Le RGPD est entré en vigueur en 2018. Huit ans plus tard, beaucoup de PME pensent être "à peu près conformes" sans avoir réellement vérifié leur situation. La CNIL, elle, a enregistré 5 629 violations de données en 2024, une hausse de 20 % par rapport à 2023.

Les amendes ne ciblent pas uniquement les grands groupes. Les PME sont également sanctionnées, souvent pour des manquements basiques côté informatique.

Ce que le RGPD exige côté IT

Article 32 : Sécurité du traitement

L'article 32 impose la mise en place de mesures techniques appropriées pour protéger les données personnelles. En pratique, cela inclut :

  • Chiffrement des données : les données personnelles doivent être chiffrées au repos et en transit
  • Sauvegarde sécurisée : les données doivent être sauvegardées et récupérables en cas d'incident
  • Contrôle des accès : chaque utilisateur doit avoir uniquement accès aux données nécessaires à son travail
  • Authentification forte : MFA recommandé sur tous les accès aux données personnelles
  • Tests de restauration : les sauvegardes doivent être testées régulièrement

Article 33 : Notification des violations

En cas de violation de données, vous avez 72 heures pour notifier la CNIL. Cela suppose d'avoir détecté l'incident, compris son périmètre et documenté les données concernées, en moins de 3 jours.

Les manquements les plus fréquents en PME

  • Absence de chiffrement sur les ordinateurs portables (en cas de vol, les données sont accessibles)
  • Comptes partagés (impossible de savoir qui a accédé à quoi)
  • Mots de passe faibles ou non renouvelés
  • Données personnelles stockées dans des fichiers Excel non sécurisés sur des partages ouverts
  • Absence de procédure de gestion des droits lors du départ d'un collaborateur

Le minimum à mettre en place maintenant

  1. Activer le chiffrement BitLocker sur tous les postes portables
  2. Mettre en place MFA sur Microsoft 365 et tous les outils cloud
  3. Documenter vos traitements de données dans un registre RGPD
  4. Mettre en place une sauvegarde externalisée testée
  5. Définir une procédure de réponse aux incidents (qui fait quoi en cas de fuite)

Leader System peut vous accompagner sur les aspects techniques de la conformité RGPD. L'aspect juridique relève de votre DPO ou d'un cabinet spécialisé.