Conformité RGPD et cybersécurité : deux faces d'une même obligation
Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) impose à toute entreprise traitant des données personnelles de mettre en place des mesures de sécurité adaptées. Pour les PME, la frontière entre conformité RGPD et cybersécurité est souvent floue. Ce guide clarifie les obligations, les mesures techniques concrètes et les sanctions encourues, avec un plan d'action pragmatique.
RGPD et cybersécurité : pourquoi c'est lié ?
L'article 32 du RGPD impose aux responsables de traitement de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour garantir un niveau de sécurité adapté au risque. Concrètement, la conformité RGPD est impossible sans une politique de cybersécurité solide.
Ce que le RGPD exige en matière de sécurité (Art. 32)
- Pseudonymisation et chiffrement des données
- Confidentialité, intégrité et disponibilité des systèmes
- Capacité de restauration des données en cas d'incident
- Procédures de test et d'évaluation régulières
- Notification des violations sous 72 heures
- Documentation de toutes les mesures prises
En d'autres termes, une violation de données due à une faille de sécurité est aussi une violation du RGPD. C'est pourquoi la CNIL recommande de traiter cybersécurité et protection des données comme un seul et même chantier.
Les sanctions : ce que risque réellement une PME
Les amendes RGPD ne sont pas réservées aux géants de la tech. En 2025, la CNIL a prononcé 147 sanctions, dont 40 % contre des PME et ETI. Le montant moyen pour une PME se situe entre 10 000 et 150 000 €.
Sanctions financières
- • Jusqu'à 20 M€ ou 4 % du CA mondial
- • Amendes proportionnées à la taille de l'entreprise
- • Cumul possible avec les sanctions pénales
- • Publication des décisions (name & shame)
Exemples récents (PME)
- • Cabinet médical : 75 000 € (données patients non chiffrées)
- • E-commerce : 50 000 € (fuite de 15 000 comptes clients)
- • Agence immobilière : 20 000 € (données locataires non sécurisées)
- • Éditeur SaaS : 125 000 € (API non sécurisée)
Au-delà de l'amende, les conséquences commerciales sont souvent plus lourdes : perte de contrats publics, résiliation de partenariats, défiance des clients. La conformité RGPD est devenue un critère de sélection pour les appels d'offres et les due diligence.
Les 12 mesures techniques indispensables
La CNIL a publié un guide technique détaillant les mesures attendues. Voici les 12 mesures prioritaires pour une PME, classées par niveau de criticité :
Priorité Critique
- Chiffrement des données sensibles (AES-256 au repos, TLS 1.3 en transit)
- Authentification forte (MFA) pour tous les accès aux données personnelles
- Sauvegardes chiffrées et testées régulièrement (règle 3-2-1)
Priorité Élevé
- Gestion des droits d'accès (principe du moindre privilège)
- Journalisation et surveillance des accès aux données
- Mises à jour et correctifs de sécurité dans les 72h
- Chiffrement des postes de travail et appareils mobiles
Priorité Important
- Politique de mots de passe conforme aux recommandations CNIL 2024
- Segmentation réseau entre données personnelles et autres systèmes
- Procédure de suppression sécurisée des données (effacement, broyage)
- Tests d'intrusion annuels sur les systèmes traitant des données personnelles
- Plan de réponse aux incidents intégrant la notification CNIL sous 72h
DPO : faut-il en désigner un ?
Le Délégué à la Protection des Données (DPO) est obligatoire dans certains cas. Même quand il ne l'est pas, sa désignation est fortement recommandée par la CNIL pour les PME traitant des données sensibles.
DPO obligatoire si :
- • Organisme public ou autorité publique
- • Suivi régulier et systématique de personnes à grande échelle
- • Traitement de données sensibles à grande échelle (santé, biométrie, etc.)
Options pour les PME
- • DPO interne : salarié formé (coût : formation + temps dédié)
- • DPO externalisé : prestataire spécialisé (1 500 – 5 000 €/an)
- • DPO mutualisé : partagé entre plusieurs PME
Le DPO et le RSSI (ou RSSI externalisé) sont complémentaires : le DPO veille à la conformité juridique, le RSSI à la sécurité technique. Dans les PME, ces deux rôles peuvent être assurés par le même prestataire externe pour optimiser les coûts.
Plan de mise en conformité en 10 étapes
Cartographier vos traitements de données
Recensez tous les traitements de données personnelles : fichiers clients, paie, vidéosurveillance, newsletter, etc. Utilisez le modèle de registre CNIL.
Identifier les bases légales
Pour chaque traitement, identifiez la base légale : consentement, contrat, obligation légale, intérêt légitime. Documentez vos choix.
Auditer la sécurité actuelle
Réalisez un audit cybersécurité ciblé sur les systèmes traitant des données personnelles. Identifiez les écarts avec les recommandations CNIL.
Mettre en place les mesures techniques
Déployez les 12 mesures techniques prioritaires : chiffrement, MFA, sauvegardes, gestion des accès, journalisation.
Rédiger les documents obligatoires
Politique de confidentialité, mentions d'information, registre des traitements, contrats sous-traitant (Art. 28), AIPD si nécessaire.
Organiser la gestion des droits
Mettez en place une procédure pour répondre aux demandes d'accès, rectification, effacement et portabilité dans le délai d'un mois.
Former les collaborateurs
Sensibilisez toutes les équipes aux bonnes pratiques RGPD et cybersécurité. Formez spécifiquement les équipes qui manipulent des données sensibles.
Préparer la gestion des violations
Rédigez une procédure de notification : détection, évaluation de la gravité, notification CNIL sous 72h, communication aux personnes concernées.
Auditer vos sous-traitants
Vérifiez la conformité RGPD de vos prestataires IT, hébergeurs, SaaS. Mettez à jour les contrats avec les clauses de l'article 28.
Planifier les revues périodiques
Programmez un audit de conformité annuel, une mise à jour du registre trimestrielle et un test d'intrusion annuel.
Violation de données : la procédure de notification
En cas de violation de données personnelles, le RGPD impose une procédure stricte. Le non-respect des délais de notification est l'un des motifs de sanction les plus fréquents.
Détection et containment : identifier la violation, limiter la propagation, préserver les preuves
Évaluation : nature des données, nombre de personnes, gravité, risques pour les droits et libertés
Décision de notification : si risque pour les personnes → notification CNIL obligatoire
Notification CNIL : via le téléservice en ligne, avec toutes les informations disponibles
Si risque élevé : notification individuelle des personnes concernées (email, courrier)
Documentation complète, retour d'expérience, mise à jour des mesures de sécurité
Besoin d'un accompagnement RGPD & cybersécurité ?
Nos consultants certifiés vous accompagnent dans votre mise en conformité RGPD avec une approche intégrée cybersécurité : audit, mesures techniques, documentation et formation de vos équipes.
Demander un audit RGPD