Minimum RGPD : la transparence d'abord, le reste viendra ensuite

L’idée unique qui rend le RGPD compréhensible

Si vous venez de lancer une entreprise et que vous lisez sur le RGPD pour la première fois, vous avez probablement retenu une vague impression de paperasse, d’amendes et de bannières de cookies. C’est surtout du bruit.

Le signal est plus simple. Le RGPD repose sur une idée centrale : soyez transparent avec les personnes sur ce que vous faites de leurs données, et ne faites que ce que vous avez annoncé. Tout le reste, les registres, les politiques, les accords, les droits, les notifications de violation, est la tuyauterie qui existe pour rendre cette idée réelle.

Si vous intériorisez cela, le minimum devient beaucoup moins intimidant. Pas besoin d’avocat en protection des données. Pas besoin de consultant. Pas besoin de DPD. Vous devez être honnête, par écrit, envers les personnes dont vous détenez les données, et vous devez pouvoir tenir cette promesse quand quelque chose se passe mal.

Cet article vous donne la version la plus réduite et la plus honnête du RGPD pour une entreprise toute neuve. Cinq incontournables ancrés dans la transparence, une checklist du jour un, un court guide sur ce qui change selon le type d’entreprise que vous menez, et une carte pour grandir au fil du temps.

Le minimum, en cinq incontournables

Ces cinq points couvrent ce que la transparence exige réellement au jour un. Chacun est quelque chose qu’un régulateur, un client ou un ex-employé en colère peut vous demander de produire, et vous devez pouvoir le produire sans improviser.

1. Sachez quelles données vous détenez (trois dossiers fondamentaux)

Vous ne pouvez pas être transparent sur quelque chose que vous n’avez pas inventorié. Avant d’écrire une politique de confidentialité ou de signer quoi que ce soit, vous avez besoin d’une réponse honnête à : quelles données personnelles entrent dans mon entreprise, pourquoi, et de la part de qui ?

Répartissez en trois dossiers. Chaque dossier est organisé autour de processus métier, et les éléments de données vivent dans les processus qui les utilisent. Cet ordre compte : un processus est ce qui donne aux données leur finalité, leur base juridique et leur durée de conservation, donc capturer le processus en premier est ce qui fait que le reste du RGPD se met en place.

1. Dossier Clients. Les processus que vous menez pour trouver, vendre et servir vos clients (onboarding, facturation, support, marketing, gestion de compte), et les données touchées par chacun : noms, e-mails, adresses, données de facturation, tickets support, données de compte.
2. Dossier Personnel. Les processus que vous menez pour recruter, payer et gérer le personnel (recrutement, emploi, paie, arrêts maladie, évaluations, suivi du temps, départ), y compris freelances et contractants, et les données que chaque processus utilise.
3. Dossier Tiers. Les processus qui touchent des personnes chez vos fournisseurs, partenaires et prospects (achats, gestion fournisseurs, partenariats, prospection), et les données personnelles que ces processus contiennent (le comptable du cabinet comptable, le contact client de l’agence, le gestionnaire de compte du fournisseur).

Pour chaque processus, capturez : ce qu’il fait, pourquoi vous le faites (finalité), sur quelle base juridique (consentement, contrat, obligation légale, intérêt légitime), quels éléments de données il utilise, combien de temps ils sont conservés, et qui d’autre les voit (votre hébergeur, votre outil d’e-mail, votre comptable).

GDPRWise construit ces trois dossiers pour vous via une configuration guidée qui démarre par les processus et rattache les données à partir de là ; vous pouvez aussi le faire sur un tableur si vous préférez. Ce qui compte, c’est que le registre au niveau processus existe avant la politique.

2. Désignez un Coordinateur Vie Privée

La transparence RGPD inclut le fait d’être joignable. Les personnes dont vous détenez les données ont le droit de poser des questions, de porter plainte et d’exercer leurs droits (accès, rectification, suppression, portabilité). Ils doivent savoir à qui écrire, et ce nom appartient à la politique de confidentialité que vous publiez à l’étape 3.

Vous n’avez pas besoin d’un DPD formel. Pour presque toute PME, un Coordinateur Vie Privée suffit : une personne nommée dans l’entreprise qui porte le RGPD. Son rôle est de tenir les dossiers à jour, traiter les questions vie privée entrantes, et tenir la relation avec l’autorité de contrôle si quelque chose tourne mal.

Mettez en place privacy@votreentreprise.com et surveillez la boîte. Inscrivez le nom du coordinateur et l’adresse dans la politique de confidentialité et le pied de page du site.

3. Publiez une politique de confidentialité sur mesure

La politique de confidentialité est la promesse. Elle dit aux visiteurs, clients et personnel ce que vous faites de leurs données, qui les manipule, et ce qu’ils peuvent faire à leur sujet.

Les deux modes d’échec sont aussi fréquents l’un que l’autre. Le premier : ne pas avoir de politique du tout. Le second : copier celle d’une autre entreprise et y coller son nom. Un régulateur peut lire votre politique et votre traitement réel, et si les deux ne correspondent pas, la politique est pire qu’inutile.

Une politique conforme reflète vos dossiers : vos activités de traitement, vos bases juridiques, vos sous-traitants, vos durées de conservation, vos coordonnées, et le Coordinateur Vie Privée de l’étape 2. Elle vit à une URL de premier niveau, liée depuis le pied de page de chaque page, jamais enterrée dans les conditions générales.

Si vous avez fait les étapes 1 et 2, GDPRWise génère la politique à partir de vos dossiers avec le coordinateur pré-rempli. Lisez Rédiger une politique de confidentialité pour la structure complète.

4. Formez le personnel qui manipule des données personnelles

Une politique sur le site web n’est efficace que dans la mesure où les personnes qui l’exécutent au quotidien le sont. La source la plus constante de violations n’est pas les pirates ; c’est le personnel : clics sur du phishing, erreurs de BCC/CC, pièces jointes envoyées au mauvais destinataire, mots de passe faibles ou partagés, ordinateurs portables non chiffrés emportés à la maison, données clients collées dans la mauvaise fenêtre de chat.

Pour une jeune entreprise, le minimum est court et bon marché :

• Toute personne qui manipule des données clients, personnel ou tiers suit une session de sensibilisation de base privacy et sécurité avant de toucher de vraies données.
• La même session est rafraîchie chaque année.
• Les nouveaux arrivants la suivent à l’onboarding.

Pas besoin d’un déploiement LMS formel. Une présentation de 30 à 60 minutes couvrant le phishing, l’hygiène des mots de passe, l’authentification à deux facteurs, le traitement sur des données personnelles, et que faire quand quelque chose tourne mal, suffit à ce stade. Tenez un registre des présences pour pouvoir le prouver plus tard.

Lisez Le facteur humain dans les violations de données pour la vision complète de pourquoi cela compte et à quoi ressemble un programme défendable.

5. Bien gérer les cookies, ou les éviter

Les cookies qui peuvent identifier un visiteur traitent des données personnelles. Sous le RGPD et la directive ePrivacy, vous avez besoin d’un consentement éclairé avant qu’un cookie non essentiel ne soit posé, et refuser doit être aussi facile qu’accepter.

Le minimum honnête a deux formes acceptables :

• Éviter complètement les cookies non essentiels. Pas d’analytique tierce avec cookies, pas de pixels marketing, pas d’embeds qui déposent des trackers au chargement. Pas de bannière, pas de plateforme de consentement, pas de coût d’audit. Pour une nouvelle entreprise, c’est souvent le choix le plus malin. Lisez Alternatives analytics respectueuses de la vie privée.
• Mettre en place un vrai flux de consentement. Rien ne se déclenche avant le consentement, Refuser est aussi visible qu’Accepter, pas de cases pré-cochées, pas de dark patterns. Lisez Cookies et consentement : ce qu’il faut savoir.

La forme inacceptable : des cookies qui se déclenchent au chargement, une bannière avec seulement Accepter, ou la mention “en utilisant ce site vous acceptez les cookies”. Les régulateurs sanctionnent les trois régulièrement.

”Mais je gère une …” — minimum par type d’entreprise

Les cinq incontournables sont universels. Les pièges diffèrent selon ce que vous vendez.

Startup SaaS. Vous êtes sous-traitant pour les données de vos clients et responsable de traitement pour vos propres utilisateurs. Cela implique des accords à double sens : vous signez des accords de sous-traitance avec vos fournisseurs (côté responsable vers sous-traitant), et vos clients vous demanderont de signer leur accord (côté sous-traitant vers sous-traitant ultérieur). Publiez un accord public sur votre site ou dans vos conditions. Soyez clair sur votre région d’hébergement (UE versus US compte pour les acheteurs entreprise). Maintenez une liste de sous-traitants ultérieurs et notifiez les clients en cas de changement.

Boutique en ligne ou e-commerce. Votre stack trafic-et-conversion est la zone dangereuse : tag managers, pixels publicitaires, trackers d’abandon de panier, moteurs de recommandation et outils anti-fraude posent tous des cookies et transmettent des données à des tiers. Auditez chaque script. Le consentement marketing (newsletter, retargeting) est une base distincte de la commande elle-même ; capturez chaque consentement explicitement. Votre politique de conservation doit couvrir l’historique des commandes, les obligations comptables et les durées de garantie, qui s’entrechoquent souvent ; documentez la plus longue durée applicable par catégorie de données.

Services B2B, conseil, expertise comptable, tenue de comptes. La plupart de vos données concernent les personnes des autres : les clients, employés et fournisseurs de votre propre client. Cela fait de vous un sous-traitant pour presque tout ce que vous touchez. Votre minimum est plus lourd en accords de sous-traitance (un avec chaque client, pas seulement avec chaque fournisseur), et en contrôle d’accès (quel collaborateur voit quel dossier client). Les experts-comptables et teneurs de livres ont aussi une obligation légale de conservation qui chevauche les durées RGPD ; documentez la base (obligation légale) pour cette longue conservation, et ne la laissez pas déborder vers d’autres finalités.

Indépendant ou freelance. Le RGPD s’applique même sans employés et avec un seul client. Le minimum est le même cinq étapes mais plus léger. Vos trois dossiers peuvent tenir sur une page chacun. Votre politique de confidentialité peut être courte. Vos accords de sous-traitance sont surtout les modèles standards de vos fournisseurs SaaS. Le piège : ne stockez pas les données clients dans des espaces cloud personnels ou un e-mail personnel ; une séparation propre entre comptes privés et professionnels est le contrôle de sécurité le moins cher dont vous disposiez.

Agence marketing ou design. Vous êtes souvent sous-traitant et votre client est responsable de traitement, ce qui inverse qui répond aux demandes d’exercice de droits. Vos contrats clients doivent le rendre explicite. Les outils du métier (Figma, Canva, Mailchimp, plateformes publicitaires) nécessitent chacun un accord de sous-traitance. Les bibliothèques d’actifs et les vieux dossiers de projet sont des passifs de conservation silencieux ; planifiez la suppression en fin de mission.

La checklist de fondation du jour un

Imprimez ceci ou collez-le dans votre suivi. Si chaque case ci-dessous est cochée, vous avez un minimum RGPD honnête et défendable.

Connaître vos données

• Dossier Clients complet (processus avec éléments de données, finalité, base juridique, conservation, destinataires)
• Dossier Personnel complet (même si c’est juste vous)
• Dossier Tiers complet (fournisseurs, partenaires, prospects)

Être joignable

• Coordinateur Vie Privée désigné en interne
• Boîte privacy@votreentreprise.com active et surveillée
• Rôle du coordinateur documenté et connu de l’équipe

En informer les personnes

• Politique de confidentialité sur mesure publiée
• Coordinateur Vie Privée nommé dans la politique
• Liée depuis le pied de page de chaque page
• Reflète les dossiers, pas de boilerplate
• Inclut les droits des personnes et la voie de plainte vers l’autorité de contrôle

Former l’équipe

• Toute personne manipulant des données personnelles a suivi une session de sensibilisation privacy et sécurité
• Présences suivies et conservées
• Rafraîchissement annuel et onboarding planifiés

Cookies

• Soit : pas de cookies non essentiels, vérifié en navigation privée avec dev-tools ouverts
• Soit : flux de consentement valide (rien avant consentement, Refuser aussi visible qu’Accepter, pas de cases pré-cochées)

Voilà la fondation. Cinq incontournables, seize cases.

Grandir vers plus de conformité à mesure que vous grandissez

Le minimum ci-dessus suffit pour démarrer. Il ne suffit pas pour toujours. À mesure que votre entreprise grandit, votre profil de risque évolue, et quelques étapes supplémentaires cessent d’être optionnelles.

Plus de clients signifie plus de demandes d’exercice de droits, donc une procédure DSAR documentée avec modèles et registre, pas une réponse ad-hoc à chaque fois.

Plus de personnel signifie une politique de confidentialité séparée pour le personnel (différente de celle des clients), un code de conduite signé, et la formation de l’étape 4 formalisée en quelque chose de prouvable (feuilles d’émargement, registres de completion, cycle de rafraîchissement).

Plus de fournisseurs et partenaires signifie des accords de sous-traitance signés avec chaque partie externe qui traite des données personnelles pour votre compte : hébergement, e-mail, CRM, analytique, paiements, comptable, outils de support. La plupart des fournisseurs SaaS publient un accord que vous pouvez signer en deux minutes ; pour les plus petits, envoyez le vôtre. Une fois que vous en avez quelques-uns, il vous faut aussi un registre qui vous dit lesquels vous avez, lesquels doivent être renouvelés, et quels sous-traitants ultérieurs ont changé au dernier trimestre. Lisez Accord de sous-traitance.

Plus de chiffre d’affaires et plus de données signifie que vous êtes une cible plus grande. Revues de sécurité annuelles par système, vrais tests de restauration de sauvegarde, revues d’accès périodiques (qui peut voir quoi, et en a-t-il encore besoin), et une procédure de violation documentée qui vous mène de “quelque chose s’est mal passé” à une notification au régulateur en moins de 72 heures.

Traitements à plus haut risque (surveillance à grande échelle, données sensibles comme la santé ou la biométrie, décisions automatisées avec effet juridique) signifie une Analyse d’Impact sur la Protection des Données (AIPD), et éventuellement un DPD formel.

La checklist RGPD complète pour PME couvre les treize étapes de cette échelle de maturité. Traitez cet article comme la fondation ; traitez la checklist comme la destination.

Un mot sur ce dont vous n’avez pas encore besoin

Un DPD formel. Un avocat en protection des données en retainer. Une mission de conseil. Une AIPD pour le traitement de routine. Un audit ISO 27001. Un projet d’implémentation de six mois.

Ce dont vous avez besoin : un inventaire honnête des données que vous détenez, une politique qui le reflète, un Coordinateur Vie Privée nommé, une formation de base pour l’équipe qui manipule des données personnelles, et une histoire de cookies propre. Voilà le minimum. Démarrez là, grandissez vers le reste.