Formulaire de contact sur votre site, fichier clients dans un tableur, newsletter envoyée chaque mois, candidatures reçues par e-mail… Si votre entreprise traite des données personnelles — et presque toutes le font — le RGPD vous concerne. Mais être « concerné » et être « en conformité », ce sont deux choses très différentes.
Beaucoup de dirigeants de PME pensent être conformes parce qu’ils ont ajouté une politique de confidentialité sur leur site ou coché une case lors de l’installation d’un logiciel. C’est rarement suffisant. Et c’est rarement ce que la CNIL vérifie en premier.
Ce que la conformité RGPD signifie concrètement
La conformité RGPD, ce n’est pas un document à produire une fois pour toutes. C’est un état permanent qui suppose d’avoir identifié tous les traitements de données que vous effectuez, de savoir pourquoi vous les effectuez, sur quelle base légale, pour combien de temps, et avec quelles mesures de sécurité.
La plupart des entreprises, quand elles font cet inventaire sérieusement pour la première fois, découvrent des traitements qu’elles n’avaient pas identifiés, des données conservées bien au-delà de ce qui est raisonnable, et des prestataires auxquels elles transmettent des données sans encadrement contractuel.
Le problème de l’autoévaluation
Évaluer soi-même sa conformité RGPD, c’est comme rédiger soi-même ses propres contrats : on pense couvrir l’essentiel, mais on ne sait pas ce qu’on ne sait pas. Les exigences du RGPD sont techniques, nombreuses et évoluent régulièrement au fil des décisions de la CNIL et de la jurisprudence européenne.
Ce qu’un dirigeant considère comme un détail peut être exactement ce qu’un contrôleur de la CNIL relève en premier.
Ce qui doit vous alerter
Vous n’avez jamais réalisé de cartographie de vos traitements. Vous ne savez pas exactement qui dans votre équipe a accès à quelles données. Vous avez des prestataires qui gèrent des données pour vous sans contrat spécifique sur ce sujet. Votre site collecte des données sans que vos mentions légales soient vraiment à jour.
Chacun de ces points est un signal. Réunis, ils dessinent une exposition au risque qui mérite d’être prise au sérieux.
⚠️ Le contrôle CNIL ne prévient pas
La CNIL peut ouvrir une enquête à la suite d’une plainte d’un particulier, d’un signalement, ou de sa propre initiative. Les entreprises contrôlées ne sont pas toujours les plus grandes — les PME sont également dans le viseur.
Vous vous demandez où vous en êtes réellement ?
Me Mizrahi réalise un diagnostic RGPD de votre situation et vous dit clairement ce qui est en ordre, ce qui ne l’est pas, et ce qui est prioritaire. Sans jargon inutile.
🔐 Votre situation RGPD vous préoccupe ?
Me Mizrahi analyse votre dossier gratuitement. Réponse sous 48h, partout en France — en présentiel ou à distance.
Consultation gratuite →