Le RGPD ne réserve pas ses obligations aux grands groupes : toute organisation qui collecte des données personnelles est concernée, y compris une TPE avec un fichier clients Excel. Les grands principes :
En pratique, cela veut dire tenir un registre des traitements, informer les personnes (mentions, politique de confidentialité), recueillir le consentement quand il est requis, et être capable de répondre aux demandes d'accès, de rectification ou de suppression.
Le registre des traitements recense, pour chaque traitement, sa finalité, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité. Il est obligatoire et constitue la première preuve de conformité qu'un contrôle CNIL demandera.
La désignation d'un DPO (Délégué à la Protection des Données) est obligatoire dans trois cas :
Hors de ces cas, le DPO reste facultatif mais souvent recommandé. Beaucoup de PME désignent un référent interne ou externalisent la fonction.
Le RGPD encadre strictement les transferts de données hors UE : ils ne sont possibles que vers des pays offrant un niveau de protection adéquat ou moyennant des garanties spécifiques. Confier ses données à un service hébergé hors d'Europe expose donc à une complexité juridique — et à un risque réputationnel.
Héberger les données de ses clients en France, ou a minima dans l'Union, simplifie radicalement la conformité : pas de transfert international à encadrer, un cadre légal unique, et un argument de confiance vis-à-vis de ses propres clients. Choisir des outils qui garantissent cet hébergement — c'est le parti pris d'Orizen, hébergé en France — est une décision de conformité autant que de souveraineté.
Découvrez la solution Orizen : Accompagnement Orizen, modulaire et conçue pour les PME françaises.
Essai gratuit 14 joursOui. Le RGPD s'applique quelle que soit la taille de l'organisation, dès lors qu'elle traite des données personnelles de personnes situées dans l'UE : fichier clients, base de prospects, données de salariés. Une TPE n'échappe pas au registre des traitements, à l'obligation d'information et aux droits des personnes. Seule la désignation d'un DPO dépend de critères précis.
Pas toujours. Le DPO est obligatoire uniquement pour les organismes publics, ou lorsque l'activité principale implique un suivi régulier et systématique à grande échelle, ou le traitement à grande échelle de données sensibles. Hors de ces cas, il est facultatif mais recommandé. Beaucoup de PME désignent un référent RGPD interne ou font appel à un prestataire.
Héberger en France, ou dans l'UE, évite d'avoir à encadrer des transferts de données hors Europe, qui exigent des garanties spécifiques. C'est plus simple juridiquement et rassurant pour les clients. C'est la raison pour laquelle un outil comme Orizen, hébergé en France, facilite la mise en conformité des PME qu'il accompagne.