KKOLOSALTech

RGPD pour PME en 2026 : checklist conformité en 30 minutes

·6 min de lecture

Les actions concrètes pour mettre une PME en conformité RGPD : registre, mentions, cookies, politique de confidentialité, droits des personnes.

Le RGPD a 8 ans en 2026. Trop de PME sont encore en non-conformité partielle, ce qui expose à des amendes (jusqu'à 4% du CA mondial). Voici la checklist actionable en 30 minutes.

1. Registre des traitements (15 min)

Document obligatoire dès 1 employé. Liste tous les traitements de données personnelles avec :

  • Nom du traitement (RH, paie, prospection commerciale, etc.)
  • Finalité
  • Données concernées
  • Personnes concernées (employés, prospects, clients)
  • Destinataires
  • Durée de conservation
  • Mesures de sécurité

Modèle CNIL gratuit téléchargeable.

2. Mentions légales et politique de confidentialité (10 min)

Sur votre site web :

  • Page /mentions-legales : éditeur, hébergeur, contact, propriété intellectuelle
  • Page /confidentialite ou /privacy : finalités, base légale, durées, droits, contact DPO
  • Mention dans formulaires : "Vos données sont utilisées uniquement pour traiter votre demande"

3. Cookies (5 min)

Si vous utilisez des cookies de suivi (Google Analytics, Facebook Pixel) :

  • Bandeau de consentement obligatoire (Tarteaucitron, Axeptio, etc.)
  • Refus aussi simple que l'acceptation
  • Pas de cookies tiers tant que pas de consentement

Alternative : utilisez Plausible ou Vercel Analytics (RGPD-friendly, pas de cookie tracker, pas de bandeau requis).

4. Droits des personnes

Procédure pour répondre aux demandes RGPD :

  • Droit d'accès (copie des données détenues)
  • Droit de rectification
  • Droit à l'effacement (dans les limites légales)
  • Droit à la portabilité
  • Droit d'opposition
  • Délai de réponse : 1 mois maximum
  • Désigner un référent (DPO ou simple responsable)

5. Sécurité technique minimale

  • HTTPS partout (Let's Encrypt gratuit)
  • MFA sur tous comptes admin
  • Sauvegarde immuable
  • Procédure de notification CNIL en cas de violation (72h)

6. Sous-traitants

Lister tous les sous-traitants ayant accès à vos données : Google, Microsoft, AWS, Hostinger, Vercel, etc. Vérifier qu'ils ont signé un DPA (Data Processing Agreement) avec vous. Disponibles automatiquement chez tous les grands fournisseurs.

7. Sensibilisation équipe (annuelle)

30 minutes par an minimum. Couvrir : phishing, mots de passe, pas de partage de comptes, signaler tout incident, ne pas communiquer données personnelles par email non chiffré.

Conclusion

30 minutes pour la base. 2-4 jours pour vraiment se mettre au point. Audit externe (~3 000 € HT) si vous voulez un check pro avant un contrôle CNIL.

#RGPD#Conformité#PME#Données personnelles

Un projet IT/SIC ou export à étudier ?

Parlons de votre besoin concret. Réponse sous 24/48h ouvrés.

Demander un devis