Le RGPD est entre en vigueur en 2018. Huit ans plus tard, beaucoup de PME navigent encore a vue. Entre les obligations legales, les choix techniques d'hebergement et les sanctions potentielles, la conformite peut sembler un parcours du combattant. Ce guide pratique a pour objectif de demystifier le sujet et de vous donner les cles pour mettre votre entreprise en conformite, sereinement et efficacement.
RGPD : les fondamentaux en 5 minutes
Le Reglement General sur la Protection des Donnees (RGPD) est le cadre juridique europeen qui regit la collecte, le traitement et le stockage des donnees personnelles. Il s'applique a toute entreprise qui traite des donnees de residents europeens, quelle que soit sa taille ou son secteur d'activite.
Les principes cles sont simples : licite, loyaute et transparence (vous devez informer les personnes de l'utilisation de leurs donnees), limitation des finalites (les donnees ne doivent etre collectees que pour des objectifs precis et legitimes), minimisation (ne collectez que les donnees strictement necessaires), exactitude (les donnees doivent etre tenues a jour), limitation de conservation (ne gardez pas les donnees indefiniment), integrite et confidentialite (protegez les donnees contre les acces non autorises).
Les sanctions pour non-conformite peuvent atteindre jusqu'a 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus eleve etant retenu. La CNIL a deja prononce des amendes significatives, y compris contre des PME. En 2025, plus de 500 sanctions ont ete prononcees en Europe.
Le choix de l'hebergement : France, Europe ou ailleurs ?
Le choix de l'hebergement de vos donnees est l'une des decisions les plus structurantes en matiere de conformite RGPD.
Hebergement en France : c'est le choix le plus sur. Vos donnees sont soumises au droit francais et europeen, sans risque lie aux legislations extraterritoriales. En fevrier 2026, la Cote-d'Or est devenue le premier departement francais a deployer un cloud souverain complet, montrant la voie aux collectivites et aux entreprises. Les hebergeurs francais comme OVHcloud, Scaleway ou Clever Cloud offrent des performances equivalentes aux GAFAM avec une conformite native.
Hebergement en Europe (hors France) : les transferts de donnees au sein de l'Espace economique europeen sont libres. Un hebergement en Allemagne, aux Pays-Bas ou en Suede offre les memes garanties juridiques qu'un hebergement en France. Attention toutefois aux filiales de groupes americains basees en Europe : elles peuvent etre soumises au Cloud Act.
Hebergement hors UE : les transferts de donnees vers des pays tiers sont soumis a des conditions strictes. Il faut soit une decision d'adequation de la Commission europeenne, soit des clauses contractuelles types, soit des regles d'entreprise contraignantes. Le cadre UE-US (Data Privacy Framework) reste fragile juridiquement. La migration des donnees de sante francaises hors de Microsoft, annoncee le 9 fevrier 2026, illustre les risques de cette dependance.
Le DPO : obligatoire ou pas ?
Le Delegue a la Protection des Donnees (DPO) est obligatoire dans trois cas : les organismes publics, les entreprises dont l'activite principale implique un suivi regulier et systematique des personnes a grande echelle, et les entreprises qui traitent des donnees sensibles a grande echelle (sante, biometrie, opinions politiques, etc.).
Pour la plupart des PME, le DPO n'est pas obligatoire. Mais il est fortement recommande. Meme si vous n'etes pas legalement oblige d'en nommer un, avoir un referent RGPD au sein de votre organisation demontre votre serieux et facilite la gestion quotidienne de la conformite.
Vous pouvez nommer un DPO interne (un collaborateur forme) ou faire appel a un DPO externe mutualise. Le cout d'un DPO externe pour une PME se situe entre 200 et 800 euros par mois, selon la complexite de vos traitements.
Le registre des traitements : votre document de reference
Le registre des traitements est obligatoire pour toutes les entreprises de plus de 250 salaries, et pour les plus petites si elles traitent des donnees sensibles ou de maniere non occasionnelle. En pratique, quasiment toutes les entreprises sont concernees, car le traitement de donnees clients ou salaries est considere comme non occasionnel.
Le registre doit contenir pour chaque traitement : la finalite (pourquoi vous collectez ces donnees), les categories de donnees concernees, les destinataires, les transferts hors UE eventuels, les durees de conservation et les mesures de securite mises en place.
Un modele simple sur un tableur suffit pour commencer. La CNIL propose un modele gratuit sur son site. L'essentiel est de le tenir a jour et de le rendre disponible en cas de controle.
Les droits des personnes : comment les respecter
Le RGPD accorde aux personnes dont vous traitez les donnees un ensemble de droits que vous devez respecter :
Droit d'acces : toute personne peut demander a connaitre les donnees que vous detenez sur elle. Vous devez repondre dans un delai d'un mois. Droit de rectification : la personne peut demander la correction de donnees inexactes. Droit a l'effacement : le fameux "droit a l'oubli", sous certaines conditions. Droit a la portabilite : la personne peut demander a recuperer ses donnees dans un format lisible par machine. Droit d'opposition : la personne peut s'opposer au traitement de ses donnees, notamment a des fins de prospection commerciale.
Mettez en place une procedure interne pour traiter ces demandes. Designez un responsable, definissez un circuit de validation et assurez-vous de respecter les delais legaux.
Cookies et consentement : les regles du jeu
La gestion des cookies est l'un des aspects les plus visibles de la conformite RGPD pour vos visiteurs web. Les regles sont claires : les cookies non essentiels necessitent un consentement explicite avant leur depot. Les cookies fonctionnels (panier, session, preferences de langue) ne necessitent pas de consentement mais doivent etre mentionnes dans votre politique de cookies.
Votre bandeau cookies doit offrir un choix reel : accepter, refuser ou personnaliser. Le refus doit etre aussi simple que l'acceptation (pas de "dark patterns"). Les preferences doivent etre enregistrees et respectees. Le consentement doit etre renouvele periodiquement (la CNIL recommande tous les 6 mois).
Des solutions comme Tarteaucitron, Axeptio ou CookieYes vous permettent de mettre en place une gestion des cookies conforme sans developper de code.
Checklist de conformite RGPD pour les PME
Voici une checklist pratique pour evaluer votre niveau de conformite :
Governance : un referent RGPD est identifie, un registre des traitements est tenu a jour, une politique de confidentialite est publiee sur votre site, des procedures de gestion des droits des personnes existent.
Technique : vos donnees sont hebergees en France ou en Europe, vos sous-traitants sont conformes (verifiez leurs contrats), les acces aux donnees sont securises (mots de passe forts, authentification a deux facteurs), des sauvegardes regulieres sont effectuees, le chiffrement est utilise pour les donnees sensibles.
Communication : votre bandeau cookies est conforme, vos formulaires incluent les mentions legales obligatoires, vos clients et prospects sont informes de l'utilisation de leurs donnees, vous avez une procedure de notification en cas de violation (72 heures pour informer la CNIL).
Vous avez besoin d'un site web conforme RGPD, heberge en France ? Demandez un devis gratuit a notre equipe. Nous concevons des sites et des applications qui integrent la conformite des le premier jour, avec un hebergement souverain et une gestion des cookies aux normes.