DS
Dupré Systems
← Toutes les actualités
Réglementation4 min de lecture

RGPD : ce que la CNIL vérifie vraiment lors d'un contrôle de PME

La CNIL ne contrôle pas uniquement les grandes entreprises. Ce qui déclenche une vérification, ce qu'on examine, et les 3 points à mettre en ordre en priorité.

Le RGPD est entré en vigueur en 2018. Depuis, la plupart des PME ont fait le minimum visible — bandeau cookies, mentions légales, formulaire de contact mis à jour — et estimé que ça suffisait. Dans la majorité des cas, ça ne suffit pas.

La CNIL contrôle aussi les PME

Idée reçue : la CNIL s'intéresse aux grandes plateformes, aux réseaux sociaux, aux opérateurs télécom. Pas aux PME.

La réalité : la CNIL reçoit environ 15 000 plaintes par an, en grande partie déposées par des particuliers. Ces plaintes peuvent viser n'importe quelle entreprise, quelle que soit sa taille. Une ancienne employée qui estime que ses données n'ont pas été supprimées. Un client qui n'arrive pas à exercer son droit d'accès. Une violation de données non déclarée.

Ce qui déclenche un contrôle :

  • Une plainte d'un particulier
  • Une violation de données signalée (ou pas signalée, justement)
  • Un contrôle sectoriel (la CNIL balaye parfois un secteur entier — e-commerce, immobilier, santé...)
  • Un signalement d'une autorité tierce

Ce que les contrôleurs examinent concrètement

Les cookies et traceurs Est-ce que le bandeau cookies est conforme ? Il ne doit pas y avoir de cases pré-cochées, le refus doit être aussi simple que l'acceptation, et seuls les cookies nécessaires peuvent être déposés avant consentement.

Le registre des traitements Toute entreprise traitant des données personnelles doit tenir un registre documentant : quelles données, pourquoi, pour combien de temps, qui y a accès, et où elles sont stockées. C'est souvent inexistant.

Les durées de conservation Combien de temps conservez-vous les données de vos clients ? De vos prospects ? De vos ex-employés ? La règle est simple : pas plus longtemps que nécessaire. Dans les faits, beaucoup de PME n'ont aucune politique de suppression.

Les contrats avec les sous-traitants Vous utilisez un CRM, un outil d'emailing, une plateforme RH ? Chacun de ces prestataires est un "sous-traitant" au sens RGPD. Un contrat ou accord de traitement des données doit exister avec chacun.

La sécurité des données Des mesures techniques adaptées sont-elles en place ? Chiffrement, contrôle d'accès, politique de mot de passe, sauvegardes. La CNIL ne demande pas la perfection — elle évalue si vous avez réfléchi à la sécurité et pris des mesures proportionnées.

La gestion des violations En cas de fuite ou d'incident, vous avez 72 heures pour notifier la CNIL. Savez-vous comment déclencher cette procédure ? Qui dans votre entreprise est responsable ?

Les sanctions : pas juste un avertissement symbolique

La CNIL dispose d'un pouvoir de sanction gradué :

  1. Rappel à l'ordre (mise en demeure de se conformer)
  2. Injonction (obligation de modifier des pratiques sous délai)
  3. Amende (jusqu'à 20 millions d'euros ou 4% du CA mondial — mais pour les PME, les montants sont proportionnés)

Des PME ont été sanctionnées à des niveaux de 75 000€, 100 000€, 150 000€ pour des manquements structurels. L'amende n'est pas systématique, mais elle est possible dès lors que les manquements sont avérés et que l'entreprise n'a pas coopéré.

3 priorités à mettre en ordre maintenant

1. Tenir un registre des traitements Un fichier Excel ou Notion suffit. Pour chaque traitement (gestion clients, RH, facturation, emailing...) : finalité, données concernées, durée de conservation, sous-traitants impliqués. Ce document est la première chose demandée lors d'un contrôle.

2. Vérifier votre bandeau cookies Beaucoup de bandeaux sont non conformes. Le test rapide : cliquez sur "Refuser tout" — si le bouton n'existe pas ou est plus difficile à trouver qu'Accepter, vous n'êtes pas conforme.

3. Contractualiser avec vos prestataires SaaS Vérifiez que chaque outil cloud que vous utilisez dispose d'un accord de traitement des données (DPA) disponible dans ses CGU ou sur demande. La plupart des grands éditeurs le proposent automatiquement.


Chez Dupré Systems, l'audit de conformité RGPD fait partie de l'offre Sentinelle PME : un scan en ligne gratuit suivi d'un rapport de conformité complet et d'un débrief personnalisé. Lancer un scan gratuit →

Dupré Systems

Vous vous posez des questions pour votre PME ?

Un premier échange de trente minutes pour cerner votre situation — gratuit, sans engagement.