Existe-t-il un vrai logiciel RGPD gratuit ? Oui, mais avec des limites précises. Le gratuit couvre parfaitement les besoins de base d’une TPE : le logiciel PIA de la CNIL pour les analyses d’impact, les modèles de registre et de clauses de la CNIL, et des packs de modèles à télécharger. Il casse dès que vous avez plusieurs entités, un volume de demandes de droits à suivre, ou un besoin de preuves d’accountability. Voici l’inventaire honnête de ce qui est réellement gratuit, où le gratuit atteint ses limites, et quand basculer vers un outil payant.
Points clés
- Le logiciel PIA de la CNIL est gratuit et suffit pour mener une AIPD ponctuelle.
- Les modèles CNIL (registre, clauses de sous-traitance) et notre pack de documents RGPD gratuits couvrent la documentation de départ.
- Le gratuit casse sur : le registre multi-entités, le suivi des demandes de droits, et les preuves d’accountability exigées par l’art. 5(2) du RGPD.
- Un tableur ne relance personne, ne trace rien et ne génère aucun document : au-delà d’une dizaine de traitements, il coûte des centaines d’heures.
- La bascule gratuit → payant se décide sur le volume, pas sur le budget.
Ce qui est réellement gratuit et utile
Contrairement à une idée reçue, l’écosystème RGPD gratuit est riche — à condition de savoir ce qu’il couvre.
- Le logiciel PIA de la CNIL : application libre et open source pour mener une analyse d’impact, avec la méthodologie officielle. Excellent pour une AIPD isolée.
- Les modèles de la CNIL : modèle de registre des activités de traitement, clauses de sous-traitance type, mentions d’information. Gratuits et faisant autorité.
- Le MOOC de la CNIL (l’Atelier RGPD) : formation gratuite de sensibilisation.
- Nos modèles : registre, AIPD, DPA, politique de cookies et autres dans le pack de documents RGPD gratuits.
Pour une TPE avec cinq à dix traitements simples, cet arsenal gratuit suffit à construire une conformité de départ crédible. La rigueur de mise à jour du registre devient alors le vrai enjeu, pas l’outil.
Un point mérite d’être clarifié : « gratuit » ne veut pas dire « sans valeur juridique ». Le modèle de registre de la CNIL est le même document, dans sa structure, que celui qu’un éditeur payant vous fera remplir. La différence ne porte pas sur la conformité du contenu mais sur ce qui l’entoure : la maintenance, la traçabilité des mises à jour et la capacité à prouver, à une date donnée, l’état de votre documentation. Un modèle gratuit correctement rempli et daté vaut mieux qu’un logiciel coûteux laissé à l’abandon. Le vrai clivage n’est donc pas gratuit contre payant, mais statique contre vivant.
Les limites concrètes de chaque outil gratuit
Chaque brique gratuite rend un service précis, mais aucune ne couvre le cycle complet. Voici où chacune s’arrête.
Le logiciel PIA de la CNIL. Il excelle pour dérouler une analyse d’impact isolée avec la méthodologie officielle. Mais il fonctionne fichier par fichier : chaque AIPD est un projet séparé, sans lien avec votre registre. Aucune vue d’ensemble, aucune relance quand une AIPD doit être révisée, aucun partage multi-utilisateurs natif. Pour une AIPD par an, parfait ; pour un parc de dizaines de traitements à risque, il devient vite ingérable.
Le modèle de registre de la CNIL. C’est un tableur structuré, juridiquement solide. Sa limite est celle de tout tableur : pas de contrôle de cohérence, pas d’historique des versions, pas de projection multi-entités, et un risque élevé de doublons dès que plusieurs personnes le modifient. Il fige la conformité à l’instant où on cesse de le mettre à jour.
Les clauses et mentions type. Les modèles de clauses de sous-traitance et de mentions d’information de la CNIL sont un excellent point de départ rédactionnel. Mais ils ne suivent pas la signature effective des DPA, ne relient pas chaque sous-traitant à ses traitements et ne gardent pas trace des versions envoyées. La preuve qu’un sous-traitant donné a signé telle version reste à votre charge.
Le MOOC / l’Atelier RGPD. Il sensibilise efficacement, mais ne délivre pas d’attestation nominative exploitable comme preuve de formation de vos équipes, ni de suivi de qui a suivi quoi. Pour documenter un plan de formation interne, il faut un dispositif à part.
Le point commun de ces limites est toujours le même : le gratuit produit des documents, jamais la traçabilité qui prouve leur maintien dans le temps.
Où le gratuit casse
Le gratuit repose sur des fichiers statiques : un tableur ne fait que stocker ce que vous y écrivez. Trois murs se dressent vite.
Le registre multi-entités. Dès qu’un groupe compte plusieurs sociétés ou établissements, tenir un registre cohérent dans des tableurs séparés devient ingérable : versions divergentes, doublons, aucune vue consolidée.
Le suivi des demandes de droits. Le RGPD impose de répondre aux demandes d’accès, d’effacement ou d’opposition dans un délai d’un mois (art. 12). Un tableur ne déclenche aucune relance, ne calcule aucune échéance et ne conserve aucune preuve de traitement de la demande. Au premier pic de demandes, vous perdez le contrôle des délais.
Les preuves d’accountability. L’art. 5(2) impose de démontrer la conformité, pas seulement de l’assurer. Un tableur ne trace ni qui a modifié quoi, ni quand une AIPD a été validée, ni la preuve qu’un sous-traitant a bien signé son DPA. Face à un contrôle CNIL, l’absence d’historique est un handicap sérieux.
Le tableau de bascule gratuit → payant
| Situation | Le gratuit suffit | Il faut passer au payant |
|---|---|---|
| Nombre de traitements | Moins de 10-15 | Plus de 15-20 |
| Nombre d’entités | Une seule | Plusieurs sociétés/établissements |
| Demandes de droits | Rares, gérées à la main | Récurrentes, à tracer |
| Données sensibles | Aucune | Données de santé, biométrie |
| Sous-traitants | Quelques-uns | Nombreux, à auditer |
| Besoin de preuves | Faible | Contrôle CNIL probable, secteur régulé |
La règle : la bascule ne se décide pas sur le budget mais sur le volume et le risque. Une TPE aux traitements simples reste au gratuit sans honte ; une PME de 60 personnes qui gère des demandes clients et des sous-traitants a déjà dépassé le point de bascule, même si le tableur « fonctionne encore ».
Ce que le payant apporte vraiment
Un logiciel payant n’est pas un tableur plus joli. Il apporte l’automatisme que le gratuit ne peut structurellement pas offrir : relances automatiques sur les demandes de droits, historique horodaté des modifications, génération de documents à jour, vue consolidée multi-entités, et export CNIL-ready en cas de contrôle. C’est précisément la couche d’accountability qui manque au gratuit.
Le ticket d’entrée reste modeste : à partir d’environ 79 €/mois chez certains éditeurs, 2 000 à 10 000 €/an pour une plateforme PME complète. Rapporté au temps humain économisé et au risque de sanction évité, l’investissement s’amortit vite dès que le volume de traitements dépasse le seuil où le gratuit devient ingérable. Le comparatif détaillé figure dans notre logiciel RGPD pour PME, et l’analyse des prix dans notre coût d’un logiciel de conformité RGPD. Legiscope, comme d’autres plateformes européennes, propose des modèles pré-configurés qui transforment la documentation gratuite statique en dispositif vivant et traçable. Pour le choix global, voir notre comparatif du meilleur logiciel RGPD.
FAQ
Existe-t-il un logiciel RGPD 100 % gratuit ?
Le logiciel PIA de la CNIL est entièrement gratuit et open source, mais il ne couvre que les analyses d’impact. Pour le registre, les modèles gratuits (CNIL, packs de documents) existent, mais ils sont statiques. Aucun outil gratuit ne couvre l’ensemble du cycle RGPD avec automatisation et traçabilité.
Le tableur Excel suffit-il pour le RGPD ?
Pour une TPE avec moins de dix traitements très simples, oui. Au-delà, le tableur atteint ses limites : il ne relance personne, ne trace aucune modification et ne génère aucun document. L’absence d’historique devient un vrai risque en cas de contrôle CNIL.
Quand faut-il passer du gratuit au payant ?
La bascule se décide sur le volume et le risque, pas sur le budget. Plus de 15-20 traitements, plusieurs entités, des demandes de droits récurrentes, des données sensibles ou un secteur régulé : ce sont les signaux qu’il faut un outil payant capable de tracer et d’automatiser.
Les modèles gratuits de la CNIL sont-ils suffisants ?
Ils constituent une excellente base de départ et font autorité. Mais un modèle est un point de départ statique : il faut ensuite le remplir, le maintenir à jour et prouver qu’il l’est. C’est ce travail vivant qu’un logiciel payant automatise.
Conclusion
Le logiciel RGPD gratuit existe et fait très bien son travail dans un périmètre précis : PIA de la CNIL pour les analyses d’impact, modèles CNIL et packs de documents pour la documentation de départ. Il suffit à une TPE aux traitements simples. Il casse dès que le volume, le nombre d’entités ou le besoin de preuves d’accountability augmentent — parce qu’un fichier statique ne relance, ne trace et ne génère rien. Le bon réflexe n’est pas de choisir entre gratuit et payant par principe, mais de situer votre organisation sur le tableau de bascule : le gratuit tant que le volume le permet, le payant dès qu’il faut prouver et automatiser.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo