous les formulaires (contact, candidature, newsletter)
- ✓Procédure de gestion des demandes d'exercice de droits (accès, effacement, portabilité)
- ✓Procédure de notification des violations (notification CNIL sous 72 h)
Volet 2 : sécurité informatique (10 points)
L'article 32 du RGPD impose des « mesures techniques appropriées ». Voici l'interprétation actuelle de la CNIL pour une PME :
- ✓Mots de passe forts (12+ caractères) + MFA sur tous les accès sensibles
- ✓EDR/antivirus de génération récente sur 100 % des postes
- ✓Firewall périmétrique + segmentation réseau (VLAN minimum)
- ✓Chiffrement des disques durs (BitLocker, FileVault) sur tous les portables
- ✓Mises à jour de sécurité dans les 30 jours suivant publication
- ✓Sauvegardes 3-2-1-1-0 avec sauvegarde immuable hors-ligne
- ✓Plan de Reprise d'Activité (PRA) testé au moins une fois par an
- ✓Gestion des accès basée sur le principe du moindre privilège
- ✓Journalisation des accès aux données sensibles (12 mois minimum)
- ✓Sensibilisation collaborateurs au phishing (1 session/an minimum)
Volet 3 : sous-traitants et contrats (5 points)
Vous restez responsable des données traitées par vos prestataires. La CNIL sanctionne de plus en plus les défauts d'encadrement.
- ✓Liste à jour de tous les sous-traitants traitant des données (hébergeur, prestataire IT, CRM...)
- ✓Contrat ou avenant RGPD avec chaque sous-traitant (article 28)
- ✓Vérification des garanties de sécurité (certification ISO 27001, HDS si santé)
- ✓Vérification de la localisation des données (UE, ou transferts encadrés)
- ✓Procédure de réversibilité (récupération des données en fin de contrat)
Volet 4 : données sensibles et transferts hors UE (5 points)
Depuis l'invalidation du Privacy Shield, tout transfert vers les États-Unis et autres pays tiers doit être encadré strictement.
- ✓Identification des traitements de données sensibles (santé, syndicales, biométriques)
- ✓Analyse d'Impact (AIPD) pour les traitements à risque élevé
- ✓Clauses contractuelles types (CCT) pour les transferts hors UE
- ✓Évaluation du pays destinataire (Transfer Impact Assessment)
- ✓Information explicite des personnes sur les transferts
Volet 5 : RH et droits des collaborateurs (4 points)
Les données RH sont l'angle mort le plus fréquent. Pourtant, c'est aussi l'un des sujets les plus contrôlés.
- ✓Durée de conservation des CV non retenus (2 ans maximum)
- ✓Encadrement de la vidéosurveillance (déclaration, information, durée)
- ✓Encadrement des outils de monitoring (logs, géolocalisation véhicules)
- ✓Information collaborateurs lors d'embauche (charte informatique RGPD)
Besoin d'un accompagnement personnalisé ?
Nos experts SOSINFORMATIQUE auditent gratuitement votre situation et vous proposent un plan adapté à votre PME parisienne.
Questions fréquentes
Une PME de 20 salariés doit-elle obligatoirement avoir un DPO ?
Non, sauf si l'activité principale implique un suivi régulier et systématique de personnes à grande échelle, ou le traitement à grande échelle de données sensibles. Pour la majorité des PME, un référent RGPD interne suffit, formé et identifié.
Que risque une PME en cas de non-conformité RGPD ?
L'amende administrative peut atteindre 4 % du chiffre d'affaires mondial ou 20 millions € (le plus élevé). En pratique pour une PME, les sanctions CNIL constatées en 2025 vont de 5 000 € à 200 000 € selon la gravité. Plus impactant : la publication de la sanction sur le site CNIL.
Combien coûte une mise en conformité RGPD pour une PME parisienne ?
Pour une PME de 30 collaborateurs sans aucun travail préalable, comptez 8 000 € à 15 000 € HT pour la mise en conformité complète (audit, registre, contrats sous-traitants, sécurisation, formation). Puis 3 000 € à 6 000 € HT/an pour le maintien.
Microsoft 365 est-il conforme RGPD ?
Oui, à condition de configurer correctement les paramètres : localisation EU des données, désactivation de la télémétrie, MFA, conservation paramétrée. SOSINFORMATIQUE livre Microsoft 365 préconfiguré RGPD pour PME parisiennes.
Que faire en cas de violation de données (data breach) ?
Notification CNIL obligatoire sous 72 h via le formulaire en ligne. Si risque élevé pour les personnes : notification individuelle aux personnes concernées. Conservation d'un registre interne des violations. Notre équipe assure la gestion complète en cas d'incident.