"Le RGPD, c'est pour les GAFAM, pas pour nous." C'est l'idée reçue la plus coûteuse qu'on entend chez nos clients PME. Or la CNIL prononce chaque année des dizaines de sanctions contre des petites structures — souvent pour des manquements évitables.
Ce que la loi exige réellement
Dès que votre entreprise collecte des données personnelles (formulaire de contact, newsletter, CRM, fichier client), vous êtes soumis au RGPD. Les obligations principales :
- Une base légale pour chaque traitement de données (consentement, contrat, intérêt légitime)
- Une information claire de vos utilisateurs (politique de confidentialité accessible et compréhensible)
- Un droit d'accès, de rectification et de suppression que vous devez pouvoir honorer sous 1 mois
- Une sécurisation proportionnée des données stockées (chiffrement, accès restreint)
- Un registre des traitements, même simplifié pour une TPE/PME
Les erreurs les plus fréquentes qu'on observe
- Un formulaire de contact qui envoie les données vers un tableur partagé sans aucune protection
- Une case de consentement pré-cochée pour la newsletter (interdit depuis 2018)
- Des données de prospects conservées indéfiniment "au cas où"
- Aucune politique de confidentialité, ou une politique copiée-collée d'un autre site (facilement détectable)
- Un sous-traitant (hébergeur, CRM, outil d'emailing) sans contrat de traitement de données conforme
Ce que ça coûte de ne pas être conforme
Les sanctions de la CNIL contre des PME varient généralement de quelques milliers à plusieurs dizaines de milliers d'euros, mais le vrai risque est souvent ailleurs : une fuite de données mal gérée ruine la confiance de vos clients bien plus durablement qu'une amende.
Se mettre en conformité sans tout bloquer
La bonne nouvelle : pour une PME, la mise en conformité RGPD est un chantier raisonnable. Un audit des formulaires et traitements de données, une politique de confidentialité claire, un hébergement sécurisé et quelques ajustements techniques suffisent dans la majorité des cas.
On intègre systématiquement la conformité RGPD dans nos projets de création de site — ce n'est pas une option qu'on facture à part, c'est la base.