Qu'est-ce que le RGPD, concretement ?

Le RGPD en une phrase

Le RGPD (Reglement General sur la Protection des Donnees) est un texte europeen en vigueur depuis mai 2018. Son principe : toute entreprise qui collecte des donnees personnelles doit expliquer pourquoi, les proteger, et permettre aux personnes concernees de les recuperer ou de les supprimer.

Pas de jargon inutile. Si vous stockez le nom, l'email ou l'adresse IP d'un client, vous etes concerne. Peu importe votre taille : PME de 8 salaries ou groupe international.

Pourquoi ca concerne votre PME

Beaucoup de dirigeants pensent que le RGPD, c'est pour les GAFAM. C'est faux. Votre fichier clients sur Excel, votre CRM, votre logiciel de paie, votre plateforme de facturation : tout ca traite des donnees personnelles. Et le RGPD s'applique a tout le monde, y compris aux sous-traitants qui manipulent ces donnees pour votre compte.

Un chiffre pour situer : en 2024, la CNIL a prononce 87 sanctions. Parmi elles, des PME et des associations. Pas uniquement des multinationales. Les amendes vont de quelques milliers d'euros a 20 millions, ou 4 % du CA mondial -- le montant le plus eleve etant retenu.

Les 6 principes du RGPD (version courte)

Le reglement repose sur six principes. Voici ce qu'ils signifient en pratique pour un dirigeant de PME :

1. Liceite et transparence. Vous devez avoir une raison legale de collecter des donnees (contrat, consentement, obligation legale). Et vous devez le dire clairement a la personne concernee. Pas dans un document de 47 pages : en langage comprehensible.

2. Limitation des finalites. Vous collectez des donnees pour une raison precise. Vous ne pouvez pas les reutiliser pour autre chose sans prevenir. Exemple : un fichier client pour la facturation ne peut pas servir a du demarchage commercial sans consentement separe.

3. Minimisation. Ne collectez que ce dont vous avez besoin. Si vous n'avez pas besoin de la date de naissance pour facturer un client, ne la demandez pas.

4. Exactitude. Les donnees doivent etre a jour. Un client qui change d'adresse doit pouvoir la corriger. C'est votre responsabilite de faciliter ca.

5. Limitation de conservation. Vous ne gardez pas les donnees eternellement. Un CV non retenu ? Supprime apres 2 ans maximum (recommandation CNIL). Des donnees clients apres fin de contrat ? 3 ans en base active, puis archivage ou suppression.

6. Integrite et confidentialite. Les donnees doivent etre protegees. Pas stockees dans un fichier Excel ouvert sur un drive partage sans mot de passe. Chiffrement, controle d'acces, sauvegardes : c'est le minimum.

Les droits des personnes : ce que vos clients peuvent vous demander

Le RGPD donne des droits concrets aux personnes dont vous traitez les donnees. Et vous devez etre capable d'y repondre sous 30 jours. Voici les principaux :

Droit d'acces : un client vous demande "quelles donnees avez-vous sur moi ?" Vous devez repondre avec la liste complete.

Droit de rectification : "mon adresse a change, mettez a jour." Vous devez le faire.

Droit a l'effacement : "supprimez mes donnees." Sauf obligation legale de les conserver (comptabilite par exemple), vous devez obtemperer.

Droit a la portabilite : "donnez-moi mes donnees dans un format lisible pour que je les transfere ailleurs." Format CSV ou JSON, pas un PDF illisible.

Droit d'opposition : un prospect dit "arretez de m'envoyer des emails." C'est immediat, pas "on vous desinscrit sous 30 jours".

En pratique, peu de PME recoivent ces demandes chaque semaine. Mais quand ca arrive, il faut pouvoir repondre. Et la CNIL verifie.

Comment se mettre en conformite : le plan d'action PME

Etape 1 : cartographier vos traitements de donnees

Avant de corriger quoi que ce soit, il faut savoir ou sont vos donnees. Faites l'inventaire :

Quels logiciels utilisez-vous ? (comptabilite, CRM, paie, facturation, newsletter). Quelles donnees y sont stockees ? (noms, emails, coordonnees bancaires pour les salaries). Qui y a acces ? Combien de temps les gardez-vous ?

Cet inventaire s'appelle le registre des traitements. La CNIL fournit un modele gratuit. Pour une PME de 10-30 salaries, ca prend une demi-journee a remplir correctement.

Etape 2 : securiser les donnees

Pas besoin d'un budget securite a six chiffres. Pour une PME, les bases suffisent :

Mots de passe solides sur tous les outils (12 caracteres minimum, un gestionnaire de mots de passe). Chiffrement des donnees sensibles (les logiciels SaaS modernes le font par defaut). Controle d'acces : votre stagiaire n'a pas besoin d'acceder aux fiches de paie. Sauvegardes regulieres et testees (pas juste "on a un backup quelque part").

Le plus gros risque pour une PME, ce n'est pas le hackeur sophistique. C'est le fichier client envoye par email sans protection, ou le mot de passe "azerty123" sur le CRM.

Etape 3 : informer vos clients et salaries

Votre site web a une politique de confidentialite ? Verifiez qu'elle est a jour et comprehensible. Vos salaries savent comment vous traitez leurs donnees de paie ? Mettez une note d'information dans le reglement interieur.

L'idee n'est pas de produire un document juridique de 30 pages. C'est d'expliquer clairement : quelles donnees vous collectez, pourquoi, combien de temps vous les gardez, et comment les personnes peuvent exercer leurs droits.

Etape 4 : preparer la gestion des incidents

Si vous subissez une fuite de donnees (un fichier envoye au mauvais destinataire, un acces non autorise), vous avez 72 heures pour notifier la CNIL. Preparez un reflexe : qui prevenir en interne, comment evaluer la gravite, quel formulaire CNIL utiliser.

La majorite des PME n'ont jamais eu a le faire. Mais le jour ou ca arrive, avoir un protocole evite la panique.

Les sanctions : ce que ca coute vraiment

Sanctions financieres

Les amendes sont proportionnelles a la gravite. Pour les infractions les plus lourdes : jusqu'a 20 millions d'euros ou 4 % du CA mondial. Pour les manquements "mineurs" (registre non tenu, information incomplete) : jusqu'a 10 millions ou 2 % du CA.

En pratique, la CNIL commence souvent par un rappel a l'ordre ou une mise en demeure. Les amendes tombent quand l'entreprise ne reagit pas ou quand la violation est grave (donnees de sante diffusees, fichiers clients vendus sans consentement).

Exemples reels : en 2023, une societe de teleprospection a ete sanctionnee a 600 000 EUR pour demarchage telephonique sans consentement. Un laboratoire d'analyses medicales : 1,5 million EUR pour defaut de securite sur des donnees de sante.

Sanctions penales

Au-dela des amendes administratives, le Code penal prevoit jusqu'a 5 ans de prison et 300 000 EUR d'amende pour collecte frauduleuse de donnees. C'est rare, mais ca existe. Un dirigeant qui collecte deliberement des donnees sans base legale s'expose personnellement.

Le vrai risque pour une PME n'est pas l'amende record a 20 millions. C'est la mise en demeure publique de la CNIL. Votre nom apparait sur le site de la CNIL, vos clients le voient, vos prospects aussi. Le dommage a la reputation depasse souvent le montant de l'amende. Un cabinet comptable sanctionne pour un defaut de protection des donnees clients perd la confiance de son portefeuille en quelques jours.

La bonne nouvelle : la CNIL accompagne avant de sanctionner. Elle publie des guides pratiques, des modeles de registre, des FAQ adaptees aux PME. Le site cnil.fr est une ressource concrete et gratuite. L'excuse "on ne savait pas" ne tient plus depuis 2018.

RGPD et outils BI : le point aveugle des PME

Beaucoup d'entreprises pensent "RGPD = site web + cookies". C'est une vision incomplete. Des que vous centralisez des donnees dans un outil de Business Intelligence, vous creez un traitement de donnees supplementaire. Et souvent, un traitement sensible : donnees financieres, donnees RH, donnees clients croisees.

Prenons un cas concret. Un cabinet comptable utilise Power BI pour generer des tableaux de bord pour 15 clients. Chaque tableau agrege des donnees de facturation, de paie, de tresorerie. Qui a acces a quoi ? Les donnees du client A sont-elles visibles par le client B ? Ou sont-elles stockees ? Sur quel serveur, dans quel pays ?

Si ces questions restent sans reponse, le cabinet est en infraction. Pas par mauvaise volonte : par manque de visibilite sur sa propre infrastructure. C'est le probleme classique du "on a deploye l'outil, on n'a pas pense a la conformite".

Le cas particulier de Power BI et Microsoft 365

Power BI Service stocke les donnees sur les datacenters Azure de Microsoft. Pour les entreprises europeennes, Microsoft propose un hebergement en region EU. Mais la realite est plus nuancee : certaines metadonnees transitent aux Etats-Unis, les conditions du DPA Microsoft sont complexes (plus de 50 pages), et la gestion des licences et droits d'acces via Microsoft Entra demande une expertise technique que peu de PME possedent.

Resultat : beaucoup de PME utilisent Power BI sans savoir precisement ou sont leurs donnees, qui y a acces, et si leur configuration respecte le RGPD. Ce n'est pas un reproche : c'est la consequence d'un outil concu pour les grandes entreprises avec des equipes IT dediees.

Le DPO : obligatoire ou pas ?

Le Delegue a la Protection des Donnees (DPO) est obligatoire dans trois cas : organismes publics, entreprises dont l'activite principale implique un suivi systematique des personnes a grande echelle, ou traitement a grande echelle de donnees sensibles (sante, opinions politiques, donnees biometriques).

Pour la plupart des PME, le DPO n'est pas obligatoire. Mais il est recommande de designer un referent interne -- meme a temps partiel -- qui connait les bases du RGPD et peut repondre aux demandes. Ca peut etre le DAF en charge du reporting, le responsable RH, ou le dirigeant lui-meme. L'important : que quelqu'un sache quoi faire quand un client demande "supprimez mes donnees".

Checklist RGPD pour les PME qui utilisent des outils BI

Avant de deployer un outil de reporting ou de BI, posez-vous ces questions :

Ou sont hebergees les donnees ? (pays, fournisseur cloud, region). Qui a acces aux tableaux de bord ? (authentification, droits par role). Les donnees clients sont-elles isolees entre elles ? Est-ce qu'un DPA est en place avec le fournisseur ? Combien de temps les donnees sont-elles conservees ? Pouvez-vous supprimer les donnees d'un client specifique sur demande ?

Si vous ne pouvez pas repondre a une seule de ces questions : corrigez avant de continuer.

Drivn et le RGPD : ce qu'on fait concretement

Hebergement et securite

Vos donnees Drivn sont hebergees sur Microsoft Azure, region France. Pas aux Etats-Unis, pas en Irlande : en France. Les donnees de chaque client sont isolees (architecture multi-tenant avec separation stricte). Aucune donnee n'est partagee entre clients ni utilisee a d'autres fins que le service rendu.

Droits des utilisateurs

Vos collaborateurs veulent acceder a leurs donnees, les rectifier ou les supprimer ? C'est faisable directement depuis l'interface, ou par simple demande a notre equipe. Delai de reponse : 48h maximum, pas 30 jours.

Un DPA (Data Processing Agreement) est disponible sur demande pour formaliser le cadre contractuel. Si votre DPO ou votre expert-comptable le demande, on le fournit sous 24h.

Ce que ca change pour vous

En utilisant Drivn pour vos tableaux de bord, vous n'avez pas a gerer la conformite RGPD de l'infrastructure BI. Pas de serveur a securiser, pas de droits Azure a configurer, pas de DPA a negocier avec Microsoft. On s'en occupe. Vous vous concentrez sur vos donnees, pas sur la plomberie reglementaire.

Pour les cabinets comptables qui gerent plusieurs clients : chaque client a son espace isole. Les donnees du client A ne croisent jamais celles du client B. Meme en interne chez Drivn, l'acces est restreint au strict necessaire.

Ce qu'il faut retenir

Le RGPD n'est pas un epouvantail reserve aux GAFAM. C'est un cadre qui s'applique a toute entreprise qui stocke un nom, un email ou une adresse. La bonne nouvelle : pour une PME, la mise en conformite n'est ni longue ni couteuse. Un registre des traitements (une demi-journee), des mots de passe solides, une politique de confidentialite claire, et un reflexe en cas d'incident.

La ou ca se complique, c'est quand les outils se multiplient et que personne ne sait exactement ou sont les donnees. C'est vrai pour les logiciels comptables, les CRM, et surtout pour les outils de BI qui centralisent tout.

Le conseil le plus utile qu'on puisse donner : commencez par l'inventaire. Listez vos logiciels, vos donnees, vos acces. C'est 80 % du travail de conformite. Le reste suit naturellement.

Nos conseils Drivn

Questions fréquentes

FAQ - RGPD

Le Règlement Général sur la Protection des Données est un texte européen en vigueur depuis mai 2018 qui encadre la collecte et le traitement des données personnelles. Il donne aux citoyens européens un contrôle accru sur leurs données et impose des obligations strictes aux organisations qui les traitent.
Toutes les entreprises qui traitent des données de résidents européens sont soumises au RGPD, peu importe leur taille ou leur pays. Ça inclut aussi les sous-traitants qui traitent des données pour le compte d'autres organisations.
Une PME doit tenir un registre des traitements, informer les personnes de leurs droits, sécuriser les données par des mesures de sécurité adaptées, et désigner un DPO (Délégué à la Protection des Données) si nécessaire. Elle doit également être en mesure de répondre aux demandes d'accès, de rectification ou de suppression des données.
Les sanctions peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon la gravité de l'infraction, le montant le plus élevé étant retenu. Des sanctions pénales peuvent également s'appliquer pour les personnes physiques responsables de violations graves.

Toute la FAQ Drivn

Le RGPD encadre la collecte et le traitement des données personnelles en Europe. Drivn est conforme : hébergement en Europe (Azure France), DPA disponible sur demande, données isolées par client, jamais partagées avec des tiers. Comprendre le RGPD →
Oui. Drivn est conforme au RGPD. Un DPA (Data Processing Agreement) peut être signé sur demande. Les données sont hébergées en Europe, les accès sont contrôlés, et les données clients ne sont jamais utilisées à d'autres fins que le service rendu. Comprendre le RGPD →
Non. Drivn est conçu pour être déployé sans compétences techniques avancées côté client. L'équipe Drivn gère l'intégralité de l'implémentation technique. Vous fournissez les accès à vos logiciels, Drivn s'occupe du reste.
Voir toutes les questions
Adrian Rodriguez
Adrian Rodriguez
Fondateur & CEO · Drivn, Bordeaux

Fils d'entrepreneur, passionné de data et de BI, j'ai créé Drivn pour rendre Power BI accessible à toutes les entreprises - sans les licences, sans la complexité.

À lire aussi

Bilan comptable : définition et ce qu'il contient
Finances

Bilan comptable : définition et ce qu'il contient

Lire l'article →
Compte de résultat : Composition, indicateurs et intérêt - Drivn
Finances

Compte de résultat : Composition, indicateurs et intérêt

Lire l'article →
Ne confondez plus le Résultat fiscal et le Résultat comptable - Drivn
Finances

Ne confondez plus le Résultat fiscal et le Résultat comptable

Lire l'article →

Simplifiez votre reporting avec Drivn

Diffusez vos rapports Power BI sans licences Pro, en toute autonomie. Découvrez comment Drivn simplifie votre pilotage.

Voir une démonstration →

Découvrez notre hébergement RGPD en France → · Vous êtes un cabinet comptable ? Voir la solution dédiée →