RGPD pour les PME réunionnaises
— vos obligations en pratique
Le RGPD n'est pas une option, même pour une TPE de 3 salariés. En 2025, la CNIL a prononcé 486 millions d'euros de sanctions — un record historique. Les PME réunionnaises ne sont pas à l'abri : la procédure simplifiée cible précisément les petites structures.
Registre des traitements obligatoire, notification CNIL sous 72h en cas de violation, droits des personnes à respecter, sous-traitants à encadrer contractuellement. ECLAUD IT accompagne les PME de La Réunion dans leur mise en conformité RGPD : audit, registre, politique de sécurité, DPO externalisé.
Ce que le RGPD impose concrètement aux PME
Le Règlement Général sur la Protection des Données s'applique à toute organisation qui traite des données personnelles — sans seuil minimum de taille ou de chiffre d'affaires. Votre fichier clients, les bulletins de paie de vos salariés, les adresses e-mail de vos prospects, les cookies de votre site web : tout cela constitue du traitement de données personnelles au sens du RGPD.
Pour une PME réunionnaise, les obligations se résument à quatre piliers : documenter (registre des traitements), sécuriser (mesures techniques et organisationnelles), informer (droits des personnes, politique de confidentialité) et réagir (notification CNIL sous 72h en cas de violation). Ce n'est pas de la théorie — la procédure simplifiée de la CNIL, en place depuis avril 2022, cible spécifiquement les TPE et professions libérales.
« 48 % des PME françaises n'ont aucune stratégie de cybersécurité formalisée — et la plupart n'ont pas de registre des traitements conforme RGPD. » — Étude Konica Minolta / IFOP, 2025
À La Réunion, la situation est encore plus contrastée. Le tissu économique est composé à 95 % de TPE-PME. Beaucoup travaillent avec un fichier Excel pour leur fichier clients, un hébergeur web non conforme et aucune documentation RGPD. Le jour d'un contrôle CNIL ou d'un ransomware qui exfiltre les données, les conséquences sont lourdes — financièrement et en termes de réputation.
Les 5 obligations RGPD concrètes pour votre PME
Registre des traitements
Documenter chaque traitement de données personnelles : finalité, catégories de données, durée de conservation, mesures de sécurité. Obligatoire pour toute entreprise, même une TPE de 2 salariés.
Sécurité des données
Mettre en place des mesures techniques et organisationnelles appropriées : chiffrement, sauvegardes, contrôle d'accès, pseudonymisation. La CNIL vérifie la proportionnalité des mesures par rapport aux risques.
Notification CNIL sous 72h
En cas de violation de données (ransomware, fuite, accès non autorisé), vous devez notifier la CNIL dans les 72 heures et informer les personnes concernées si le risque est élevé.
Droits des personnes
Répondre aux demandes d'accès, de rectification, d'effacement et de portabilité de vos clients, patients ou salariés. Délai légal : 1 mois maximum.
Encadrement des sous-traitants
Vos prestataires IT, hébergeurs cloud et éditeurs SaaS doivent avoir des clauses RGPD dans leurs contrats. Vous restez responsable du traitement même si les données sont chez un tiers.
Sanctions CNIL et risques pour les PME — chiffres 2025
L'année 2025 marque un tournant dans la répression CNIL. Avec 486 millions d'euros de sanctions cumulées — neuf fois plus qu'en 2024 — la Commission a clairement accéléré. Les sujets ciblés : cookies non conformes, surveillance des salariés, défaut de sécurité des données, et transferts hors UE non encadrés.
Multiplication par 9 par rapport à 2024 (55,2 M€). La CNIL durcit considérablement ses sanctions.
La procédure simplifiée (depuis avril 2022) cible spécifiquement les TPE et professions libérales.
Ou 4 % du chiffre d'affaires annuel mondial. Pour une PME, les amendes typiques vont de 5 000 € à 500 000 €.
Pour une PME, les sanctions typiques vont de 5 000 à 150 000 euros. Mais le plus dangereux n'est pas l'amende — c'est la publication de la sanction. Quand la CNIL publie le nom de votre entreprise sur son site (le fameux "name & shame"), l'impact sur votre réputation commerciale peut être dévastateur. Vos clients, partenaires et prospects le verront en cherchant votre nom sur Google.
Les manquements les plus fréquemment sanctionnés chez les PME : absence de registre des traitements, défaut de sécurité (mots de passe en clair, sauvegardes non chiffrées), non-respect du droit d'opposition, bandeau cookies non conforme. Des éléments que l'on corrige en quelques semaines avec un accompagnement structuré.
Au-delà des sanctions administratives, le RGPD prévoit des sanctions pénales pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende pour les cas les plus graves (collecte frauduleuse, détournement de finalité). Des poursuites pénales rares, mais qui existent.
Comment ECLAUD IT vous met en conformité RGPD
Nous ne vendons pas du papier. Notre approche RGPD est opérationnelle : on audite votre SI, on identifie les écarts, on corrige les failles techniques et on formalise la documentation. Résultat : une conformité qui tient dans le temps, pas un dossier qui prend la poussière.
Audit RGPD initial
Cartographie de vos traitements de données, identification des écarts de conformité, évaluation des risques. Livrable : rapport avec plan d'actions priorisé.
Registre des traitements
Rédaction et mise en place de votre registre conforme CNIL. Nous documentons chaque traitement : RH, clients, fournisseurs, site web, vidéosurveillance.
Politique de sécurité
Charte informatique, procédures de gestion des incidents, politique de mots de passe, chiffrement des données sensibles. Conforme aux recommandations ANSSI.
DPO externalisé
Délégué à la Protection des Données en temps partagé. Interface CNIL, veille réglementaire, formation de vos équipes, gestion des demandes de droits.
Ce qui nous distingue d'un cabinet de conseil RGPD classique : nous sommes aussi votre prestataire IT. Quand l'audit révèle que vos sauvegardes ne sont pas chiffrées ou que votre hébergeur n'est pas conforme, on ne se contente pas de l'écrire dans un rapport — on le corrige. La sécurité technique et la conformité juridique avancent ensemble.
Pour les PME réunionnaises, nous proposons un accompagnement de proximité : audit sur site, formation de vos équipes en présentiel, interlocuteur unique joignable au 06 58 56 53 79.
RGPD et sous-traitants cloud — ce que vous devez vérifier
Votre responsabilité RGPD ne s'arrête pas aux murs de votre entreprise. Dès que vous confiez des données personnelles à un prestataire (hébergeur, éditeur SaaS, comptable en ligne, CRM cloud), vous restez responsable du traitement au sens du RGPD. C'est le principe de responsabilité conjointe.
En pratique, cela signifie trois choses pour votre PME :
Clauses contractuelles RGPD
Chaque contrat avec un sous-traitant doit comporter des clauses RGPD (article 28) : objet et durée du traitement, nature des données, obligations de sécurité, sort des données en fin de contrat. Si votre prestataire IT ou votre hébergeur n'a pas ces clauses, vous êtes tous les deux en infraction.
Hébergement HDS pour les données de santé
Si vous traitez des données de santé (cabinet médical, dentaire, pharmacie, mutuelle, RH avec arrêts maladie détaillés), votre hébergeur doit être certifié HDS. Ce n'est pas une recommandation — c'est une obligation légale (article L1111-8 du Code de la santé publique). ECLAUD IT travaille exclusivement avec des hébergeurs certifiés HDS pour les données sensibles.
Transferts hors Union européenne
Si votre CRM, votre messagerie ou votre sauvegarde cloud stockent des données sur des serveurs hors UE, vous devez encadrer le transfert : clauses contractuelles types (SCC), décision d'adéquation, ou Data Privacy Framework pour les États-Unis. La CNIL contrôle de plus en plus ces transferts — plusieurs entreprises françaises ont été sanctionnées pour utilisation de Google Analytics sans garanties suffisantes.
Nous auditons l'ensemble de votre chaîne de sous-traitance IT : hébergement, SaaS, sauvegarde cloud, outils collaboratifs. Pour chaque prestataire, nous vérifions la localisation des données, les certifications, les clauses contractuelles. Résultat : une cartographie claire de vos flux de données et un plan de remédiation si nécessaire.
Tarifs conformité RGPD pour PME
| Prestation | Contenu | Tarif indicatif |
|---|---|---|
| Audit RGPD ponctuel | Cartographie des traitements, identification des écarts, rapport avec plan d'actions priorisé | 1 500 — 3 500 € |
| Accompagnement complet | Audit + registre + politique sécurité + charte IT + formation équipe | 3 000 — 6 000 € |
| DPO externalisé | Interface CNIL, veille réglementaire, gestion des demandes de droits, formation continue | À partir de 300 €/mois |
Tarifs indicatifs pour une PME de 5 à 50 salariés. Le DPO externalisé est mutualisable entre plusieurs structures du même secteur. Toutes les prestations sont éligibles au crédit d'impôt formation et déductibles fiscalement.
FAQ — RGPD pour les PME
Le RGPD s'applique-t-il à ma PME de moins de 10 salariés ?
Oui, sans exception. Le RGPD s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille. Même un auto-entrepreneur avec un fichier clients Excel est concerné. La seule nuance : les entreprises de moins de 250 salariés bénéficient d'un allègement sur certaines obligations documentaires — mais le registre des traitements reste obligatoire dès lors que le traitement n'est pas occasionnel.
Quelles sanctions risque concrètement une PME réunionnaise ?
La CNIL utilise désormais la procédure simplifiée pour les PME et professions libérales. Les amendes typiques pour une PME vont de 5 000 € à 150 000 € : défaut de sécurité, cookies non conformes, absence de registre. Au-delà de l'amende, la publication de la sanction (name & shame) peut être dévastatrice pour votre réputation. En 2025, la CNIL a prononcé 486 M€ de sanctions cumulées.
Dois-je nommer un DPO (Délégué à la Protection des Données) ?
Le DPO est obligatoire si vous traitez des données sensibles à grande échelle (santé, données judiciaires) ou si vous effectuez un suivi régulier et systématique des personnes. En pratique, un cabinet médical ou un cabinet comptable doit avoir un DPO. Pour les autres PME, ce n'est pas obligatoire mais fortement recommandé. ECLAUD IT propose un service de DPO externalisé adapté aux PME.
Mon hébergeur cloud est-il conforme RGPD ?
Pas forcément. Si votre hébergeur transfère des données hors UE (serveurs aux États-Unis par exemple), il doit mettre en place des clauses contractuelles types ou s'appuyer sur le Data Privacy Framework UE-US. Pour les données de santé, l'hébergeur doit être certifié HDS. ECLAUD IT audite vos sous-traitants et s'assure que les contrats comportent les clauses RGPD obligatoires.
Combien coûte une mise en conformité RGPD pour une PME ?
Un audit RGPD ponctuel pour une PME de 5 à 20 salariés coûte entre 1 500 € et 3 500 €. L'accompagnement complet (audit + registre + politique sécurité + formation) se situe entre 3 000 € et 6 000 €. Le DPO externalisé mensuel démarre à 300 €/mois. C'est un investissement minime comparé au risque d'amende CNIL ou de perte de réputation.
Quels changements RGPD en 2025-2026 affectent les PME ?
Trois évolutions majeures : le Data Act (septembre 2025) encadre le partage des données IoT et industrielles. L'IA Act (août 2026) impose des obligations de transparence pour les systèmes d'IA à haut risque. Et la CNIL renforce ses contrôles sur les cookies, la sécurité des données et les transferts hors UE. Si vous utilisez des outils IA (ChatGPT, copilotes), vous devez documenter ces traitements dans votre registre.
Votre conformité RGPD
mérite un expert terrain
Audit RGPD gratuit — identification des écarts, plan d'actions priorisé, sans engagement.