Minimum RGPD : la transparence d'abord, le reste viendra ensuite

L’idee unique qui rend le RGPD comprehensible

Si vous venez de lancer une entreprise et que vous lisez sur le RGPD pour la premiere fois, vous avez probablement retenu une vague impression de paperasse, d’amendes et de bannieres de cookies. C’est surtout du bruit.

Le signal est plus simple. Le RGPD repose sur une idee centrale : soyez transparent avec les personnes sur ce que vous faites de leurs donnees, et ne faites que ce que vous avez annonce. Tout le reste, les registres, les politiques, les accords, les droits, les notifications de violation, est la tuyauterie qui existe pour rendre cette idee reelle.

Si vous interiorisez cela, le minimum devient beaucoup moins intimidant. Pas besoin d’avocat en protection des donnees. Pas besoin de consultant. Pas besoin de DPD. Vous devez etre honnete, par ecrit, envers les personnes dont vous detenez les donnees, et vous devez pouvoir tenir cette promesse quand quelque chose se passe mal.

Cet article vous donne la version la plus reduite et la plus honnete du RGPD pour une entreprise toute neuve. Cinq incontournables ancres dans la transparence, une checklist du jour un, un court guide sur ce qui change selon le type d’entreprise que vous menez, et une carte pour grandir au fil du temps.

Le minimum, en cinq incontournables

Ces cinq points couvrent ce que la transparence exige reellement au jour un. Chacun est quelque chose qu’un regulateur, un client ou un ex-employe en colere peut vous demander de produire, et vous devez pouvoir le produire sans improviser.

1. Sachez quelles donnees vous detenez (trois dossiers fondamentaux)

Vous ne pouvez pas etre transparent sur quelque chose que vous n’avez pas inventorie. Avant d’ecrire une politique de confidentialite ou de signer quoi que ce soit, vous avez besoin d’une reponse honnete a : quelles donnees personnelles entrent dans mon entreprise, pourquoi, et de la part de qui ?

Repartissez en trois dossiers. Chaque dossier est organise autour de processus metier, et les elements de donnees vivent dans les processus qui les utilisent. Cet ordre compte : un processus est ce qui donne aux donnees leur finalite, leur base juridique et leur duree de conservation, donc capturer le processus en premier est ce qui fait que le reste du RGPD se met en place.

1. Dossier Clients. Les processus que vous menez pour trouver, vendre et servir vos clients (onboarding, facturation, support, marketing, gestion de compte), et les donnees touchees par chacun : noms, e-mails, adresses, donnees de facturation, tickets support, donnees de compte.
2. Dossier Personnel. Les processus que vous menez pour recruter, payer et gerer le personnel (recrutement, emploi, paie, arrets maladie, evaluations, suivi du temps, depart), y compris freelances et contractants, et les donnees que chaque processus utilise.
3. Dossier Tiers. Les processus qui touchent des personnes chez vos fournisseurs, partenaires et prospects (achats, gestion fournisseurs, partenariats, prospection), et les donnees personnelles que ces processus contiennent (le comptable du cabinet comptable, le contact client de l’agence, le gestionnaire de compte du fournisseur).

Pour chaque processus, capturez : ce qu’il fait, pourquoi vous le faites (finalite), sur quelle base juridique (consentement, contrat, obligation legale, interet legitime), quels elements de donnees il utilise, combien de temps ils sont conserves, et qui d’autre les voit (votre hebergeur, votre outil d’e-mail, votre comptable).

GDPRWise construit ces trois dossiers pour vous via une configuration guidee qui demarre par les processus et rattache les donnees a partir de la ; vous pouvez aussi le faire sur un tableur si vous preferez. Ce qui compte, c’est que le registre au niveau processus existe avant la politique.

2. Designez un Coordinateur Vie Privee

La transparence RGPD inclut le fait d’etre joignable. Les personnes dont vous detenez les donnees ont le droit de poser des questions, de porter plainte et d’exercer leurs droits (acces, rectification, suppression, portabilite). Ils doivent savoir a qui ecrire, et ce nom appartient a la politique de confidentialite que vous publiez a l’etape 3.

Vous n’avez pas besoin d’un DPD formel. Pour presque toute PME, un Coordinateur Vie Privee suffit : une personne nommee dans l’entreprise qui porte le RGPD. Son role est de tenir les dossiers a jour, traiter les questions vie privee entrantes, et tenir la relation avec l’autorite de controle si quelque chose tourne mal.

Mettez en place privacy@votreentreprise.com et surveillez la boite. Inscrivez le nom du coordinateur et l’adresse dans la politique de confidentialite et le pied de page du site.

3. Publiez une politique de confidentialite sur mesure

La politique de confidentialite est la promesse. Elle dit aux visiteurs, clients et personnel ce que vous faites de leurs donnees, qui les manipule, et ce qu’ils peuvent faire a leur sujet.

Les deux modes d’echec sont aussi frequents l’un que l’autre. Le premier : ne pas avoir de politique du tout. Le second : copier celle d’une autre entreprise et y coller son nom. Un regulateur peut lire votre politique et votre traitement reel, et si les deux ne correspondent pas, la politique est pire qu’inutile.

Une politique conforme reflete vos dossiers : vos activites de traitement, vos bases juridiques, vos sous-traitants, vos durees de conservation, vos coordonnees, et le Coordinateur Vie Privee de l’etape 2. Elle vit a une URL de premier niveau, liee depuis le pied de page de chaque page, jamais enterree dans les conditions generales.

Si vous avez fait les etapes 1 et 2, GDPRWise genere la politique a partir de vos dossiers avec le coordinateur pre-rempli. Lisez Rediger une politique de confidentialite pour la structure complete.

4. Formez le personnel qui manipule des donnees personnelles

Une politique sur le site web n’est efficace que dans la mesure ou les personnes qui l’executent au quotidien le sont. La source la plus constante de violations n’est pas les pirates ; c’est le personnel : clics sur du phishing, erreurs de BCC/CC, pieces jointes envoyees au mauvais destinataire, mots de passe faibles ou partages, ordinateurs portables non chiffres emportes a la maison, donnees clients collees dans la mauvaise fenetre de chat.

Pour une jeune entreprise, le minimum est court et bon marche :

• Toute personne qui manipule des donnees clients, personnel ou tiers suit une session de sensibilisation de base privacy et securite avant de toucher de vraies donnees.
• La meme session est rafraichie chaque annee.
• Les nouveaux arrivants la suivent a l’onboarding.

Pas besoin d’un deploiement LMS formel. Une presentation de 30 a 60 minutes couvrant le phishing, l’hygiene des mots de passe, l’authentification a deux facteurs, le traitement sur des donnees personnelles, et que faire quand quelque chose tourne mal, suffit a ce stade. Tenez un registre des presences pour pouvoir le prouver plus tard.

Lisez Le facteur humain dans les violations de donnees pour la vision complete de pourquoi cela compte et a quoi ressemble un programme defendable.

5. Bien gerer les cookies, ou les eviter

Les cookies qui peuvent identifier un visiteur traitent des donnees personnelles. Sous le RGPD et la directive ePrivacy, vous avez besoin d’un consentement eclaire avant qu’un cookie non essentiel ne soit pose, et refuser doit etre aussi facile qu’accepter.

Le minimum honnete a deux formes acceptables :

• Eviter completement les cookies non essentiels. Pas d’analytique tierce avec cookies, pas de pixels marketing, pas d’embeds qui deposent des trackers au chargement. Pas de banniere, pas de plateforme de consentement, pas de cout d’audit. Pour une nouvelle entreprise, c’est souvent le choix le plus malin. Lisez Alternatives analytics respectueuses de la vie privee.
• Mettre en place un vrai flux de consentement. Rien ne se declenche avant le consentement, Refuser est aussi visible qu’Accepter, pas de cases pre-cochees, pas de dark patterns. Lisez Cookies et consentement : ce qu’il faut savoir.

La forme inacceptable : des cookies qui se declenchent au chargement, une banniere avec seulement Accepter, ou la mention “en utilisant ce site vous acceptez les cookies”. Les regulateurs sanctionnent les trois regulierement.

”Mais je gere une …” — minimum par type d’entreprise

Les cinq incontournables sont universels. Les pieges different selon ce que vous vendez.

Startup SaaS. Vous etes sous-traitant pour les donnees de vos clients et responsable de traitement pour vos propres utilisateurs. Cela implique des accords a double sens : vous signez des accords de sous-traitance avec vos fournisseurs (cote responsable vers sous-traitant), et vos clients vous demanderont de signer leur accord (cote sous-traitant vers sous-traitant ulterieur). Publiez un accord public sur votre site ou dans vos conditions. Soyez clair sur votre region d’hebergement (UE versus US compte pour les acheteurs entreprise). Maintenez une liste de sous-traitants ulterieurs et notifiez les clients en cas de changement.

Boutique en ligne ou e-commerce. Votre stack trafic-et-conversion est la zone dangereuse : tag managers, pixels publicitaires, trackers d’abandon de panier, moteurs de recommandation et outils anti-fraude posent tous des cookies et transmettent des donnees a des tiers. Auditez chaque script. Le consentement marketing (newsletter, retargeting) est une base distincte de la commande elle-meme ; capturez chaque consentement explicitement. Votre politique de conservation doit couvrir l’historique des commandes, les obligations comptables et les durees de garantie, qui s’entrechoquent souvent ; documentez la plus longue duree applicable par categorie de donnees.

Services B2B, conseil, expertise comptable, tenue de comptes. La plupart de vos donnees concernent les personnes des autres : les clients, employes et fournisseurs de votre propre client. Cela fait de vous un sous-traitant pour presque tout ce que vous touchez. Votre minimum est plus lourd en accords de sous-traitance (un avec chaque client, pas seulement avec chaque fournisseur), et en controle d’acces (quel collaborateur voit quel dossier client). Les experts-comptables et teneurs de livres ont aussi une obligation legale de conservation qui chevauche les durees RGPD ; documentez la base (obligation legale) pour cette longue conservation, et ne la laissez pas deborder vers d’autres finalites.

Independant ou freelance. Le RGPD s’applique meme sans employes et avec un seul client. Le minimum est le meme cinq etapes mais plus leger. Vos trois dossiers peuvent tenir sur une page chacun. Votre politique de confidentialite peut etre courte. Vos accords de sous-traitance sont surtout les modeles standards de vos fournisseurs SaaS. Le piege : ne stockez pas les donnees clients dans des espaces cloud personnels ou un e-mail personnel ; une separation propre entre comptes prives et professionnels est le controle de securite le moins cher dont vous disposiez.

Agence marketing ou design. Vous etes souvent sous-traitant et votre client est responsable de traitement, ce qui inverse qui repond aux demandes d’exercice de droits. Vos contrats clients doivent le rendre explicite. Les outils du metier (Figma, Canva, Mailchimp, plateformes publicitaires) necessitent chacun un accord de sous-traitance. Les bibliotheques d’actifs et les vieux dossiers de projet sont des passifs de conservation silencieux ; planifiez la suppression en fin de mission.

La checklist de fondation du jour un

Imprimez ceci ou collez-le dans votre suivi. Si chaque case ci-dessous est cochee, vous avez un minimum RGPD honnete et defendable.

Connaitre vos donnees

• Dossier Clients complet (processus avec elements de donnees, finalite, base juridique, conservation, destinataires)
• Dossier Personnel complet (meme si c’est juste vous)
• Dossier Tiers complet (fournisseurs, partenaires, prospects)

Etre joignable

• Coordinateur Vie Privee designe en interne
• Boite privacy@votreentreprise.com active et surveillee
• Role du coordinateur documente et connu de l’equipe

En informer les personnes

• Politique de confidentialite sur mesure publiee
• Coordinateur Vie Privee nomme dans la politique
• Liee depuis le pied de page de chaque page
• Reflete les dossiers, pas de boilerplate
• Inclut les droits des personnes et la voie de plainte vers l’autorite de controle

Former l’equipe

• Toute personne manipulant des donnees personnelles a suivi une session de sensibilisation privacy et securite
• Presences suivies et conservees
• Rafraichissement annuel et onboarding planifies

Cookies

• Soit : pas de cookies non essentiels, verifie en navigation privee avec dev-tools ouverts
• Soit : flux de consentement valide (rien avant consentement, Refuser aussi visible qu’Accepter, pas de cases pre-cochees)

Voila la fondation. Cinq incontournables, seize cases.

Grandir vers plus de conformite a mesure que vous grandissez

Le minimum ci-dessus suffit pour demarrer. Il ne suffit pas pour toujours. A mesure que votre entreprise grandit, votre profil de risque evolue, et quelques etapes supplementaires cessent d’etre optionnelles.

Plus de clients signifie plus de demandes d’exercice de droits, donc une procedure DSAR documentee avec modeles et registre, pas une reponse ad-hoc a chaque fois.

Plus de personnel signifie une politique de confidentialite separee pour le personnel (differente de celle des clients), un code de conduite signe, et la formation de l’etape 4 formalisee en quelque chose de prouvable (feuilles d’emargement, registres de completion, cycle de rafraichissement).

Plus de fournisseurs et partenaires signifie des accords de sous-traitance signes avec chaque partie externe qui traite des donnees personnelles pour votre compte : hebergement, e-mail, CRM, analytique, paiements, comptable, outils de support. La plupart des fournisseurs SaaS publient un accord que vous pouvez signer en deux minutes ; pour les plus petits, envoyez le votre. Une fois que vous en avez quelques-uns, il vous faut aussi un registre qui vous dit lesquels vous avez, lesquels doivent etre renouveles, et quels sous-traitants ulterieurs ont change au dernier trimestre. Lisez Accord de sous-traitance.

Plus de chiffre d’affaires et plus de donnees signifie que vous etes une cible plus grande. Revues de securite annuelles par systeme, vrais tests de restauration de sauvegarde, revues d’acces periodiques (qui peut voir quoi, et en a-t-il encore besoin), et une procedure de violation documentee qui vous mene de “quelque chose s’est mal passe” a une notification au regulateur en moins de 72 heures.

Traitements a plus haut risque (surveillance a grande echelle, donnees sensibles comme la sante ou la biometrie, decisions automatisees avec effet juridique) signifie une Analyse d’Impact sur la Protection des Donnees (AIPD), et eventuellement un DPD formel.

La checklist RGPD complete pour PME couvre les treize etapes de cette echelle de maturite. Traitez cet article comme la fondation ; traitez la checklist comme la destination.

Un mot sur ce dont vous n’avez pas encore besoin

Un DPD formel. Un avocat en protection des donnees en retainer. Une mission de conseil. Une AIPD pour le traitement de routine. Un audit ISO 27001. Un projet d’implementation de six mois.

Ce dont vous avez besoin : un inventaire honnete des donnees que vous detenez, une politique qui le reflete, un Coordinateur Vie Privee nomme, une formation de base pour l’equipe qui manipule des donnees personnelles, et une histoire de cookies propre. Voila le minimum. Demarrez la, grandissez vers le reste.