RGPD et logiciels : guide de conformite pour les TPE/PME en 2026
Vos obligations RGPD en tant que PME
Le RGPD (Reglement General sur la Protection des Donnees) s'applique a toutes les entreprises, de l'auto-entrepreneur a la multinationale. Si vous collectez le nom, l'email ou le telephone d'un client, vous etes concerne.
Les obligations principales :
- Informer : Dire clairement quelles donnees vous collectez, pourquoi, et combien de temps vous les gardez (politique de confidentialite)
- Securiser : Proteger les donnees contre les fuites, les pertes et les acces non autorises
- Minimiser : Ne collecter que les donnees strictement necessaires a votre activite
- Permettre l'exercice des droits : Acces, rectification, suppression, portabilite des donnees
- Tenir un registre de traitements : Document qui recense tous vos traitements de donnees personnelles
En pratique, les controles de la CNIL ciblent surtout les grandes entreprises et les secteurs sensibles (sante, finance). Mais les plaintes de particuliers peuvent toucher n'importe quelle entreprise. Et les sanctions vont jusqu'a 20 millions d'euros ou 4% du CA mondial — de quoi prendre le sujet au serieux.
RGPD et logiciels SaaS : ce qu'il faut verifier
Quand vous utilisez un logiciel SaaS (Brevo, HubSpot, PayFit, etc.), vos donnees clients sont hebergees chez l'editeur. En termes RGPD, l'editeur est votre "sous-traitant" (data processor) et vous etes le "responsable de traitement" (data controller).
Cela signifie que vous restez responsable de la conformite, meme si les donnees sont chez un tiers. Si Brevo a une fuite de donnees et que vous n'avez pas verifie leurs mesures de securite, c'est votre responsabilite aussi.
Ce que vous devez verifier pour chaque logiciel SaaS :
- Le DPA (Data Processing Agreement) : Un contrat obligatoire entre vous et votre sous-traitant. La plupart des editeurs le proposent en ligne (souvent dans les CGU ou un document dedie). Si un editeur n'a pas de DPA, c'est un red flag.
- La localisation des donnees : Ou sont hebergees vos donnees ? En Europe (conforme par defaut), aux USA (conforme si EU-US Data Privacy Framework), ailleurs (a verifier au cas par cas). Brevo et Axonaut hebergent en France. HubSpot et Salesforce aux USA (mais certifie DPF).
- Les mesures de securite : Chiffrement, sauvegardes, acces restreints, certifications (SOC 2, ISO 27001). Verifiez la page "Security" de l'editeur.
- La portabilite : Pouvez-vous exporter toutes vos donnees si vous changez d'outil ? Format CSV, API ? C'est un droit RGPD (article 20) et un critere de choix important.
- La suppression : Que se passe-t-il quand vous resiliez ? L'editeur supprime-t-il vos donnees et dans quel delai ?
Le registre de traitements simplifie
Le registre de traitements fait peur mais c'est plus simple qu'il n'y parait. C'est un document (Excel suffit) qui liste tous les cas ou vous traitez des donnees personnelles.
Pour chaque traitement, documentez :
| Champ | Exemple |
|---|---|
| Finalite | Gestion de la relation client |
| Donnees collectees | Nom, email, telephone, historique achats |
| Base legale | Execution du contrat |
| Destinataires | Service commercial, CRM HubSpot |
| Duree de conservation | 3 ans apres le dernier achat |
| Mesures de securite | CRM avec acces par mot de passe, chiffrement |
Les traitements typiques d'une PME :
- Gestion clients (CRM) — base legale : contrat
- Prospection commerciale — base legale : interet legitime (B2B) ou consentement (B2C)
- Emailing / newsletter — base legale : consentement
- Gestion paie — base legale : obligation legale
- Facturation — base legale : obligation legale
- Analytics site web — base legale : consentement (cookies)
La CNIL propose un modele de registre gratuit sur son site. Remplissez-le une fois, et mettez-le a jour quand vous ajoutez un nouveau traitement ou un nouvel outil.
Le consentement : ce qui a change en pratique
Le consentement RGPD doit etre :
- Libre : pas de case pre-cochee, pas de consentement force pour acceder a un service
- Specifique : un consentement par finalite (pas un checkbox unique pour "newsletter + partenaires + analytics")
- Eclaire : l'utilisateur sait exactement a quoi il consent
- Univoque : un acte positif clair (cocher une case, cliquer sur "J'accepte")
En pratique, les deux sujets les plus sensibles pour les PME sont :
Les cookies : Votre bandeau cookie doit proposer "Accepter" et "Refuser" avec la meme facilite. Pas de "Refuser" cache dans un sous-menu. Les cookies analytiques (Google Analytics) et publicitaires ne doivent se declencher qu'apres consentement. Les cookies techniques (panier, session) n'ont pas besoin de consentement.
L'email marketing : En B2C, le consentement explicite (opt-in) est obligatoire avant d'envoyer des emails commerciaux. En B2B, l'interet legitime peut suffire si le destinataire est un professionnel et que le message est lie a son activite. Dans tous les cas, un lien de desabonnement est obligatoire.
Checklist de conformite pratique
Voici les actions concretes a mener pour etre conforme :
- Redigez une politique de confidentialite et publiez-la sur votre site web. Mentionnez : quelles donnees, pourquoi, combien de temps, quels sous-traitants, quels droits.
- Mettez en place un bandeau cookie conforme : Accepter/Refuser sur le meme niveau, cookies bloques avant consentement. Des plugins WordPress comme Complianz ou CookieYes le gerent automatiquement.
- Remplissez votre registre de traitements : Listez chaque logiciel SaaS qui traite des donnees personnelles.
- Verifiez les DPA de vos outils : CRM, emailing, analytics, paie, facturation — chaque outil doit avoir un DPA signe ou accepte.
- Securisez les acces : Mots de passe uniques et forts, double authentification sur tous les outils critiques, acces restreints par role.
- Prevoyez un process de suppression : Comment supprimer les donnees d'un client qui le demande ? Testez-le dans chacun de vos outils.
- Formez vos equipes : Les basiques suffisent : ne pas envoyer de donnees clients par email non chiffre, ne pas partager de mots de passe, signaler toute anomalie.
- Designez un referent RGPD : Pas forcement un DPO formel (obligatoire seulement pour les organismes publics et le traitement a grande echelle). Un referent interne qui connait le sujet suffit pour une PME.
Pour choisir des logiciels conformes RGPD, privilegiez les editeurs europeens (Brevo, Axonaut, Pennylane) qui hebergent les donnees en France ou en Europe.
Questions frequentes
Le RGPD s'applique-t-il aux auto-entrepreneurs ?
Oui, des que vous collectez des donnees personnelles (nom, email, telephone d'un client). Les obligations sont les memes quelle que soit la taille de l'entreprise, mais la CNIL adapte ses controles au risque.
Faut-il un DPO dans une PME ?
Non, le DPO (Data Protection Officer) n'est obligatoire que pour les organismes publics et les entreprises qui traitent des donnees sensibles a grande echelle. Un referent interne suffit pour une PME classique.
Quels logiciels SaaS sont conformes RGPD ?
La plupart des editeurs majeurs sont conformes (Brevo, HubSpot, Salesforce, Mailchimp, PayFit). Verifiez le DPA, la localisation des donnees et les certifications de securite. Privilegiez les editeurs europeens.
Que risque une PME non conforme au RGPD ?
Jusqu'a 20M EUR ou 4% du CA mondial (le plus eleve). En pratique, les amendes pour les PME sont de quelques milliers a dizaines de milliers d'euros. Le risque le plus courant est la plainte d'un client aupres de la CNIL.
Certains liens sont des liens d'affiliation. Si vous souscrivez via ces liens, nous recevons une commission sans cout supplementaire pour vous. Cela nous aide a maintenir ce comparateur independant et gratuit.