Le RGPD s’applique intégralement aux PME : il n’existe aucune exemption générale liée à la taille. La seule dérogation notable — la dispense partielle de registre de l’article 30(5) pour les entreprises de moins de 250 salariés — est si étroite (traitements occasionnels uniquement, sans risque, sans données sensibles) qu’elle ne couvre en pratique ni la paie, ni les clients, ni la prospection : autrement dit, votre PME a besoin d’un registre. Et la CNIL sanctionne bel et bien les petites structures, avec sa procédure simplifiée (amendes jusqu’à 20 000 €) créée par la loi du 24 janvier 2022 précisément pour traiter les dossiers des TPE-PME.
Voici la checklist des 20 points de contrôle, priorisée, suivie d’un plan d’action en 90 jours réaliste pour une structure sans juriste dédié. Pour la version détaillée tous publics, voir notre checklist RGPD complète et notre guide de mise en conformité.
Les 20 points de contrôle
Socle documentaire (priorité absolue — ce que la CNIL demande en premier)
1. ☐ Un registre des traitements existe, couvre tous les traitements (clients, prospects, RH, paie, vidéosurveillance éventuelle) et a été mis à jour depuis moins d’un an (article 30). 2. ☐ Chaque traitement a une base légale documentée (article 6) — contrat, obligation légale, intérêt légitime avec mise en balance écrite, ou consentement. 3. ☐ Les durées de conservation sont définies par traitement et appliquées (purge ou archivage effectifs, pas seulement déclarés). 4. ☐ Une politique de confidentialité complète (articles 13-14) est accessible sur le site et remise aux salariés et candidats. 5. ☐ Les mentions légales du site sont exactes (LCEN).
Site web et marketing
6. ☐ Le bandeau cookies est conforme : refus aussi simple qu’accepter, aucun traceur avant le choix, choix mémorisé 6 mois (règles CNIL). 7. ☐ La politique cookies liste les traceurs réels avec finalités et durées. 8. ☐ La prospection respecte l’opt-in B2C / l’information-opposition B2B (article L34-5 CPCE) ; chaque email contient un lien de désinscription fonctionnel. 9. ☐ Les formulaires ne collectent que le nécessaire (minimisation) et informent au moment de la collecte.
Droits des personnes
10. ☐ Un point de contact est publié (email dédié) et une procédure de gestion des demandes garantit la réponse sous un mois (article 12). 11. ☐ Le personnel en contact avec le public sait reconnaître une demande de droits et à qui la transmettre.
Sous-traitants et contrats
12. ☐ Tous les prestataires traitant des données (hébergeur, SaaS, expert-comptable pour la paie, agence marketing) sont identifiés et ont signé un DPA article 28. 13. ☐ Les transferts hors UE sont identifiés et encadrés (adéquation, certification DPF vérifiée, ou CCT + TIA).
Sécurité
14. ☐ Mots de passe robustes + authentification multifacteur sur la messagerie et les outils critiques (recommandation CNIL, délibération 2022-100). 15. ☐ Sauvegardes régulières, dont une déconnectée, avec test de restauration annuel. 16. ☐ Les accès sont individuels, les habilitations revues, les comptes des partants désactivés le jour du départ (article 32). 17. ☐ Une charte informatique est en vigueur et les salariés sont formés aux réflexes RGPD/sécurité au moins une fois par an.
Incidents et gouvernance
18. ☐ Une procédure de violation existe (qui alerter, notification CNIL 72 h) et un registre des violations est tenu (article 33). 19. ☐ La question du DPO est tranchée et documentée : désignation obligatoire (article 37) ou décision motivée de ne pas désigner ; le cas échéant, DPO externalisé déclaré à la CNIL. 20. ☐ Un responsable du sujet RGPD est nommé en interne et y consacre un créneau mensuel : la conformité est un processus, pas un projet — c’est le principe d’accountability (article 5(2)).
Lecture du score : 18-20 cochés, vous êtes dans le haut du panier ; 12-17, concentrez-vous sur les manquants du socle documentaire ; moins de 12, déroulez le plan 90 jours ci-dessous sans attendre le contrôle ou la plainte d’un client.
Plan d’action 90 jours
Jours 1-30 — Le socle. Semaine 1 : désignez le responsable interne (point 20) et tranchez la question DPO (point 19). Semaines 2-4 : construisez le registre des traitements — recensez par service (vente, marketing, RH, compta) ; une PME type compte 10 à 20 traitements. Pour chacun : finalité, base légale, données, destinataires, durée. C’est 60 % de l’effort total, et c’est le document que la CNIL demande en premier. Un outil comme Legiscope, qui automatise le registre et génère la documentation associée, réduit cette phase de plusieurs semaines à quelques jours.
Jours 31-60 — Le visible et les contrats. Mettez le site en conformité : politique de confidentialité, mentions légales, bandeau et politique cookies (points 4-7) — c’est ce qu’un contrôle en ligne CNIL voit en dix minutes, et ce que vos clients B2B auditent avant de signer. En parallèle, envoyez les DPA à vos prestataires (point 12) et identifiez les transferts hors UE (point 13).
Jours 61-90 — Les procédures et l’humain. Adoptez les trois procédures (droits, violation, registre des violations — points 10, 18), déployez MFA et revue des accès (points 14-16), faites passer la charte informatique et organisez la première session de sensibilisation (point 17). Terminez par un mini-audit : re-parcourez la checklist et documentez le résultat — ce document daté est votre première preuve d’accountability.
Erreurs courantes des PME
- Croire que « le RGPD, c’est pour les gros » : la procédure simplifiée de la CNIL vise précisément les petites structures, et les plaintes de clients ou salariés ne trient pas par taille d’entreprise.
- Acheter des documents types sans registre : politique de confidentialité générique + zéro registre = façade sans fondation ; le registre est la pièce maîtresse.
- Déléguer 100 % à l’expert-comptable ou au prestataire web : ils sont vos sous-traitants, pas vos responsables de conformité ; la responsabilité de l’article 24 reste la vôtre.
- Confondre conformité et paperasse ponctuelle : sans créneau mensuel (nouveaux outils, nouveaux traitements, purges), la conformité de mars est morte en septembre.
- Ignorer les traitements RH : paie, badgeage, vidéosurveillance, recrutement — la moitié des sanctions simplifiées de la CNIL concernent des sujets salariés (RGPD et RH).
FAQ
Une PME de moins de 250 salariés est-elle dispensée de registre ?
Non, en pratique. L’article 30(5) ne dispense que pour les traitements occasionnels, sans risque et sans données sensibles — or la paie, la gestion clients et la prospection sont des traitements réguliers. La CNIL confirme cette lecture et propose d’ailleurs un modèle de registre simplifié pour les PME, ainsi qu’un parcours d’accompagnement dédié aux TPE-PME dans sa rubrique « RGPD : passer à l’action ».
Combien coûte la mise en conformité d’une PME ?
Ordre de grandeur pour 10-50 salariés : 3 000 à 15 000 € la première année en s’appuyant sur un prestataire, ou quelques jours-homme internes avec un logiciel dédié (comptez 50 à 300 €/mois). Le détail des postes dans notre analyse du coût de la conformité RGPD. À comparer aux amendes simplifiées (jusqu’à 20 000 €) et surtout au coût commercial : les grands comptes exigent désormais les preuves de conformité de leurs fournisseurs.
Une PME risque-t-elle vraiment un contrôle CNIL ?
Oui. La CNIL réalise plus de 300 contrôles par an, dont des contrôles en ligne qui ne nécessitent aucun déplacement, et sa procédure simplifiée lui permet de sanctionner rapidement les dossiers simples — typiquement des PME (cookies, vidéosurveillance excessive, prospection sans consentement, non-réponse aux demandes de droits). Le déclencheur le plus fréquent reste la plainte d’un client ou d’un salarié. Voir comment se préparer à un contrôle.
Par quoi commencer si on ne peut faire qu’une seule chose ?
Le registre des traitements. Il force le recensement de tout le reste (bases légales, durées, sous-traitants, sécurité), il est obligatoire, et c’est la première pièce demandée en contrôle. Une PME qui présente un registre à jour et quelques procédures écrites change immédiatement de catégorie aux yeux de la CNIL — celle des acteurs de bonne foi en cours de démarche.
Conclusion
Vingt points, trois mois, aucun besoin d’une armée de juristes : le RGPD version PME est un problème de méthode, pas de moyens. Commencez par le socle documentaire (registre, bases légales, durées), enchaînez sur le site et les contrats, terminez par les procédures et la formation. Puis institutionnalisez le créneau mensuel — c’est lui qui fait la différence entre une conformité de classeur et une conformité qui tient le jour où la CNIL, un client grand compte ou un salarié en contentieux vient vérifier.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial