Conformité RGPD startup et PME : plan d'action en 30 jours

En une phrase. Une startup ou PME de moins de 50 salariés peut atteindre une conformité RGPD opérationnelle en 30 jours avec un budget de 5 000 à 20 000 euros (legal externe + outillage), à condition de respecter une priorisation stricte : registre des traitements, politique de confidentialité, DPA des sous-traitants, procédure de droits des personnes, bandeau cookies. Le DPO obligatoire et les AIPD complexes peuvent attendre une seconde phase.

La conformité RGPD est souvent perçue par les startups comme une montagne réservée aux grands groupes. C’est faux. 80% du risque de sanction CNIL repose sur 5 obligations matérielles qui peuvent être traitées rapidement. Les 20% restants (DPO, AIPD complexes, BCR) ne deviennent pertinents qu’au-delà de certains seuils.

Ce guide détaille un plan d’action en 30 jours calibré pour une structure de 5 à 50 salariés. Pour le cadre général, voir notre guide compliance RGPD. Pour les obligations PME nLPD suisses, checklist nLPD PME.

Points clés

• En 30 jours et 5-20K€, une PME peut atteindre une conformité RGPD opérationnelle.
• Les 5 obligations prioritaires : registre, politique, DPA sous-traitants, procédure droits, bandeau cookies.
• Le DPO n’est obligatoire que dans des cas spécifiques (autorité publique, surveillance à grande échelle, données sensibles à grande échelle).
• L’AIPD n’est obligatoire que pour les traitements à risque élevé — la majorité des PME n’a aucune AIPD à conduire.
• L’erreur n°1 : sur-engineering du programme avant les fondamentaux. L’erreur n°2 : copier-coller une politique générique sans l’adapter.

1. Le diagnostic en 1 heure

Test rapide d’éligibilité aux obligations renforcées

Question	Si OUI	Si NON
Traitez-vous des données de santé, biométriques, génétiques, judiciaires à grande échelle ?	DPO obligatoire + AIPD systématique	Seuils plus souples
Faites-vous de la surveillance vidéo de zones publiques à grande échelle ?	DPO + AIPD	Pas concerné
Profilage ou décisions automatisées avec effets juridiques ?	AIPD obligatoire	Pas concerné
Êtes-vous une autorité publique ?	DPO obligatoire	Pas concerné

Pour la majorité des startups SaaS / e-commerce / B2B services : aucune des cases coche. Pas de DPO obligatoire, pas d’AIPD systématique. Cela simplifie considérablement.

Inventaire des traitements en 1 heure

Lister les processus métier qui impliquent des données personnelles. Pour une startup typique :

• Site web : visiteurs, prospects (analytics, formulaire de contact)
• Marketing : newsletter, campagnes ads
• Ventes : CRM avec leads et clients
• Produit/SaaS : utilisateurs, logs, comportement
• Comptabilité : factures clients, paiements
• RH : salariés, candidats
• Support : tickets clients

→ Typiquement 8-15 traitements. C’est gérable.

2. Plan en 30 jours

Semaine 1 — Fondations

Jour 1-2 : Inventaire des sous-traitants Lister tous les outils SaaS et fournisseurs traitant des données. Pour chacun :

• Nom, pays, périmètre du traitement
• DPA signé ? (vérifier dans les contrats existants)
• Sous-processeurs ?

Outils typiques d’une startup SaaS :

• Cloud : AWS, Azure, GCP
• CRM : HubSpot, Salesforce, Pipedrive
• Marketing : Mailchimp, Brevo, Customer.io
• Analytics : Google Analytics, Plausible, Mixpanel
• Support : Intercom, Zendesk
• Paie : PayFit, Lucca
• Comptabilité : Pennylane, Quickbooks

Jour 3-5 : Registre des traitements (ROPA) Pour chaque traitement identifié, remplir : finalité, données, personnes, destinataires, durée, sécurité. Voir exemple registre des traitements.

Format : tableau Excel ou Google Sheets pour les <30 traitements. Au-delà, outil dédié.

Jour 6-7 : Politique de confidentialité Rédiger ou réviser la politique. Doit inclure (articles 13-14) :

• Identité du responsable de traitement
• Finalités et bases légales
• Catégories de destinataires
• Durées de conservation
• Droits des personnes
• Contact (DPO si désigné, ou point de contact)
• Recours CNIL

À éviter : copier-coller une politique générique. La CNIL identifie les politiques recyclées et les sanctionne pour transparence insuffisante.

Semaine 2 — Sous-traitants

Jour 8-12 : DPA pour tous les sous-traitants Pour chaque sous-traitant identifié en semaine 1 :

• Vérifier le DPA proposé par défaut (souvent dans les CGV ou en annexe)
• Comparer aux clauses obligatoires de l’article 28 §3 — voir modèle DPA
• Signer électroniquement ou demander la version signée

Jour 13-14 : Vérification des transferts internationaux Pour les sous-traitants hors UE :

• États-Unis : vérifier la certification EU-US Data Privacy Framework
• Autres pays : vérifier les clauses contractuelles types — voir SCCs guide

Semaine 3 — Droits et consentement

Jour 15-18 : Procédure de gestion des droits Mettre en place :

• Adresse mail dédiée (privacy@… ou rgpd@…)
• Procédure interne : qui répond, en combien de temps, avec quelles données
• Modèles de réponse (accès, rectification, effacement, opposition)

Voir droit d’accès aux données personnelles.

Jour 19-21 : Bandeau cookies Configurer un CMP (Consent Management Platform) :

• Solutions abordables : Axeptio (~30€/mois), Cookiebot, Tarteaucitron (gratuit)
• Lister tous les cookies déposés (DevTools → Application → Cookies)
• Bouton Refuser aussi visible que Accepter
• Voir bandeau cookies CNIL

Semaine 4 — Sécurité et finalisation

Jour 22-25 : Mesures de sécurité minimales Vérifier :

• HTTPS partout (TLS 1.3 idéalement)
• MFA pour les accès admin (Google Workspace, AWS, base de données)
• Mots de passe forts via gestionnaire (1Password, Bitwarden)
• Sauvegardes régulières et chiffrées
• Charte d’usage IT signée par les salariés

Jour 26-28 : Procédure de violation de données Mettre en place :

• Détection : alertes des outils (CSP, EDR si déployé)
• Responsable de gestion : DPO ou dirigeant
• Procédure : qualification → notification CNIL si applicable (72h) → information personnes si nécessaire
• Voir article 33 RGPD

Jour 29-30 : Audit interne final Vérifier les 5 fondamentaux :

• ☐ Registre à jour
• ☐ Politique en ligne et adaptée
• ☐ DPA signés avec tous les sous-traitants
• ☐ Procédure de droits opérationnelle
• ☐ Bandeau cookies conforme

Documentation conservée dans un dossier accessible en cas de demande CNIL.

3. Budget réaliste pour une startup de 20 salariés

Poste	Coût initial	Récurrent
Conseil juridique externe (5-10 jours)	5 000 - 12 000 €	2 000 €/an pour mise à jour
CMP cookies (Axeptio, Didomi)	Setup gratuit	30-100 €/mois
Outil registre/DPA (Legiscope, Vanta, Drata)	0-2 000 €	200-1 000 €/mois
Formation initiale (DPO si en interne ou réf RGPD)	1 500-3 000 €	1 000 €/an
Audit annuel externe (recommandé à partir de 50 salariés)	0 €	5 000-10 000 €/an
TOTAL ANNÉE 1	5 500 - 17 000 €	+ 5 000-15 000 €/an récurrent

Pour les startups avant Series A, le coût peut descendre à 5-8K€ avec une approche autonome appuyée par un outil et un avis juridique ponctuel.

4. Quand recruter un DPO ?

Le DPO n’est légalement obligatoire que dans 3 cas (article 37 RGPD) :

1. Autorité publique
2. Activité principale impliquant surveillance régulière et systématique à grande échelle
3. Activité principale impliquant données sensibles à grande échelle

Pour une startup SaaS B2B classique : aucun DPO obligatoire.

Quand le désigner volontairement :

• À partir de 50 salariés et 1000+ clients : recommandé (gestion des demandes devient lourde)
• À partir de 100 salariés : devient nécessaire en pratique
• Si données sensibles (santé, finance) : dès le démarrage

Options :

• DPO interne : recrutement à temps plein (60-110K€ EU)
• DPO fractionné : 1-2 jours/semaine (1500-2500€/jour)
• DPO externe : prestation packagée 2-8K€/mois

Voir guide complet DPO RGPD.

5. Les 7 erreurs les plus fréquentes

Erreur 1 — Copier-coller une politique générique

La CNIL repère immédiatement les politiques recyclées (mentions inadaptées, finalités inexactes). Personnaliser à votre contexte.

Erreur 2 — Oublier les sous-processeurs

Vous signez un DPA avec votre CRM, mais le CRM utilise lui-même AWS US, qui utilise un sous-processeur Inde. La chaîne entière doit être documentée et les sous-processeurs notifiés au RT.

Erreur 3 — Bandeau cookies “Accept all by default”

Les bandeaux qui acceptent tout par défaut ou rendent le refus difficile sont sanctionnés. Symétrie obligatoire.

Erreur 4 — Pas de procédure de droits

Le test : si une demande d’accès arrive demain, qui la traite, en combien de temps, avec quelles données ? Sans procédure, le délai de 30 jours est manqué.

Erreur 5 — Stocker les CV indéfiniment

Les candidatures non retenues doivent être supprimées sous 6 mois (sauf consentement explicite pour conservation). Beaucoup de PME conservent des années.

Erreur 6 — Vidéosurveillance non déclarée

Caméras dans les locaux : nécessitent une AIPD si surveillance constante des salariés, signalétique aux entrées, durée de conservation limitée (typiquement 30 jours).

Erreur 7 — Croire que ne pas être contrôlé = ne pas être en risque

La probabilité d’un contrôle CNIL est faible (1-3% par an pour une PME), mais le coût d’un contrôle non préparé est élevé (50K-500K€ + temps). L’assurance vaut largement la prime.

6. Outillage minimal recommandé

Pour une startup 5-50 salariés :

• CMP cookies : Axeptio, Didomi, Tarteaucitron
• Outil registre + DPA : Legiscope, Vanta (orienté SOC2 mais couvre GDPR), Drata
• Formation : MOOC CNIL (gratuit), courses spécialisées (~500€/personne)
• Documentation interne : Notion, Confluence (selon stack)

Legiscope est calibré pour les PME — automatise le registre via lecture des DPA par IA, génère les politiques adaptées, audit les bandeaux cookies, gère les demandes des personnes. Pour 5-15 traitements et 20-30 sous-traitants, le ROI est de 80-200 heures par an en gestion conformité.

Pour aller plus loin : data privacy compliance guide, registre des traitements RGPD, modèle DPA Article 28, bandeau cookies CNIL.

Conclusion

La conformité RGPD pour une startup ou PME n’est pas un projet de 12 mois — c’est un sprint de 30 jours sur les 5 fondamentaux, suivi d’une routine de maintenance. Le piège est de viser la perfection avant les bases : un programme à 80% qui couvre les 5 obligations matérielles vaut infiniment mieux qu’un programme à 20% qui se concentre sur des AIPD complexes en oubliant le registre. Commencer simple, ajuster en marchant, documenter au fur et à mesure.

FAQ

Une startup de 10 salariés doit-elle être conforme RGPD ?

Oui. Le RGPD s’applique à toute organisation qui traite des données personnelles, sans seuil de salariés. L’exemption sur le registre des traitements (article 30 §5) ne s’applique en pratique que dans des cas très restreints (traitement occasionnel, sans données sensibles, sans risque).

Combien coûte la conformité RGPD pour une PME ?

5 000 à 20 000 € pour la mise en conformité initiale, avec un récurrent de 3 000 à 15 000 € par an pour la maintenance. Les coûts varient selon la taille (10 vs 50 salariés), le secteur (B2B SaaS vs santé), et le degré d’externalisation.

Faut-il désigner un DPO dans une startup ?

Pas systématiquement. Le DPO n’est légalement obligatoire que pour les autorités publiques, les organisations faisant de la surveillance à grande échelle, ou traitant des données sensibles à grande échelle. Pour une startup SaaS B2B classique, le DPO est facultatif.

Comment gérer les sous-traitants américains après Schrems II ?

Pour les sous-traitants américains certifiés EU-US Data Privacy Framework (Mailchimp, Stripe, AWS, Google, etc.) : transfert libre, vérifier la certification active. Pour les autres : SCCs + analyse d’impact transfert (TIA).

Combien de temps faut-il pour devenir conforme ?

30 jours pour une startup de 10-50 salariés avec un focus sur les 5 fondamentaux : registre, politique, DPA, droits, cookies. 60-90 jours pour une PME plus complexe (RH, secteur réglementé). Au-delà, c’est un programme de transformation, pas un sprint.