RGPD pour les petites entreprises : guide de conformité pour les PME (2026)

Le RGPD s'applique à toute petite entreprise qui traite des données à caractère personnel de personnes situées dans l'UE, sans exemption générale fondée sur la taille. L'article 30(5) prévoit une dérogation étroite concernant les registres pour les organisations de moins de 250 employés, mais uniquement si le traitement est occasionnel, présente un faible risque et exclut les données de catégories particulières. La plupart des petites entreprises ne peuvent pas remplir ces trois conditions.
Le RGPD s'applique à toute organisation qui traite des données à caractère personnel de personnes situées dans l'Union européenne : un travailleur indépendant à Vienne, une boutique de commerce en ligne de dix employés à Varsovie et une start-up SaaS basée aux États-Unis avec des clients européens y sont toutes soumis. La taille ne détermine pas l'applicabilité.
Cela dit, le RGPD n'est pas un règlement uniforme applicable à l'identique partout. Plusieurs dispositions sont calibrées en fonction de la nature et de l'ampleur du traitement plutôt que du seul effectif, et l'UE a récemment proposé de nouvelles réductions de la charge administrative pour les organisations plus petites. Comprendre quelles obligations sont pleines, lesquelles sont réduites et lesquelles sont actuellement en cours de réforme constitue le point de départ pratique pour toute petite entreprise.
Ce guide couvre ce qui s'applique à votre PME, la dérogation de l'article 30(5) sur les registres et ses limites réelles, la question du DPO, la proposition Digital Omnibus de novembre 2025, des exemples sectoriels, des mesures pratiques à faible coût et les récentes actions d'application que les petites entreprises devraient connaître. Pour une vue d'ensemble du règlement, consultez Qu'est-ce que le RGPD.
Cet article est fourni à titre d'information uniquement et ne constitue pas un avis juridique. Consultez un avocat spécialisé en protection des données ou un professionnel de la confidentialité pour un conseil adapté à votre situation.
Le RGPD s'applique-t-il à votre petite entreprise ?
La réponse courte est presque certainement oui, si vous traitez des données à caractère personnel liées à des personnes situées dans l'UE.
La Commission européenne est directe sur ce point : l'applicabilité du RGPD dépend de la nature de vos activités, pas de la taille ou de la localisation de votre entreprise. En vertu de l'article 3 du règlement, le RGPD s'applique si l'une des situations suivantes est vraie :
- Vous êtes établi dans l'UE et vous traitez des données à caractère personnel dans le cadre de vos activités, quel que soit le lieu où le traitement s'effectue.
- Vous êtes établi en dehors de l'UE mais vous offrez des biens ou des services à des personnes situées dans l'UE, y compris une application gratuite, un site web acceptant des commandes en provenance de l'UE ou une lettre d'information destinée à des lecteurs européens.
- Vous êtes établi en dehors de l'UE mais vous suivez le comportement de personnes situées dans l'UE, par exemple au moyen d'analyses de site web, de pixels publicitaires ou de suivi de localisation.
Qu'est-ce qui constitue une donnée à caractère personnel pour une petite entreprise ?
La plupart des petites entreprises traitent davantage de données à caractère personnel qu'elles ne le pensent. Les activités de traitement courantes qui entraînent des obligations RGPD comprennent :
- Noms des clients, adresses e-mail, adresses postales et historique d'achats
- Dossiers des employés et des sous-traitants : données de paie, dossiers RH, notes d'évaluation et CV de candidats
- Cookies de site web, analyses et pixels de publicité comportementale
- Listes d'abonnés au marketing par e-mail
- Images de vidéosurveillance couvrant des personnes se trouvant dans ou à proximité de vos locaux
- Systèmes de réservation en ligne
- Dossiers de paiement (même si le traitement des paiements est géré par un tiers)
- Publicité sur les réseaux sociaux ciblant des utilisateurs de l'UE
Le traitement de l'une de ces catégories en lien avec des personnes situées dans l'UE place votre entreprise sous le régime intégral du RGPD.

La dérogation de l'article 30(5) sur les registres : ce qu'elle couvre réellement
L'article 30 du RGPD exige des responsables du traitement et des sous-traitants qu'ils tiennent des registres des activités de traitement. L'article 30(5) prévoit une dérogation partielle pour les organisations plus petites :
« Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation employant moins de 250 personnes, sauf si le traitement qu'elle effectue est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s'il n'est pas occasionnel, ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou les données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »
En termes simples : une organisation de moins de 250 employés est exemptée de la tenue obligatoire d'un registre uniquement si les trois conditions suivantes sont réunies simultanément :
- Le traitement est peu susceptible de comporter un risque pour les droits et libertés des personnes.
- Le traitement est occasionnel : ni routinier ni systématique.
- Le traitement n'inclut pas de données de catégorie particulière (santé, données biométriques, génétiques, origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, orientation sexuelle) ni de données relatives à des condamnations pénales.
Le document de position de l'EDPB sur la dérogation de l'article 30(5) confirme qu'il s'agit d'une exemption étroite. Le traitement des dossiers clients, la gestion d'une paie, la tenue d'une liste de marketing par e-mail ou l'exploitation d'un site web avec des outils d'analyse échouent tous au test du caractère « occasionnel ». Il s'agit d'activités récurrentes et systématiques : la dérogation ne s'y applique pas.
La réalité pratique
Cette exemption était destinée à un traitement véritablement ponctuel, comme une petite organisation traitant occasionnellement une liste de participants à un événement unique et ne faisant rien d'autre régulièrement avec des données à caractère personnel. En pratique, presque aucune entreprise en activité n'y satisfait pleinement.
La recommandation reste la même quelle que soit la dérogation technique : conservez des registres des activités de traitement. Ils constituent votre preuve de responsabilité, votre référence lorsque les autorités de contrôle vous interrogent et votre outil de gestion des demandes des personnes concernées. Un simple tableur couvrant les données que vous traitez, pourquoi, où elles sont stockées, qui y a accès et pendant combien de temps vous les conservez suffit pour la plupart des petites entreprises.
Quand une petite entreprise a besoin d'un délégué à la protection des données
L'obligation de DPO au titre de l'article 37 n'est pas liée à l'effectif. Elle est déclenchée par la nature et l'ampleur de vos activités principales de traitement. Un DPO est obligatoire dans trois situations :
- L'organisation est une autorité publique ou un organisme public (non applicable à la plupart des petites entreprises).
- Les activités principales de l'organisation exigent un suivi régulier et systématique des personnes à grande échelle, par exemple une entreprise dont le produit principal est une technologie de publicité comportementale ou de surveillance des utilisateurs à grande échelle.
- Les activités principales impliquent un traitement à grande échelle de données de catégorie particulière (santé, biométrie, orientation sexuelle, etc.) ou de données relatives à des condamnations pénales.
Le guide PME de l'EDPB sur les DPO est explicite : une petite organisation n'a généralement pas besoin d'un délégué à la protection des données. Une boutique de vente au détail locale, une petite agence de marketing, une société de logiciels de dix personnes ou un cabinet d'avocats de deux associés ne remplit pas ces critères.
Nuances sectorielles
Certaines PME opèrent dans des secteurs où la question du DPO est moins évidente :
- Petit cabinet ou clinique médicale : le traitement des données de santé des patients constitue un traitement de catégorie particulière au titre de l'article 9. Le caractère « à grande échelle » dépend du volume et du contexte. Un cabinet de deux médecins traitant une patientèle locale n'est généralement pas considéré comme à grande échelle. Un réseau régional de cliniques comptant des dizaines de milliers de dossiers de patients constitue une question plus délicate. De nombreux États membres de l'UE ont publié des orientations spécifiques au secteur de la santé.
- Start-up de logiciels RH : si votre produit traite systématiquement les données d'employés pour de grandes organisations clientes, vos propres activités principales peuvent impliquer un traitement à grande échelle de données de catégorie particulière. Demandez un avis spécifique.
- Agence de marketing : le profilage et le ciblage comportemental à grande échelle pour des clients peuvent vous rapprocher davantage du seuil de suivi systématique qu'une PME classique.
Désignation volontaire
Vous pouvez désigner un DPO volontairement même lorsque cela n'est pas requis. Si vous le faites, l'ensemble des règles du RGPD relatives à l'indépendance, aux moyens, aux missions et à la protection contre le licenciement du DPO s'appliquent automatiquement. De nombreuses petites entreprises trouvent plus pratique de désigner un référent confidentialité en interne (une personne nommée responsable de la protection des données qui gère les demandes et requêtes) sans utiliser le titre formel de DPO.

Le Digital Omnibus de novembre 2025 : simplification proposée pour les PME
Le 19 novembre 2025, la Commission européenne a publié son paquet Digital Omnibus, un ensemble de modifications ciblées apportées au RGPD, à la directive ePrivacy, au Data Act, à la directive NIS2 et à l'AI Act. Ce paquet s'inscrit dans l'agenda plus large de la Commission en matière de compétitivité visant à réduire la charge réglementaire pesant sur les entreprises européennes, les PME étant identifiées comme une priorité particulière.
Ce que la Commission a proposé pour l'article 30(5) du RGPD
La proposition de la Commission apporterait deux changements importants à la dérogation sur les registres :
- Relever le seuil d'effectif de moins de 250 à moins de 750 employés, étendant l'allègement à une catégorie que la Commission appelle les « petites entreprises de taille intermédiaire » (SMC).
- Restructurer les conditions : au lieu des trois facteurs disqualifiants actuels (risque, caractère non occasionnel, données de catégorie particulière), la dérogation s'appliquerait sauf si le traitement est « susceptible d'engendrer un risque élevé » au sens de l'article 35 (le seuil de l'analyse d'impact). La proposition supprime les références au « traitement occasionnel » et aux données de catégorie particulière en tant que facteurs disqualifiants autonomes.
La position du Conseil de l'UE (septembre 2025)
Avant la publication de la Commission en novembre, le Conseil de l'UE a diffusé en septembre 2025 une position encore plus large : les organisations de moins de 1 000 employés effectuant un traitement à haut risque ne devraient tenir des registres que pour les activités de traitement spécifiques susceptibles d'engendrer un risque élevé, et non un registre complet de l'ensemble du traitement.
Réponse de l'EDPB et du CEPD
L'EDPB et le CEPD ont salué cette simplification dans leur déclaration conjointe, soutenant l'objectif général de réduction de la charge administrative pour les PME. Ils ont noté que la proposition est ciblée et limitée, et ont demandé des clarifications supplémentaires sur l'interaction avec les obligations de responsabilité. Ils ont souligné que les autres obligations (y compris la transparence, la base juridique, les droits des personnes concernées et la sécurité) demeurent pleinement applicables, indépendamment des simplifications de la tenue de registres.
Statut actuel : négociation active, pas encore en vigueur
À compter de mai 2026, les modifications RGPD du Digital Omnibus font l'objet d'une négociation active entre le Parlement européen et le Conseil dans le cadre du calendrier législatif. Les discussions en trilogue devraient se poursuivre tout au long de 2026. Tant que l'adoption finale et toute période de transition avant l'entrée en vigueur des modifications n'auront pas eu lieu, le texte actuel de l'article 30(5) (le seuil de 250 employés assorti de trois conditions disqualifiantes) reste le droit applicable aujourd'hui.
N'ajustez pas votre approche de conformité en fonction des changements proposés. Continuez à opérer selon les règles actuelles jusqu'à ce que les modifications soient formellement adoptées et entrées en vigueur.
Obligations fondamentales qui s'appliquent intégralement à toutes les petites entreprises
Bien que certaines obligations administratives soient calibrées en fonction de l'échelle, les exigences RGPD suivantes s'appliquent sans réduction à toute organisation, quelle que soit sa taille.
1. Base juridique pour chaque activité de traitement
Toute activité de traitement nécessite une base juridique documentée au titre de l'article 6. Les trois bases les plus pertinentes pour les petites entreprises sont :
- Nécessité contractuelle (article 6(1)(b)) : traitement nécessaire à l'exécution d'un contrat avec la personne concernée, par exemple traiter une adresse de livraison pour expédier une commande, ou traiter des données salariales pour rémunérer un employé.
- Intérêt légitime (article 6(1)(f)) : un intérêt commercial réel et proportionné qui ne l'emporte pas sur les intérêts de la personne concernée, par exemple le marketing direct de base auprès de clients existants, la prévention de la fraude ou la sécurité des réseaux. Nécessite une analyse d'intérêt légitime documentée.
- Consentement (article 6(1)(a)) : la personne accepte librement pour une finalité spécifique et clairement énoncée. Le consentement est révocable et crée des obligations de gestion continues. Il est souvent surutilisé par les petites entreprises alors qu'une autre base serait plus simple et plus durable.
Pour un traitement complet des cas où le consentement est ou n'est pas la base appropriée, consultez Exigences de consentement RGPD.
2. Avis de confidentialité
Toute personne dont vous collectez les données doit être informée, au moment de la collecte, de qui vous êtes, quelles données vous collectez, pourquoi, la base juridique, la durée de conservation, à qui vous les partagez et de ses droits. Cela s'applique à votre site web, vos formulaires en magasin, vos documents d'emploi et tout autre point de collecte de données.
Un avis de confidentialité n'a pas besoin d'être long. Il doit être clair, accessible et complet. La section des ressources pratiques de l'EDPB fournit des modèles gratuits.
3. Droits des personnes concernées
Les huit droits individuels du RGPD s'appliquent à toutes les organisations. Les petites entreprises doivent :
- Disposer d'un moyen clair et accessible permettant aux personnes de soumettre des demandes (l'e-mail suffit).
- Identifier et répondre aux demandes dans un délai d'un mois calendaire (extensible de deux mois pour les demandes complexes, avec notification au demandeur).
- Fournir la première copie des données à caractère personnel gratuitement en réponse à une demande d'accès.
- Traiter de manière appropriée les demandes de suppression, de correction, d'opposition et de portabilité et documenter les réponses.
Une entreprise roumaine a été sanctionnée de 15 000 euros spécifiquement pour ne pas avoir répondu à une demande d'accès pendant trois mois puis avoir fourni des informations incomplètes. C'est le type d'application qui touche les petites entreprises.
4. Mesures de sécurité techniques et organisationnelles
L'article 32 exige des mesures de sécurité appropriées, proportionnées au risque et à la nature des données. La proportionnalité signifie que ce qui est approprié pour un cabinet comptable de deux personnes diffère de ce qui est approprié pour un établissement de santé de 200 employés, mais les deux doivent avoir mis en place quelque chose.
Mesures de base pratiques pour les petites entreprises :
- Activer l'authentification multifacteur sur tous les comptes professionnels (e-mail, stockage cloud, logiciel de comptabilité).
- Utiliser un gestionnaire de mots de passe et imposer des mots de passe forts et uniques.
- Chiffrer les ordinateurs portables, les disques externes et les appareils mobiles contenant des données à caractère personnel.
- Limiter l'accès aux données à caractère personnel aux membres du personnel qui en ont réellement besoin pour leur fonction.
- Appliquer rapidement les mises à jour logicielles et de système d'exploitation.
- Maintenir des sauvegardes régulières et testées, stockées séparément des données principales.
- Disposer d'une politique écrite sur la manière de traiter les données à caractère personnel et s'assurer que le personnel la comprend.
- Verrouiller les dossiers physiques contenant des informations personnelles.
5. Notification des violations de données
Si une violation de données à caractère personnel se produit et qu'elle est susceptible d'engendrer un risque pour les personnes, vous devez le notifier à votre autorité de contrôle dans un délai de 72 heures après en avoir pris connaissance. Si la violation est susceptible d'engendrer un risque élevé pour les personnes, vous devez également notifier directement les personnes concernées. Consultez Notification des violations de données RGPD : la règle des 72 heures pour la procédure complète.
Une erreur courante des petites entreprises est de supposer que seuls les piratages à grande échelle constituent des violations. Un ordinateur portable volé contenant des données clients non chiffrées, un e-mail envoyé au mauvais destinataire contenant des informations sensibles, ou une attaque par rançongiciel sur un lecteur partagé constituent tous des violations de données pouvant nécessiter une notification.
6. Accords de traitement des données avec les fournisseurs
En vertu de l'article 28, chaque fois que vous partagez des données à caractère personnel avec un tiers qui les traite pour votre compte (fournisseurs d'hébergement cloud, plateformes de marketing par e-mail, services de paie, logiciels de comptabilité, processeurs de paiement, outils d'analyse de site web), vous avez besoin d'un accord de traitement des données. La plupart des grands fournisseurs incluent désormais des accords de traitement conformes au RGPD dans leurs conditions générales standard ou les proposent sur demande. Examinez-les et confirmez qu'ils sont en place.

Le RGPD en pratique : trois exemples sectoriels
Une petite boutique de commerce en ligne (10 employés)
Un détaillant en ligne de 10 personnes vendant des vêtements à des clients de l'UE traite quotidiennement les noms, adresses, adresses e-mail et historiques d'achat des clients. Leur traitement n'est pas occasionnel ; il est central à chaque transaction.
Obligations clés : base juridique pour le traitement des commandes (nécessité contractuelle), base distincte pour les e-mails marketing (consentement ou intérêt légitime), bandeau de consentement aux cookies pour les analyses et pixels publicitaires, avis de confidentialité sur le site web, accords de traitement des données avec le processeur de paiement et la plateforme d'e-mail, et un processus clair pour traiter les demandes d'accès et de suppression.
La dérogation de l'article 30(5) ne s'applique pas car le traitement n'est pas occasionnel. Le détaillant devrait tenir un tableur de registre. Aucun DPO n'est requis. Un membre du personnel désigné traite les demandes d'exercice de droits.
Une clinique locale ou un cabinet de médecin généraliste (5 employés)
Un petit cabinet médical traite quotidiennement des données de santé de patients. Les données de santé constituent des données de catégorie particulière au titre de l'article 9, nécessitant une base juridique à la fois au titre de l'article 6 et de l'article 9(2). La base de l'article 9 appropriée pour un prestataire de soins de santé traitant des patients est généralement l'article 9(2)(h) : diagnostic médical et traitement.
La dérogation de l'article 30(5) ne s'applique pas car le traitement implique des données de catégorie particulière (dossiers de santé). Le cabinet doit tenir un registre complet des traitements. La question de savoir si un DPO est requis dépend du caractère « à grande échelle » du traitement dans le contexte ; la plupart des autorités de protection des données de l'UE considèrent qu'un petit cabinet local n'atteint pas le seuil de grande échelle, bien que les orientations nationales varient.
Obligations supplémentaires clés : contrôles d'accès stricts sur les dossiers des patients, mesures de sécurité adaptées aux données de santé sensibles, accords de partage de données avec tout système tiers utilisé (résultats de laboratoire, plateformes de rendez-vous) et gestion prudente de toute communication avec les patients par e-mail.
Une petite agence de marketing digital (15 employés)
Une agence de marketing qui gère des campagnes et traite des données de consommateurs de l'UE pour le compte de clients se trouve dans une position plus complexe. L'agence agit à la fois en tant que responsable du traitement (pour les données de son propre personnel et de ses contacts commerciaux) et en tant que sous-traitant (lorsqu'elle traite des données clients pour le compte du client).
En tant que sous-traitant, l'agence doit : signer des accords de traitement des données avec chaque client précisant la nature, la finalité et la durée du traitement ; mettre en œuvre des mesures de sécurité appropriées conformément aux instructions du responsable du traitement ; notifier rapidement les clients de toute violation ; et ne pas engager de sous-traitants ultérieurs sans l'autorisation du client.
Pour les campagnes de publicité comportementale utilisant des pixels de suivi et des cookies, les exigences de consentement RGPD pour les cookies s'appliquent. L'agence devrait également savoir que l'utilisation de Google Ads exige la mise en œuvre du Consent Mode v2 depuis mars 2024 pour communiquer correctement les choix de consentement des utilisateurs.
Erreurs de conformité courantes des PME
Supposer que la taille crée une exemption
« Nous sommes une petite entreprise » n'est pas un moyen de défense juridique au titre du RGPD. Les autorités de contrôle ont sanctionné des travailleurs indépendants et des microentreprises pour des violations basiques. Les amendes s'appliquent proportionnellement, mais elles s'appliquent.
Surutiliser le consentement comme base juridique
De nombreuses petites entreprises ajoutent une case de consentement à chaque formulaire car cela leur semble sûr. En pratique, le consentement est souvent la mauvaise base : il crée des droits de révocation complexes à gérer et ne devrait être utilisé que lorsque la personne dispose d'un choix véritablement libre. Lorsque vous pouvez vous appuyer sur la nécessité contractuelle ou l'intérêt légitime, ces bases sont souvent plus pratiques et plus durables.
Consentement aux cookies invalide
Afficher « en utilisant ce site, vous acceptez les cookies » dans un pied de page ne constitue pas un consentement RGPD valide. Le consentement pour les cookies non essentiels nécessite un mécanisme d'acceptation explicite permettant aux utilisateurs d'accepter ou de refuser les cookies avant leur dépôt. Les cases précochées et le consentement implicite ne sont pas conformes.
Absence de politique de conservation des données
Le principe de limitation de la conservation au titre de l'article 5(1)(e) exige que les données à caractère personnel ne soient pas conservées plus longtemps que nécessaire. Conserver indéfiniment les dossiers clients, ou ne jamais supprimer les fichiers d'anciens employés, constitue une violation de ce principe. Définissez des durées de conservation pour chaque catégorie de données et mettez en place un processus de suppression des données une fois ces durées expirées.
Oublier les données des employés
Le RGPD s'applique aux données du personnel autant qu'aux données clients. Les dossiers des employés, les informations salariales, les dossiers disciplinaires et les CV soumis par les candidats requièrent tous les mêmes protections. De nombreuses petites entreprises concentrent leurs efforts de conformité sur les données clients et négligent entièrement leurs obligations RH.
Absence de plan de réponse aux violations
Sans plan, une violation risque de dépasser le délai de notification de 72 heures pendant que le personnel détermine comment agir. Une procédure écrite basique couvrant comment détecter une violation, comment évaluer sa gravité, qui est responsable de la notification et comment la contenir et la documenter ne coûte rien à créer et peut prévenir une amende.
Accords de traitement des données manquants avec les fournisseurs
Utiliser du stockage cloud, des outils de marketing par e-mail ou des logiciels de paie sans vérifier qu'un accord de traitement des données est en place constitue une lacune courante. C'est également une cible d'application simple pour les autorités de contrôle car il est facile de démontrer qu'il s'agit d'un document manquant.
Mesures de conformité à faible coût pour les petites entreprises
La conformité ne nécessite pas de gros budgets ni de logiciels spécialisés. Les six étapes suivantes répondent aux exigences RGPD les plus prioritaires à un coût minimal.
Étape 1 : inventaire des données (gratuit) : listez chaque type de données à caractère personnel que vous traitez : ce qu'elles sont, à qui elles appartiennent, pourquoi vous les détenez, où elles sont stockées, qui peut y accéder et combien de temps vous les conservez. Un tableur suffit. Mettez-le à jour chaque fois que vous introduisez un nouvel outil ou un nouveau processus.
Étape 2 : avis de confidentialité (gratuit) : rédigez un avis de confidentialité en langage clair couvrant toutes les informations requises par les articles 13 et 14. Publiez-le sur votre site web et rendez-le disponible à chaque point de collecte de données. Utilisez les modèles gratuits de l'EDPB comme point de départ.
Étape 3 : consentement aux cookies (gratuit à faible coût) : si votre site web utilise des cookies non essentiels (analyse, publicité, boutons de réseaux sociaux), mettez en place un bandeau d'acceptation explicite conforme. Plusieurs outils gratuits et peu coûteux fournissent une gestion du consentement conforme au RGPD.
Étape 4 : révision des accords de traitement avec les fournisseurs (gratuit) : parcourez la liste de vos prestataires de services et confirmez qu'un accord de traitement des données est en place avec chacun de ceux qui traitent des données à caractère personnel pour votre compte. La plupart des grands fournisseurs proposent des accords de traitement dans leurs conditions ou sur demande.
Étape 5 : sécurité de base (gratuit à faible coût) : activez l'authentification multifacteur sur tous les comptes professionnels. Déployez un gestionnaire de mots de passe. Chiffrez vos appareils. Maintenez les logiciels à jour. Ces mesures sont pour la plupart gratuites et répondent aux vecteurs de violation les plus courants pour les petites entreprises.
Étape 6 : procédures de demande de droits et de réponse aux violations (gratuit) : désignez un contact nommé pour les demandes des personnes concernées. Créez un journal simple pour suivre les demandes, leur type, la date de réception et la date de résolution. Rédigez une liste de contrôle d'une page pour la réponse aux violations couvrant l'exigence de notification de 72 heures.
Résumé des obligations RGPD pour les PME
| Obligation | S'applique aux PME ? | Remarques |
|---|---|---|
| Base juridique du traitement | Oui | À documenter pour chaque activité |
| Avis de confidentialité | Oui | Clair et accessible |
| Droits des personnes concernées (8 droits) | Oui | Délai de réponse d'un mois |
| Registre des traitements (article 30) | Généralement oui | Dérogation étroite ; à tenir malgré tout |
| Mesures de sécurité (article 32) | Oui | Proportionnées au risque |
| Notification des violations (72 heures) | Oui | Si la violation présente un risque pour les personnes |
| Désignation d'un DPO | Rarement | La plupart des PME n'en ont pas besoin |
| AIPD | Parfois | Uniquement pour les traitements à haut risque |
| Accords de traitement des données | Oui | Avec chaque sous-traitant traitant vos données |
| Mécanismes de transfert international | Oui | En cas d'envoi de données hors UE/EEE |
| Consentement aux cookies | Oui | Pour les cookies non essentiels |
Ressources officielles gratuites pour les petites entreprises
Guide de protection des données de l'EDPB pour les petites entreprises : le guide PME de l'EDPB est la ressource officielle gratuite la plus complète. Il couvre tous les grands sujets du RGPD avec des vidéos, des schémas interactifs, des infographies et des exemples pratiques. La section des ressources pratiques comprend des modèles téléchargeables pour les registres de traitement, les avis de confidentialité, les formulaires de consentement et les accords de traitement des données. Disponible en 17 langues de l'UE depuis 2024.
Conseils de l'ICO pour les petites organisations : l'Information Commissioner's Office du Royaume-Uni fournit des conseils spécifiquement destinés aux petites et moyennes organisations et un outil d'auto-évaluation de la protection des données qui génère un plan d'action personnalisé.
Portail Your Europe Business : le portail Your Europe fournit des conseils RGPD dans toutes les langues officielles de l'UE pour les entreprises opérant sur le marché unique.
Autorités de contrôle nationales : chaque APD des États membres de l'UE publie ses propres ressources pour les PME. La DPC irlandaise, la CNIL française, l'AP néerlandaise et les APD des länder allemands proposent toutes des boîtes à outils gratuites et des lignes d'assistance pour les petites entreprises dans leurs juridictions.
Ce qui changerait avec le Digital Omnibus proposé (une fois adopté)
Si les modifications du Digital Omnibus étaient adoptées telles que proposées, les changements pratiques pour les PME seraient les suivants :
- Les organisations de moins de 750 employés n'auraient plus besoin de tenir des registres des activités de traitement, sauf si le traitement est susceptible d'engendrer un risque élevé (le seuil de l'AIPD au titre de l'article 35).
- Le traitement de routine à faible risque (listes d'e-mails clients, dossiers du personnel, réservations en ligne) n'aurait plus besoin d'être formellement documenté par ces organisations.
- Toutes les autres obligations demeurent inchangées : base juridique, avis de confidentialité, droits des personnes concernées, sécurité, notification des violations et contrats avec les fournisseurs continuent de s'appliquer intégralement.
La simplification est réelle mais limitée. La grande majorité de vos obligations de conformité n'est pas affectée. Poursuivez vos pratiques de conformité actuelles et suivez l'avancement législatif avant d'apporter des changements.
Guides RGPD associés
- Qu'est-ce que le RGPD pour une vue d'ensemble complète du règlement
- Liste de contrôle de conformité RGPD pour un guide de conformité étape par étape
- Exigences de consentement RGPD pour les normes de consentement valide et quand le consentement est ou n'est pas la bonne base
- Droits des personnes concernées au titre du RGPD pour les huit droits individuels
- Amendes et sanctions RGPD pour les données d'application et le calcul des sanctions
- Règle des 72 heures de notification des violations RGPD pour la procédure de signalement des violations
- Loi européenne sur les cookies (directive ePrivacy) pour les exigences de consentement aux cookies
- Lois européennes sur la protection des données pour le pôle complet de la protection des données de l'UE
Frequently Asked Questions
Le RGPD s'applique-t-il aux petites entreprises ?
Oui. Le RGPD s'applique à toute organisation qui traite des données à caractère personnel de personnes situées dans l'UE, quelle que soit sa taille. Un travailleur indépendant, une start-up et une entreprise de 200 employés y sont toutes soumis si elles traitent des données à caractère personnel de l'UE. Il n'existe aucune exemption générale pour les petites entreprises. Les obligations de conformité sont calibrées en fonction de la nature et du risque de vos activités de traitement, pas de votre effectif.
Les petites entreprises ont-elles besoin d'un délégué à la protection des données ?
La plupart n'en ont pas besoin. Un DPO est obligatoire au titre de l'article 37 uniquement pour les autorités publiques, les organisations dont les activités principales exigent un suivi régulier et systématique des personnes à grande échelle, et les organisations dont les activités principales impliquent un traitement à grande échelle de données de catégorie particulière (santé, biométrie, données génétiques, etc.). Une entreprise classique de vente au détail, de services ou de technologie ne remplit pas ces critères. Une désignation volontaire est possible, mais l'ensemble des règles du RGPD sur l'indépendance et la protection du DPO s'applique alors.
Les petites entreprises sont-elles exemptées de la tenue de registres RGPD ?
La dérogation de l'article 30(5) pour les organisations de moins de 250 employés est plus étroite que beaucoup ne le pensent. L'exemption ne s'applique que si les trois conditions sont réunies simultanément : le traitement est occasionnel, il ne présente aucun risque pour les personnes et il n'implique aucune donnée de catégorie particulière. La plupart des petites entreprises traitent régulièrement des données clients ou d'employés, ce qui les fait échouer au test du caractère occasionnel et les oblige à tenir malgré tout des registres. La recommandation est de conserver des registres dans tous les cas, par bonne pratique.
Qu'est-ce que le Digital Omnibus RGPD et aide-t-il les petites entreprises ?
Le Digital Omnibus est un ensemble de modifications ciblées du RGPD publié par la Commission européenne le 19 novembre 2025. Il propose d'étendre la dérogation sur les registres des organisations de moins de 250 employés à celles de moins de 750 employés, et de limiter l'obligation de registre aux seuls traitements à haut risque. L'EDPB et le CEPD ont salué cette simplification. À compter de mai 2026, la proposition est en négociation en trilogue et n'a pas été adoptée. Le seuil actuel de 250 employés et le test à trois conditions restent la loi en vigueur jusqu'à l'adoption formelle des modifications.
Une petite entreprise peut-elle être sanctionnée au titre du RGPD ?
Oui. Les amendes RGPD s'appliquent aux organisations de toutes tailles en fonction de la gravité de la violation. Les autorités de contrôle doivent veiller à ce que les amendes soient effectives, proportionnées et dissuasives, ce qui signifie qu'une petite entreprise recevrait généralement une amende absolue inférieure à celle d'une multinationale, mais les sanctions peuvent tout de même être importantes. Les amendes atteignent jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations graves. Des cas documentés incluent des amendes contre de petits prestataires de soins de santé pour avoir conditionné les soins médicaux au consentement au marketing, et contre de petites entreprises pour avoir ignoré des demandes d'accès.
Quelles sont les étapes RGPD les plus importantes pour une petite entreprise ?
Commencez par six priorités : (1) créer un inventaire des données listant toutes les données à caractère personnel que vous traitez et pourquoi ; (2) rédiger et publier un avis de confidentialité clair ; (3) vous assurer de disposer d'une base juridique documentée pour chaque activité de traitement ; (4) mettre en œuvre des mesures de sécurité de base, y compris l'authentification multifacteur et le chiffrement des appareils ; (5) disposer d'un processus simple de traitement des demandes d'exercice de droits dans un délai d'un mois ; et (6) confirmer que des accords de traitement des données sont en place avec tous les fournisseurs qui traitent des données à caractère personnel pour votre compte.
Le RGPD s'applique-t-il à une entreprise hors de l'UE qui vend à des clients de l'UE ?
Oui. En vertu de l'article 3(2), le RGPD s'applique aux organisations situées en dehors de l'UE qui offrent des biens ou des services à des personnes situées dans l'UE ou qui surveillent leur comportement. Une boutique en ligne basée aux États-Unis avec des clients de l'UE, un fournisseur SaaS canadien avec des utilisateurs de l'UE et une entreprise britannique servant des clients de l'UE après le Brexit doivent tous s'y conformer. Le Brexit signifie que les entreprises britanniques servant des clients de l'UE sont soumises au RGPD européen pour leurs opérations dans l'UE, en plus du UK GDPR distinct pour leurs opérations au Royaume-Uni.
Ai-je besoin d'un bandeau de consentement aux cookies sur mon site web ?
Si votre site web utilise des cookies non essentiels (y compris les cookies d'analyse, les pixels publicitaires, les boutons de réseaux sociaux ou toute technologie de suivi), vous avez besoin d'un mécanisme de consentement conforme. Un consentement valide exige une acceptation active avant le dépôt de cookies non essentiels, une option tout aussi facile pour les refuser et l'absence de cases précochées. Mentionner simplement que votre site utilise des cookies dans un pied de page n'est pas suffisant. Consultez le guide sur la loi européenne sur les cookies pour les exigences complètes.
Sources and References
- RGPD, texte intégral — Règlement (UE) 2016/679(eur-lex.europa.eu).gov
- Commission européenne — Les règles du RGPD s'appliquent-elles aux PME ?(commission.europa.eu).gov
- Guide de protection des données de l'EDPB pour les petites entreprises(edpb.europa.eu).gov
- EDPB — Ressources pratiques pour les PME (modèles et outils)(edpb.europa.eu).gov
- Guide PME de l'EDPB — Délégué à la protection des données(edpb.europa.eu).gov
- EDPB — Document de position sur la dérogation de l'article 30(5)(edpb.europa.eu).gov
- EDPB/CEPD — Accueil favorable de la simplification de la tenue de registres (2025)(edpb.europa.eu).gov
- Commission européenne — Mon organisation a-t-elle besoin d'un DPO ?(commission.europa.eu).gov
- Commission européenne — Proposition de simplification GDPR Omnibus (novembre 2025)(commission.europa.eu).gov
- Your Europe — Protection des données au titre du RGPD(europa.eu).gov
- ICO — Conseils pour les petites organisations(ico.org.uk).gov
- ICO — Qui doit documenter ses activités de traitement ?(ico.org.uk).gov
- ICO — Auto-évaluation de la protection des données pour les petites entreprises(ico.org.uk).gov
- ICO — Marketing et protection des données en détail(ico.org.uk).gov
- EDPB — FAQ pour les PME(edpb.europa.eu).gov
- Train législatif du Parlement européen — Paquet numérique(europarl.europa.eu).gov
- GDPR-Info.eu — Article 30, registre des activités de traitement(gdpr-info.eu)