RGPD pour les PME réunionnaises

Audit de conformité, mise en place du registre des traitements, sécurisation technique, formation des collaborateurs. Une approche pragmatique adaptée aux TPE et PME.

0262 61 10 10

Sanctions jusqu'à 20 M€ ou 4% du CA mondial

Le RGPD, près de 8 ans après : où en sont les PME ?

Le RGPD est entré en application en mai 2018. Près de 8 ans plus tard, beaucoup de PME réunionnaises ne sont toujours pas en règle ou ont une conformité de façade : politique de confidentialité copiée d'un autre site, registre des traitements absent ou obsolète, mentions sur les formulaires manquantes, fichier salariés non sécurisé.

Le risque s'est intensifié : la CNIL contrôle de plus en plus les PME (pas que les grands comptes), les sanctions s'alourdissent, et les clients/salariés exercent leurs droits (demande d'accès, suppression). Une demande RGPD non traitée correctement peut entraîner une plainte CNIL en quelques jours.

L'approche pragmatique : ne pas viser la perfection, viser la conformité solide et démontrable. C'est ce qu'on déploie chez nos clients PME : registre simple mais à jour, mesures techniques de base solides, procédures écrites, formation annuelle. Le tout sans surcharge administrative.

Les 6 principes du RGPD

Licéité

Tout traitement de données doit avoir une base légale (consentement, contrat, obligation légale, etc.)

Minimisation

Ne collectez que les données strictement nécessaires à votre finalité

Exactitude

Les données doivent être exactes et tenues à jour

Limitation de conservation

Conservez les données seulement le temps nécessaire (durées définies)

Sécurité

Mettre en œuvre des mesures techniques et organisationnelles appropriées

Responsabilité

Vous devez pouvoir prouver votre conformité (registre, procédures, traces)

Ce qu'on met en place pour vous

Cartographie des traitements

Recenser toutes les données personnelles que votre entreprise traite : clients, prospects, salariés, fournisseurs, candidats. Avec finalité, base légale, durée de conservation.

Registre des traitements (article 30)

Document obligatoire pour toutes les entreprises de 250+ salariés (et toutes les autres en pratique). Tenu à jour, présentable à la CNIL en cas de contrôle.

Mise à jour des mentions légales

Politique de confidentialité, mentions sur les formulaires, bandeau cookies conforme RGPD/ePrivacy.

Sécurisation technique

Chiffrement, MFA, gestion des accès, sauvegardes, traçabilité des accès aux données sensibles.

Gestion des droits des personnes

Procédure pour répondre aux demandes : accès, rectification, suppression, portabilité, opposition. Délai légal : 1 mois.

Traitement des violations de données

Procédure interne, notification à la CNIL sous 72h en cas d'incident, communication aux personnes concernées.

Contrats avec les sous-traitants

Tous vos prestataires qui accèdent aux données (hébergeur, infogérance, paie) doivent signer un DPA conforme RGPD.

Formation des collaborateurs

Sensibilisation initiale + rappels annuels. Documentation des sessions pour preuve de conformité.

Questions fréquentes

Le RGPD concerne-t-il vraiment ma PME à La Réunion ?
Oui, sans exception. Le RGPD s'applique à toute structure qui traite des données personnelles dans l'Union Européenne, peu importe sa taille. Que vous soyez auto-entrepreneur avec un fichier client de 50 personnes ou PME de 200 salariés, vous devez vous conformer. La taille influence seulement le volume des obligations (DPO obligatoire à 250+, etc.), pas le principe.
Quelle est la sanction RGPD pour une PME ?
La sanction maximale est de 20 millions d'euros ou 4% du chiffre d'affaires mondial (le plus élevé des deux). En pratique, pour une PME, les sanctions de la CNIL en cas de manquement vont de quelques milliers à plusieurs centaines de milliers d'euros, selon la gravité, le préjudice et la coopération de l'entreprise. La CNIL contrôle de plus en plus les PME, pas seulement les grands comptes.
Faut-il nommer un DPO (délégué à la protection des données) ?
Le DPO est obligatoire pour les administrations publiques, les structures dont l'activité principale est de traiter des données sensibles à grande échelle (santé, géolocalisation, etc.), ou les entreprises de plus de 250 salariés. Pour les autres PME, ce n'est pas obligatoire mais recommandé : on peut nommer un DPO interne (un cadre formé) ou un DPO externe mutualisé (consultant ou cabinet).
Quelle différence entre RGPD et NIS2 ?
Le RGPD (2018) protège les données personnelles : nom, email, données de santé, comportements. NIS2 (2025-2026) protège la continuité opérationnelle des entités essentielles via la cybersécurité. Les deux se complètent : RGPD pour la conformité données, NIS2 pour la résilience cyber. Une PME du secteur santé ou bancaire peut être concernée par les deux.
Combien coûte une mise en conformité RGPD pour une PME ?
Le coût d'une mise en conformité RGPD dépend fortement de votre secteur (santé et finance sont plus lourds), de votre maturité actuelle, du volume de données traitées et de l'étendue des mesures techniques à déployer. Le coût se décompose entre la mise en place initiale (audit, registre, documentation, sécurisation technique) et le maintien annuel. Devis personnalisé après audit de votre situation actuelle.
Vous accompagnez la mise en conformité RGPD ?
Oui, on couvre le volet technique et organisationnel : sécurisation des accès, chiffrement, sauvegardes conformes, MFA, traçabilité. On peut aussi co-piloter avec un cabinet juridique pour les aspects légaux (registre, mentions, DPA). Pour les structures plus simples, on propose un accompagnement complet incluant la documentation type.
Mon site web doit-il avoir un bandeau cookies ?
Oui, dès que vous utilisez des cookies non strictement nécessaires (analytics, marketing, réseaux sociaux, retargeting). Le bandeau doit permettre un consentement libre, éclairé, spécifique et univoque, avec possibilité de refuser aussi facilement que d'accepter. Notre site utilise un bandeau conforme — on peut déployer le même type d'outil sur votre site.
Que faire en cas de fuite de données dans ma PME ?
1) Identifier rapidement la nature et le volume de la fuite. 2) Notifier la CNIL sous 72h via leur portail (sauf si pas de risque pour les personnes). 3) Si risque élevé pour les personnes, les informer individuellement. 4) Documenter l'incident dans votre registre des violations. 5) Mettre en place les mesures correctives. Sans préparation préalable, ces 72h sont impossibles à tenir : on aide à préparer la procédure en amont.

Mettre votre PME en conformité RGPD ?

Audit gratuit pour évaluer votre situation actuelle et chiffrer la mise en conformité.

0262 61 10 10