+33 1 84 16 30 16 contact@e-voir.fr
204 avenue de Versailles
75016 Paris
09:15 - 18:30
Du lundi au vendredi

Conformité RGPD pour PME à Paris — ce que l'informaticien peut faire pour vous

La CNIL a infligé 89 millions d'euros d'amendes en 2023, avec une hausse de 43 % des contrôles ciblant les TPE-PME. Le RGPD s'applique à toutes les entreprises qui traitent des données personnelles — sans exception de taille. Ce n'est pas réservé aux grandes entreprises.

Evoir intervient sur la partie technique et informatique de la conformité RGPD : chiffrement des données, gestion des accès, sauvegardes documentées, procédures d'offboarding et politique de sécurité. La partie juridique (registre des traitements, DPO) relève d'un juriste. Nous intervenons en complémentarité avec votre conseil.

Audit RGPD technique gratuit Demander un devis
Chiffres à connaître
89 M€
d'amendes CNIL en 2023
Hausse de 43 % des contrôles sur les TPE-PME
72h
pour notifier la CNIL
En cas de fuite de données présentant un risque pour les personnes
4 %
du CA mondial maximum
Sanction maximale pour les infractions les plus graves
100 %
des PME concernées
Dès que vous traitez des données de salariés, clients ou fournisseurs UE

Ce que nous mettons en place pour votre conformité RGPD côté IT

La conformité RGPD repose sur deux piliers complémentaires : la gouvernance (registre, DPO, politique de confidentialité — pour votre juriste) et la sécurité technique (chiffrement, accès, sauvegardes — pour nous).

Chiffrement des données

BitLocker sur tous les postes Windows, FileVault sur Mac. Si un poste est volé ou perdu, les données sont inaccessibles. Obligatoire pour toute PME qui stocke des données personnelles sur ses équipements.

Gestion des accès par profil

Accès aux données personnelles limités aux personnes qui en ont besoin dans le cadre de leur fonction. Un commercial n'a pas besoin d'accéder aux données RH. Un stagiaire ne doit pas voir les données de tous les clients.

Procédure d'offboarding documentée

Désactivation immédiate des comptes, récupération et archivage des fichiers, révocation des accès VPN. Un ancien employé ne doit plus avoir accès aux données de l'entreprise après son départ.

Sauvegardes documentées et testées

Le RGPD impose de garantir l'intégrité et la disponibilité des données. Des sauvegardes testées trimestriellement, avec un rapport documenté, constituent une preuve de mise en conformité.

Messagerie sécurisée

SPF, DKIM, DMARC et MFA sur Exchange Online. La messagerie est le vecteur principal des fuites de données. Un email intercepté contenant des données personnelles est une violation RGPD.

Documentation de sécurité

Politique de sécurité informatique documentée (mots de passe, accès, sauvegarde). Ce document est la preuve que vous avez pris des mesures techniques appropriées — requis en cas de contrôle CNIL.

Ce qu'Evoir ne fait pas — et qui relève d'un juriste ou DPO

La conformité RGPD a deux dimensions. Voici clairement ce qui relève de votre conseil juridique, et ce qui relève de nous.

Registre des traitements

L'inventaire de tous vos traitements de données personnelles (quelles données, pour quelle finalité, quelle durée, quels destinataires) est un document juridique. Il relève de votre DPO ou de votre juriste — pas de votre informaticien. Nous pouvons vous fournir l'inventaire technique des systèmes, qui servira de base à ce registre.

Politique de confidentialité et mentions légales

Les textes juridiques (politique de confidentialité sur votre site, clauses contractuelles, mentions légales) relèvent d'un avocat ou d'un DPO. En revanche, nous veillons à ce que les outils techniques que vous utilisez (formulaires, CRM, newsletter) respectent les bases légales définies par votre juriste.

En cas de violation de données — ce qu'on fait ensemble

En cas d'incident (ransomware, vol de poste, accès non autorisé), nous analysons l'étendue de la violation, nous isolons les systèmes compromis, nous préservons les preuves et nous vous aidons à évaluer si une notification CNIL est nécessaire. La rédaction de la notification elle-même peut impliquer un juriste.

Questions fréquentes — RGPD et informatique PME

Le RGPD s'applique-t-il aux petites entreprises ?

Oui. Toute organisation traitant des données personnelles de résidents européens est concernée, quelle que soit sa taille. La CNIL a infligé 89 M€ d'amendes en 2023 avec 43 % de contrôles en hausse sur les TPE-PME.

Une fuite de données doit-elle être déclarée ?

Oui, dans les 72 heures si la fuite présente un risque pour les personnes concernées. En cas d'incident, Evoir vous aide à évaluer le risque et à rédiger la déclaration CNIL si nécessaire.

Evoir peut-il nous rendre conformes au RGPD ?

Sur la partie technique et informatique : oui (chiffrement, accès, sauvegardes, sécurité). Sur la partie juridique (registre des traitements, DPO, mentions légales) : il faut un juriste. Nous intervenons en complémentarité.

Qu'est-ce que la minimisation des données ?

Ne collecter que les données strictement nécessaires. En pratique : ne pas garder les pièces d'identité au-delà de la durée légale, supprimer les données des anciens employés après un délai défini, ne pas stocker des données de prospection indéfiniment.

Nos données hébergées chez Microsoft sont-elles conformes ?

Microsoft 365 offre des garanties de conformité RGPD via le Data Processing Agreement. Cependant, certains paramètres doivent être configurés (emplacement des données, rétention, accès des administrateurs). Evoir vérifie et documente cette configuration.

Faut-il un DPO dans une PME ?

Le DPO (Data Protection Officer) est obligatoire pour les organismes publics et certaines catégories d'entreprises traitant des données sensibles à grande échelle. Pour la plupart des PME, il n'est pas obligatoire mais recommandé. Un juriste spécialisé peut souvent remplir ce rôle de façon ponctuelle.

Commencer par l'audit technique RGPD — gratuit

L'audit évalue votre niveau de protection technique actuel : chiffrement, accès, sauvegardes, messagerie, procédures d'offboarding. Il débouche sur un rapport documenté — preuve que vous avez pris des mesures appropriées, et plan d'action pour combler les lacunes.

Audit technique RGPD gratuit Cybersécurité PME Sauvegarde données Cabinets avocats Contact
🔐

Chiffrement · Accès · Sauvegardes · Offboarding

Pages utiles pour aller plus loin

La conformité RGPD gagne à être reliée aux pratiques de sécurité, aux sauvegardes et aux secteurs les plus concernés.

Services liés à la protection des données

Cybersécurité pour PME

Réduire le risque avec MFA, EDR, pare-feu, sensibilisation et bonnes pratiques.
Sauvegarde des données

Sécuriser les restaurations et la continuité d’activité.
Hébergement serveur

Structurer l’hébergement, les accès et la protection des données.

Secteurs et pages utiles

Solutions pour cabinets médicaux

Continuité de service, poste de travail et sauvegarde dans un cadre exigeant.
Solutions pour cabinets d’avocats

Confidentialité, mobilité, M365 et organisation des accès en cabinet.
Audit informatique gratuit

Faire un point clair sur les risques, les priorités et les gains possibles avant de décider.