La mise en conformité RGPD paraît souvent complexe pour une PME : manque de temps, de ressources juridiques dédiées et d'une méthode claire. Ce guide décompose la démarche en chapitres concrets, actionnables dès aujourd'hui.
Suivez-les dans l'ordre pour bâtir un socle de conformité solide, sans vous éparpiller. Chaque chapitre s'accompagne d'un livrable que vous retrouverez dans le PDF téléchargeable : modèles, checklists et tableaux prêts à l'emploi.
Chapitre 01 — Cartographier vos traitements
Tout commence par un inventaire.
Un « traitement » de données, c'est toute opération portant sur des données personnelles : collecter, stocker, consulter, transmettre, supprimer. Avant de documenter quoi que ce soit, il faut savoir ce que vous faites réellement des données.
Les questions à se poser pour chaque traitement
- Quelles données collectez-vous (identité, contact, paiement, RH…) ?
- Pour quelle finalité (gestion clients, paie, prospection…) ?
- Où sont-elles stockées et quels outils/prestataires y ont accès ?
- Combien de temps les conservez-vous ?
Cette cartographie est la fondation de toute la démarche : sans elle, impossible de prioriser les risques ni de remplir correctement le registre.
Chapitre 02 — Les 6 étapes de la mise en conformité
Une méthode, pas une montagne.
La démarche suit toujours le même fil. Traitez ces six étapes dans l'ordre :
- 1Cartographier — recenser tous vos traitements de données.
- 2Prioriser — identifier les traitements à risque à traiter en premier.
- 3Sécuriser — mettre en place les mesures techniques et organisationnelles.
- 4Documenter — constituer le registre et les preuves associées.
- 5Organiser — des procédures pour les droits et les violations.
- 6Maintenir — réviser régulièrement à chaque nouvel outil ou traitement.
Pour la méthode complète et l'accompagnement, voir notre page mise en conformité RGPD.
Chapitre 03 — Construire son registre des traitements
Le document que la CNIL demande en premier.
Le registre des traitements est obligatoire et constitue la pièce maîtresse de votre dossier. C'est aussi le premier document réclamé lors d'un contrôle.
Ce que doit contenir chaque fiche
- La finalité du traitement.
- Les catégories de données et de personnes concernées.
- Les destinataires (internes et externes).
- La durée de conservation.
- Les mesures de sécurité mises en place.
Le modèle fourni dans le PDF vous permet de le remplir en quelques heures, même sans juriste en interne.
Chapitre 04 — Encadrer vos sous-traitants
Vous restez responsable de vos prestataires.
Chaque prestataire qui traite des données pour votre compte — hébergeur, outil marketing, CRM, cabinet comptable, prestataire de paie — est un sous-traitant au sens du RGPD. Vous devez l'encadrer par contrat.
Les réflexes à adopter
- Tenir la liste à jour de tous vos sous-traitants.
- Signer un contrat comportant les clauses RGPD (article 28).
- Vérifier leurs garanties de sécurité avant de vous engager.
- Contrôler la localisation des données (transferts hors UE).
Chapitre 05 — Lever les idées reçues
Certaines croyances coûtent cher.
Beaucoup de dirigeants repoussent le sujet à cause d'idées fausses. Cliquez sur une carte pour voir ce qu'il en est réellement.
Chapitre 06 — Gérer les droits et les violations
Savoir répondre vite et bien.
Les personnes dont vous détenez les données ont des droits, et vous avez des délais stricts pour y répondre. Une procédure simple évite la panique le jour venu.
Les délais à connaître
- 1 mois pour répondre à une demande d'accès, de rectification ou d'effacement.
- 72 heures pour notifier une violation de données à la CNIL.
Tracez chaque demande et chaque incident : cette traçabilité est une preuve de conformité précieuse en cas de contrôle.
Chapitre 07 — Les documents à produire
Votre coffre-fort de preuves.
Voici les pièces qui composent un dossier de conformité exploitable immédiatement en cas de contrôle ou de demande d'un partenaire.
| Document | Rôle | Obligatoire |
|---|---|---|
| Registre des traitements | Cartographie de tous vos traitements | Oui |
| Contrats sous-traitants | Encadrement de chaque prestataire | Oui |
| Registre des violations | Traçabilité des incidents de sécurité | Oui |
| AIPD | Analyse d'impact des traitements à risque | Selon le cas |
| Politique de confidentialité | Information des personnes concernées | Oui |
Chapitre 08 — Checklist avant un contrôle CNIL
Le contrôle de dernière minute.
Imprimez-la et parcourez-la avant tout échange avec la CNIL ou un partenaire qui audite votre conformité.
Documents
Organisation
Besoin d'un regard expert avant l'échéance ? Découvrez notre audit RGPD gratuit, ou notre guide réussir son audit RGPD.
À vous de jouer
La conformité n'attend pas le prochain contrôle.
Vous avez la méthode. Pour la mettre en œuvre sans y passer des semaines, faites le point avec une juriste dédiée : 30 minutes pour identifier vos écarts et repartir avec un plan d'action clair.




