Skip to content
Obligations RGPD calendar_today Mis à jour: 7 mai 2026 schedule 9 min de lecture

Checklist RGPD pour les PME : 3 parties, 13 etapes

verified Dernière révision 7 mai 2026 · l'équipe juridique GDPRWise

Une checklist RGPD pratique et cochable pour les PME. Treize points repartis en trois blocs de priorite, avec modeles et outils, sans jargon juridique.

summarize Points clés
  • check_circle Treize verifications concretes, dans l'ordre de priorite ; les cinq premieres sont la base que tout regulateur regardera
  • check_circle La plupart des PME mettent les bases en place en deux a quatre semaines a quelques heures par semaine
  • check_circle Pas besoin de DPO formel, de DPIA ou de consultant externe pour les bases ; il faut de la discipline et les bons modeles
  • check_circle La conformite est une operation continue, pas un projet ponctuel ; les trois dernieres etapes la maintiennent vivante

Comment utiliser cette checklist

Voici une checklist en treize etapes qu’un dirigeant de PME ou un office manager peut parcourir sans formation juridique. Les points sont ordonnes par priorite. Les cinq premiers couvrent les bases que tout regulateur regardera. Les quatre suivants sont les essentiels operationnels. Les quatre derniers maintiennent votre posture de conformite vivante dans le temps.

Vous n’avez pas besoin de tout faire en meme temps. La plupart des PME bouclent les cinq premieres etapes en deux a quatre semaines a raison de quelques heures par semaine, puis ajoutent le reste.

Partie 1 - Les bases (etapes 1 a 5)

Etape 1: Designer un coordinateur vie privee

La verification: une personne nommee dans votre organisation est responsable du RGPD.

Ce n’est pas un role formel de DPO ; ce dernier est reserve aux organisations qui surveillent a grande echelle ou traitent des categories particulieres a grande echelle. Pour la plupart des PME, “coordinateur vie privee” est le bon titre : meme point de contact unique, pas d’obligations formelles, pas d’exigences d’independance.

Le role du coordinateur : tenir cette checklist a jour, recevoir les questions et reclamations entrantes, et etre l’interlocuteur de votre autorite de controle si quelque chose tourne mal.

  • Un coordinateur vie privee est designe et joignable sur une boite dediee (par exemple privacy@votreentreprise.com).
  • Le role est documente et connu du reste de l’equipe.

Avez-vous reellement besoin d’un DPO ? Lisez DPO : qu’est-ce qu’un delegue a la protection des donnees et en faut-il un ?.

Etape 2: Tenir un registre des traitements RGPD

La verification: un document unique listant chaque activite dans laquelle vous traitez des donnees personnelles.

C’est la premiere chose que votre autorite de controle demandera si elle frappe a votre porte. C’est aussi votre propre inventaire central : si vous ne savez pas quelles donnees vous traitez, vous ne pouvez rien respecter d’autre dans cette liste.

Pour chaque activite de traitement, consignez :

  • L’objectif (pourquoi vous traitez les donnees)
  • La base legale (consentement, contrat, obligation legale, interets vitaux, mission d’interet public, ou interets legitimes)
  • Les categories de donnees (noms, e-mails, financier, sante, etc.)
  • Les personnes concernees (clients, salaries, fournisseurs, prospects)
  • Les destinataires / tiers (votre comptable, fournisseur CRM, hebergement, etc.)
  • La duree de conservation
  • Les mesures de securite

Tenez des sections separees pour les activites ou vous etes responsable de traitement et celles ou vous etes sous-traitant pour quelqu’un d’autre. Lisez Registre des activites de traitement pour la structure complete.

  • Le registre des traitements existe et liste toute activite touchant des donnees personnelles.
  • Les activites de responsable et de sous-traitant sont consignees separement.
  • La date de revue annuelle est dans l’agenda.

Etape 3: Une politique de confidentialite client adaptee

La verification: une politique de confidentialite sur votre site, redigee specifiquement pour votre activite.

Le RGPD est explicite : du boilerplate vague, des politiques copiees-collees ou du jargon legal qui ne reflete pas votre realite ne sont pas conformes. La politique doit decrire vos processus, vos bases legales, vos sous-traitants.

Une politique conforme pour une PME couvre :

  1. Qui vous etes (responsable, e-mail de contact, adresse).
  2. Les activites de traitement que vous menez (a haut niveau, en miroir de votre registre).
  3. La base legale pour chacune.
  4. Les categories de donnees et les destinataires (y compris les plateformes comme Mailchimp, Stripe, Google Workspace).
  5. Les durees de conservation.
  6. Les transferts internationaux, le cas echeant.
  7. Les droits des personnes concernees et comment les exercer.
  8. La voie de reclamation aupres de votre autorite de controle.

Publiez la politique comme lien de premier niveau dans le pied de page de chaque page du site. Ne l’enterrez pas dans des conditions generales.

Ne copiez pas une politique d’un autre site. Lisez Rediger une politique de confidentialite pour le guide complet.

  • La politique de confidentialite client est publiee.
  • Liee depuis le pied de page de toutes les pages.
  • Reflete ce que vous faites reellement (pas de boilerplate).
  • Inclut les droits des personnes concernees et la voie de reclamation.

Etape 4: Signer un contrat de sous-traitance avec chaque sous-traitant

La verification: un contrat de sous-traitance signe avec chaque tiers externe qui traite des donnees personnelles pour votre compte.

Sans contrat de sous-traitance, vous n’avez pas le droit d’envoyer de donnees personnelles a un sous-traitant. C’est vrai meme si le sous-traitant est un nom connu comme Google ou Microsoft : c’est votre obligation d’avoir le contrat en place.

Sous-traitants typiques d’une PME :

  • Plateforme e-mail et marketing (Mailchimp, ActiveCampaign, Brevo, etc.)
  • CRM (HubSpot, Pipedrive, Salesforce, etc.)
  • Stockage cloud et bureautique (Google Workspace, Microsoft 365)
  • Hebergement web et CDN
  • Prestataire de paiement (Stripe, Mollie, Adyen)
  • Paie et comptabilite
  • Outils de support client

La plupart des grands SaaS publient un contrat standard que vous pouvez signer electroniquement. Pour les fournisseurs plus petits, envoyez votre propre modele.

description

Modele : contrat de sous-traitance (DPA)

Un contrat de sous-traitance pret a l’emploi, a envoyer a tout sous-traitant qui n’en a pas le sien.

Voir le modele arrow_forward
  • Chaque sous-traitant de votre registre a un contrat signe au dossier.
  • Les contrats sont stockes centralement et retrouvables.

Etape 5: Mettre en place le consentement cookies (si vous deposez des cookies)

La verification: une banniere cookies qui demande le consentement avant tout cookie non-essentiel, et qui propose un vrai bouton de refus.

Les cookies qui peuvent identifier un visiteur traitent des donnees personnelles. Sous le RGPD plus la directive ePrivacy, le consentement est requis avant le depot, et il doit etre eclaire, libre et aussi facile a refuser qu’a accepter.

Erreurs courantes que les regulateurs sanctionnent :

  • Cookies deposes au chargement de la page, avant la banniere.
  • Bouton “Accepter” affiche en evidence tandis que “Refuser” est cache ou plus difficile.
  • Cases pre-cochees.
  • “En utilisant ce site, vous acceptez les cookies” : ce n’est pas un consentement, c’est une mention.

Testez votre propre site : ouvrez-le en navigation privee, refusez les cookies, et regardez la liste des cookies dans les outils developpeur. S’il y a quelque chose de non-essentiel, votre flux de consentement est casse.

Une option plus calme : ne pas utiliser de cookies non-essentiels du tout. Beaucoup de PME fonctionnent tres bien sans tracking tiers.

Lisez Cookies et consentement : ce qu’il faut savoir pour le panorama complet.

description

Modele : audit des cookies

Modele tableur pour inventorier chaque cookie de votre site, le classer (essentiel / fonctionnel / marketing / tracking) et decider lesquels garder.

Voir le modele arrow_forward
  • Aucun cookie non-essentiel n’est depose avant le consentement.
  • Le refus est aussi visible que l’acceptation.
  • L’inventaire des cookies existe, avec finalite et duree par cookie.

Partie 2 - Operations (etapes 6 a 9)

Etape 6: Operationnaliser les droits des personnes concernees

La verification: une procedure documentee pour traiter les demandes de droits, avec modeles et registre.

Les personnes dont vous traitez les donnees peuvent demander l’acces, la rectification, l’effacement, la limitation, la portabilite, ou s’opposer au traitement. Vous avez un mois pour repondre (extensible a trois mois pour les cas complexes). Manquer le delai est un favori des regulateurs en matiere de sanctions.

Ce qu’il vous faut :

  • Une boite surveillee ou les demandes arrivent (souvent l’adresse privacy@ de l’etape 1).
  • Un processus interne documente : qui trie, qui execute, qui valide.
  • Des modeles pour les reponses standard.
  • Un registre permettant de prouver que vous avez traite les demandes precedentes dans les delais.

Lisez Droits des personnes concernees RGPD pour les neuf droits.

description

Modele : reponse a une demande d'acces

Reponses types pour les demandes d’acces, de rectification et d’effacement, plus un registre des demandes.

Voir le modele arrow_forward
  • La boite vie privee est surveillee.
  • La procedure de traitement des demandes est documentee.
  • Les modeles de reponse et le registre sont prets.

Etape 7: Procedure de violation et notification sous 72 heures

La verification: une procedure documentee qui vous mene de “quelque chose a mal tourne” a une notification au regulateur en moins de 72 heures.

Une violation, ce n’est pas seulement un hacker. Cela inclut un collegue qui envoie des donnees clients au mauvais destinataire, une cle USB perdue, un portable vole, une suppression accidentelle, ou une sauvegarde mal configuree qui fuit des enregistrements.

Ce qu’il vous faut :

  • Un registre interne des incidents (chaque incident, qu’il soit notifiable ou non).
  • Un test clair : ce qui doit etre notifie au regulateur (probable risque pour les droits et libertes des personnes) et ce qui doit etre notifie aux personnes concernees (risque eleve).
  • Les coordonnees de votre autorite de controle pre-remplies dans la procedure : pas de panique a l’heure zero.
  • Des modeles de notification prets.

Lisez Violation de donnees personnelles : que faire.

description

Modele : notification de violation

Formulaire de notification pour l’autorite de controle et modele de notification aux personnes concernees.

Voir le modele arrow_forward
  • La procedure de violation est documentee et connue de l’equipe.
  • Le registre interne des violations existe.
  • Les modeles de notification sont pre-remplis avec les coordonnees de votre autorite de controle.

Etape 8: Marketing direct - source et opt-out

La verification: chaque message de marketing direct (e-mail ou SMS) inclut un opt-out fonctionnel, et vous pouvez prouver d’ou provient la donnee du destinataire.

Le RGPD plus l’ePrivacy ajoutent deux exigences que les PME oublient souvent :

  1. Mention de la source. Vous devez pouvoir dire au destinataire d’ou viennent ses donnees personnelles (inscription sur votre site, recuperation depuis une liste publique, achat aupres d’un partenaire, etc.). Cela implique un processus pour capturer la source a chaque import et chaque inscription.
  2. Opt-out dans chaque message. Un lien “se desabonner” fonctionnel dans chaque e-mail de marketing direct. La plupart des plateformes (Mailchimp, Brevo, etc.) le gerent par defaut, mais verifiez.

Une fois desabonne, le destinataire ne doit plus recevoir de messages similaires, definitivement. Le re-inscrire plus tard parce qu’il est entre dans un autre tunnel est une amende.

Lisez Marketing direct sous le RGPD.

  • Chaque e-mail marketing a un desabonnement en un clic.
  • La source est capturee pour chaque entree de liste.
  • La liste de suppression est respectee dans tous les outils (CRM, plateforme marketing, audiences publicitaires).

Etape 9: Une politique de confidentialite distincte pour le personnel

La verification: une politique de confidentialite dediee aux salaries et contractants, separee de celle des clients.

Les donnees que vous traitez sur le personnel (paie, performance, maladie, evaluations, suivi du temps) sont tres differentes des donnees clients. C’est aussi la source de la plupart des plaintes RGPD lorsqu’une relation de travail se termine. Une politique personnel dediee vous protege.

Ce qu’elle doit contenir :

  • Les systemes RH et ce qu’ils contiennent.
  • La performance, la maladie, les evaluations.
  • Le monitoring (mail, internet, acces aux locaux, cameras) et sur quelle base legale.
  • La duree de conservation : combien de temps apres le depart vous gardez le dossier.
  • Leurs droits et comment les exercer.

Lisez Politique de confidentialite des salaries : ce qu’il faut leur dire.

  • La politique personnel existe et est remise a chaque nouvelle recrue.
  • Liee ou jointe au contrat de travail.
  • Revue annuellement.

Partie 3 - Vigilance accrue (etapes 10 a 13)

Etape 10: Verification des categories particulieres

La verification: vous avez explicitement identifie si vous traitez des categories particulieres de donnees, et si oui, sur quelle base legale.

L’article 9 du RGPD interdit le traitement de ce qui suit, sauf si l’une des neuf exceptions specifiques s’applique :

  • Origine raciale ou ethnique
  • Opinions politiques
  • Convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Donnees genetiques ou biometriques
  • Donnees de sante
  • Donnees concernant la vie sexuelle ou l’orientation

La plupart des PME ne traitent rien de cela intentionnellement. Mais vous y touchez peut-etre sans le savoir : un arret maladie (sante), une preference alimentaire pour un evenement (potentiellement religion), une taille d’uniforme (potentiellement sante), un CV avec photo (potentiellement origine).

Parcourez votre registre des traitements et marquez tout ce qui touche la liste ci-dessus. Pour chaque, documentez l’exception de l’article 9 (le plus souvent : consentement explicite, obligation de droit du travail, ou interets vitaux). Si vous ne trouvez pas de base, arretez le traitement.

  • Chaque entree du registre des traitements est verifiee pour les categories particulieres.
  • Lorsqu’elles sont presentes, l’exception de l’article 9 est documentee.

Etape 11: Revue des pratiques de securite

La verification: les mesures de securite associees a chaque systeme de votre registre sont documentees et adequates.

Pas de vie privee sans securite. L’autorite de controle et toute sanction evaluent “approprie” relativement a la sensibilite des donnees, l’etat de l’art et le cout. Une PME n’a donc pas besoin d’une securite niveau bancaire, mais de basiques defendables.

Parcourez votre registre, systeme par systeme. Pour chacun :

Securite physique

  • Pour les SaaS hebergees dans le cloud : appuyez-vous sur les certifications du fournisseur (ISO 27001, SOC 2). Conservez la preuve dans votre dossier DPA.
  • Pour les equipements auto-heberges : verrouillez la salle serveur, le classeur, le bureau. Lisez Securite des documents papier pour ce qui n’est pas a l’ecran.

Securite des systemes et logiciels

  • Derniers correctifs de securite installes.
  • Mots de passe robustes imposes ; double authentification la ou le systeme la prend en charge.
  • Acces sur la base du besoin de connaitre ; revue semestrielle des acces.
  • Lisez Controle d’acces periodique.

Securite des donnees

Securite des fournisseurs

  • DPA au dossier (couvert a l’etape 4).

  • Pour les sous-traitants tres sensibles : liste des sous-sous-traitants revue.

  • Chaque systeme du registre a une revue de securite documentee.

  • Les sauvegardes sont testees au moins une fois par an avec une vraie restauration.

  • Les revues d’acces sont planifiees.

Etape 12: Sensibilisation a la vie privee et code de conduite

La verification: chaque membre du personnel qui manipule des donnees personnelles a suivi une sensibilisation a la vie privee dans les douze derniers mois.

Le facteur humain est la source la plus constante de violations : phishing, BCC contre CC, pieces jointes au mauvais destinataire, mots de passe faibles, comptes partages, portables non chiffres rentres a la maison. Aucun de ces cas n’est un echec technique. Ce sont des echecs de formation.

Un programme defendable pour une PME :

  • Session annuelle de sensibilisation vie privee et securite pour tout le personnel (en ligne, 30 a 60 minutes).
  • Session d’onboarding pour les nouveaux avant qu’ils ne touchent aux donnees personnelles.
  • Un code de conduite signe par chacun, couvrant la vie privee, la securite et le comportement ethique.

Lisez Le facteur humain dans les violations de donnees et Vie privee et ethique : code de conduite.

  • La formation est donnee chaque annee et a l’onboarding.
  • La participation est suivie et conservee.
  • Le code de conduite est signe par chaque membre du personnel.

Etape 13: Aspects internationaux et revue annuelle

La verification (le cas echeant): si vous servez des clients UE depuis l’exterieur de l’UE, ou operez dans plusieurs pays UE, les specificites transfrontalieres sont reglees.

Vous etes hors UE mais y vendez: l’article 27 impose un representant base dans l’UE. La voie la plus economique est un service commercial de representant article 27.

Vous operez dans plusieurs pays UE: identifiez votre autorite chef de file, c’est celle du pays ou se trouve votre etablissement principal (ou les decisions principales sur le traitement). Cette autorite mene tout dossier transfrontalier sous le mecanisme du guichet unique.

Transferts transfrontaliers: si vous transferez des donnees personnelles hors UE/EEE, documentez le mecanisme de transfert (decision d’adequation, Clauses Contractuelles Types, Regles d’Entreprise Contraignantes) pour chaque systeme. Lisez Pays tiers approuves pour le transfert hors UE.

La revue annuelle: une fois par an, parcourez chaque verification de cet article et confirmez qu’elle est encore a jour, exacte et complete. De nouveaux outils, de nouveaux salaries, de nouveaux processus et de nouveaux sous-traitants se glissent au fil de l’annee ; la revue annuelle est ce qui maintient la checklist honnete plutot qu’aspirante.

Faites particulierement attention a ces quatre items, ou la derive est la plus frequente :

  • Registre des traitements re-parcouru - chaque entree verifiee, nouvelles activites ajoutees, anciennes retirees.
  • Chaque politique liee est encore exacte - politique client, politique personnel, politique cookies, procedures internes.
  • Revue de securite refaite par systeme - correctifs, revue des acces, test de restauration, etat du chiffrement.
  • Formation du personnel rafraichie - tous ont fait la session annuelle ; les nouveaux sont formes ; code de conduite signe au dossier.

Et les specificites transfrontalieres :

  • Representant article 27 en place si vous vendez vers l’UE depuis hors UE.
  • Autorite chef de file identifiee pour les operations transfrontalieres.
  • Transferts internationaux documentes par systeme.
  • Date de la prochaine revue annuelle dans l’agenda.

Checklist principale (version compacte)

Imprimez cette page ou copiez ce qui suit dans votre tracker.

Documentation

  • Coordinateur vie privee designe, boite privacy@ active
  • Registre des traitements complet
  • Politique de confidentialite client publiee, lien dans le pied de page
  • Politique personnel remise a chaque recrue
  • DPA signes avec chaque sous-traitant
  • Inventaire cookies et flux de consentement valides

Operations

  • Procedure et modeles de demandes de droits prets
  • Procedure de violation et modeles de notification 72h prets
  • Marketing direct : source capturee, opt-out fonctionnel, suppression respectee
  • Categories particulieres identifiees et legalement justifiees

Securite et personnes

  • Revue de securite par systeme documentee
  • Sauvegardes testees par vraie restauration
  • Formation annuelle vie privee et securite suivie par chacun
  • Code de conduite signe
  • Representant article 27 si hors UE
  • Date de revue annuelle dans l’agenda

Mythes courants et ce dont vous n’avez pas reellement besoin

lightbulb Ne vous laissez pas avoir

Le RGPD est souvent presente comme plus lourd qu’il ne l’est pour une PME. Une partie de ce que vous entendez est mythe, et une partie de ce qu’on vous vend n’est pas reellement obligatoire. La liste ci-dessous tranche les deux.

Mythes courants en PME

  • “Le RGPD ne concerne que les grandes entreprises.” Il s’applique a quiconque traite des donnees personnelles, quelle que soit la taille. Lire pourquoi.

  • “Les petites entreprises ne sont jamais sanctionnees.” Si, et les amendes s’adaptent a ce qu’une PME peut payer. Lire la suite.

  • “Le RGPD c’est juste les cookies.” Les cookies sont une part ; les obligations couvrent tout traitement de donnees personnelles. Lire la suite.

  • “Je n’ai pas de donnees personnelles.” Si vous avez des clients, du personnel ou des fournisseurs, vous en avez quasi certainement. Lire la suite.

  • “Les autorites ne s’interessent pas a moi.” La plupart des controles partent d’une plainte d’un individu, pas d’un audit proactif. Lire la suite.

Ce que vous pouvez sauter (en PME)

  • Un DPO formel - sauf si vous faites de la surveillance a grande echelle ou du traitement a grande echelle de categories particulieres. Le coordinateur vie privee de l’etape 1 couvre le reste.

  • Une DPIA pour les traitements de routine - elle est requise pour les nouveaux traitements a haut risque (surveillance systematique a grande echelle, categories particulieres a grande echelle, decisions automatisees a effet juridique).

  • Un consultant externe couteux - les bases sont gerables en interne avec les bons modeles et outils.

  • Un avocat specialise sous contrat - le site de votre autorite de controle propose des guides PME, et une revue legale ponctuelle en fin d’annee suffit largement.

auto_awesome Boucler la checklist en 15 minutes ?

GDPRWise scanne votre site et remplit automatiquement la majeure partie de cette checklist : registre des traitements, politique de confidentialite, audit cookies et liste d'actions adaptee.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.