Saviez-vous que la majorité des PME ne savent pas précisément quelles données elles collectent, où elles sont stockées, ni qui y a accès ? C’est pourtant la première question que pose la CNIL lors d’un contrôle — et l’ignorance n’est pas une défense recevable.
Protéger des données sensibles ne commence pas par installer un antivirus. Ça commence par savoir ce que vous protégez.
Qu’est-ce qu’une donnée sensible au sens du RGPD ?
Le Règlement Général sur la Protection des Données établit une distinction claire entre données personnelles et données dites « sensibles ».
Les données personnelles (article 4 RGPD)
Toute information permettant d’identifier directement ou indirectement une personne physique : nom, prénom, adresse email professionnelle, numéro de téléphone, adresse IP, identifiant client, numéro de contrat. La quasi-totalité des entreprises en traitent, souvent sans en avoir conscience.
Les données sensibles (article 9 RGPD)
Le RGPD interdit par principe leur traitement, sauf exceptions strictement encadrées. Sont concernées :
- Données révélant l’origine raciale ou ethnique
- Opinions politiques, convictions religieuses ou philosophiques
- Appartenance syndicale
- Données génétiques et biométriques
- Données de santé
- Données relatives à la vie sexuelle ou à l’orientation sexuelle
- Données relatives aux infractions et condamnations pénales
Pour une PME, les données de santé des salariés (arrêts maladie, dossiers médicaux, mutuelle) et les données biométriques (badgeage par empreinte digitale) sont les cas les plus courants.
Les données stratégiques (non RGPD mais tout aussi critiques)
En dehors du périmètre RGPD, vos données métiers constituent un actif stratégique dont la compromission peut être fatale : bases clients, secrets de fabrication, plans commerciaux, contrats fournisseurs, données financières non publiques. Leur gouvernance dépend moins du droit que de votre politique de sécurité interne.
Pourquoi la classification des données est indispensable
Sans classification, tous les fichiers se ressemblent. Un tableur contenant des salaires a le même aspect qu’un compte-rendu de réunion. Résultat : même niveau d’accès, même niveau de protection, même niveau de risque.
La classification des données permet de calibrer la protection au niveau de sensibilité réel de chaque information. C’est aussi le fondement de tout audit de conformité RGPD sérieux.
Les 4 niveaux de classification recommandés pour une PME
| Niveau | Définition | Exemples | Mesures minimales |
|---|---|---|---|
| Public | Information destinée à être diffusée librement | Site web, plaquettes commerciales, offres d’emploi | Aucune restriction |
| Interne | Usage collaborateurs uniquement, sans impact majeur en cas de fuite | Procédures internes, comptes-rendus de réunion, planning | Accès limité aux collaborateurs, pas de partage externe |
| Confidentiel | Impact sérieux en cas de divulgation non autorisée | Données clients, contrats, données RH courantes, données financières | Chiffrement au repos, accès basé sur les rôles, journalisation |
| Secret / Critique | Dommages graves ou irréversibles en cas de fuite | Brevets, salaires détaillés, données de santé, clés d’accès | Chiffrement fort, accès très restreint, traçabilité complète, stockage isolé |
Comment réaliser votre inventaire des données
L’inventaire n’est pas un projet informatique — c’est un projet organisationnel. Il implique chaque département :
- Listez les flux de données : quelles données entrent dans votre entreprise, lesquelles sont créées en interne, lesquelles sortent vers des tiers ?
- Identifiez les responsables métier : qui crée, qui consulte, qui modifie chaque catégorie de données ?
- Localisez les stockages : serveurs on-premise, NAS, cloud (OneDrive, SharePoint, Google Drive), messagerie, ordinateurs portables, clés USB.
- Évaluez la durée de conservation : combien de temps avez-vous réellement besoin de chaque donnée ? Le RGPD impose une limitation de durée.
Vos obligations RGPD concrètes
Le registre des activités de traitement (article 30)
Obligatoire pour toutes les entreprises de plus de 250 salariés, et fortement recommandé pour toutes les PME (la CNIL le demande lors de tout contrôle). Ce registre doit mentionner pour chaque traitement :
- La finalité (pourquoi vous traitez ces données)
- Les catégories de données concernées
- Les personnes concernées (clients, salariés, prospects)
- Les destinataires (sous-traitants, partenaires)
- La durée de conservation
- Les mesures de sécurité mises en place
Un modèle de registre est disponible directement sur le site de la CNIL. Sa tenue n’est pas optionnelle : son absence est systématiquement sanctionnée lors des contrôles.
La désignation d’un DPO (Délégué à la Protection des Données)
Le DPO est obligatoire pour les organismes publics, les entreprises traitant des données sensibles à grande échelle, et celles dont l’activité principale consiste en un suivi régulier et systématique de personnes à grande échelle. Pour les PME non concernées par cette obligation, la désignation d’un référent RGPD interne (ou externalisé) est fortement recommandée.
La notification des violations de données (article 33)
En cas de fuite ou d’intrusion ayant compromis des données personnelles, vous avez 72 heures pour notifier la CNIL — même si vous ne savez pas encore précisément quelles données ont été exposées. Passé ce délai, la sanction est automatique.
La notification doit décrire : la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables, et les mesures prises ou envisagées.
Les droits des personnes concernées
Vos clients, salariés et prospects disposent de droits que vous devez être en capacité d’exercer sous 30 jours :
- Droit d’accès : fournir une copie de toutes les données détenues sur la personne
- Droit de rectification : corriger des données inexactes
- Droit à l’effacement (« droit à l’oubli ») : supprimer les données sur demande, sous conditions
- Droit à la portabilité : fournir les données dans un format structuré et lisible par machine
- Droit d’opposition : cesser tout traitement à des fins de prospection commerciale
Si vous ne disposez pas d’un outil vous permettant de retrouver rapidement toutes les données relatives à une personne, exercer ces droits devient impossible — et le refus ou le retard est sanctionnable.
Mettre en place une politique de gouvernance des données : par où commencer
Étape 1 — Cartographier avant de protéger
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Avant tout investissement technique, consacrez une semaine à l’inventaire (voir section précédente). C’est cet inventaire qui déterminera quels outils sont réellement nécessaires.
Étape 2 — Appliquer le principe du moindre privilège
Chaque collaborateur ne devrait accéder qu’aux données strictement nécessaires à son travail. Un commercial n’a pas besoin d’accéder aux bulletins de salaire. Un technicien prestataire n’a pas besoin d’un accès permanent à vos partages réseau.
En pratique : revoyez vos groupes Active Directory, segmentez vos partages, révoquez systématiquement les accès des prestataires après intervention.
Étape 3 — Chiffrer les données critiques
Le chiffrement rend vos données inutilisables en cas de vol physique (ordinateur portable volé) ou d’exfiltration réseau. Pour les données classées « Confidentiel » et « Secret » :
- Au repos : chiffrement des disques (BitLocker sous Windows, FileVault sous macOS), chiffrement des bases de données
- En transit : TLS 1.2 minimum pour toutes les communications, VPN pour les accès distants
- Les emails : les pièces jointes contenant des données sensibles doivent être chiffrées (PDF protégé, archive chiffrée) avant envoi
Étape 4 — Définir et documenter les durées de conservation
La conservation illimitée est une faute RGPD. Définissez une politique claire :
- Données clients actifs : durée de la relation + 3 ans (prescription commerciale)
- Données de prospects non convertis : 3 ans maximum après le dernier contact
- Bulletins de salaire : 5 ans (obligation légale)
- Données de candidats non retenus : 2 ans maximum
- Logs de connexion et d’accès : 1 an (recommandation CNIL)
Automatisez la purge : une politique de rétention dans votre messagerie et votre GED vaut mieux que de compter sur la bonne volonté de chaque collaborateur.
Étape 5 — Former et sensibiliser régulièrement
La gouvernance des données n’est pas qu’une affaire de DSI. C’est une responsabilité partagée. Chaque collaborateur qui crée, manipule ou transmet des données est un maillon de la chaîne. Une formation annuelle de 30 minutes sur les bonnes pratiques (où stocker, comment partager, quoi signaler) suffit à réduire drastiquement les risques d’incident humain.
RCB Informatique vous accompagne dans votre mise en conformité
La mise en conformité RGPD et la gouvernance des données sont des chantiers structurants, mais ils n’ont pas à être douloureux si vous êtes bien accompagné. RCB Informatique intervient à chaque étape :
- Audit RGPD : évaluation de votre niveau de conformité actuel, identification des lacunes prioritaires.
- Mise en place du registre des traitements : structuration et documentation de vos flux de données.
- Déploiement technique : chiffrement, gestion des accès (Active Directory, MFA), politique de rétention automatisée.
- Référent RGPD externalisé : si vous avez besoin d’un DPO sans vouloir recruter en interne.
Découvrez nos solutions de sécurité et conformité
Ce qu’il faut retenir
La protection des données sensibles ne se réduit pas à un antivirus ou un pare-feu. C’est une démarche de gouvernance qui commence par savoir ce que vous avez, qui y accède, combien de temps vous le conservez, et ce que vous faites en cas d’incident.
Le RGPD n’est pas une contrainte supplémentaire : c’est un cadre qui, bien appliqué, vous force à adopter les bonnes pratiques qui protégeront réellement votre entreprise. Les PME qui l’ont compris y voient aujourd’hui un avantage concurrentiel face à leurs clients grands comptes qui exigent des garanties de conformité de leurs sous-traitants.
Demandez votre audit gratuit à RCB Informatique
