Peut-on utiliser HubSpot ou Salesforce en étant conforme RGPD ?

Oui, à condition de signer un DPA avec le fournisseur, configurer les paramètres de confidentialité, informer les personnes concernées et s'assurer de l'absence de transfert hors UE sans garanties adéquates.

Nous contacter Accès InfraBoard

Besoin d'aide ?

hello@infranat.fr 04 28 29 40 72

État des services

Guide RGPD PME 2025

Votre entreprise est-elle vraiment conforme RGPD ?

Les sanctions sont réelles : jusqu'à 4% du CA mondial ou 20 millions d'euros. Voici ce que votre PME doit faire concrètement, sans jargon juridique, pour être en règle.

Audit conformité RGPD Protection des données

Les 6 obligations RGPD pour les PME

Le RGPD n'est pas réservé aux grandes entreprises. Toute organisation qui traite des données de résidents européens est concernée.

Tenir le registre des traitements

Tout traitement de données personnelles doit être documenté : finalité, données traitées, base légale, durée de conservation, sous-traitants impliqués. C'est le point de départ de toute conformité RGPD.

Obligatoire pour toutes les entreprises

Nommer un DPO si obligatoire

Un DPO (Délégué à la Protection des Données) est obligatoire pour les organismes publics, ceux traitant des données à grande échelle, ou des données sensibles. Pour les PME standards, il reste fortement recommandé même si non obligatoire.

Obligatoire selon secteur

Gérer les consentements

Chaque formulaire, cookie, newsletter, doit recueillir un consentement valide : explicite, libre, spécifique, et révocable à tout moment. Un pré-coché "j'accepte" n'est pas valide. La charge de la preuve vous incombe.

Formulaires + cookies

Sécuriser les données informatiquement

Le RGPD exige des "mesures techniques et organisationnelles appropriées". Concrètement : chiffrement des données, contrôle d'accès, journalisation, gestion des patches, sauvegardes sécurisées. L'IT est le premier rempart de conformité.

Chiffrement + contrôle accès

Gérer les sous-traitants (DPA)

Chaque prestataire qui traite des données personnelles pour votre compte doit signer un DPA (Data Processing Agreement). Cloud, hébergeur, CRM, RH, prestataire IT... La liste est souvent plus longue qu'on ne le pense.

Contrat avec chaque sous-traitant

Répondre aux demandes d'accès

Toute personne peut exercer ses droits : accès, rectification, effacement, portabilité. Vous avez 30 jours pour répondre. Sans processus défini, vous risquez de dépasser ce délai sans vous en apercevoir.

Délai de réponse : 30 jours max

Les 3 secteurs les plus exposés aux sanctions CNIL

Ces secteurs concentrent le plus de mises en demeure et de sanctions. Êtes-vous concerné ?

Santé & médico-social

Les données de santé sont des données sensibles au sens du RGPD. Leur traitement nécessite une base légale spécifique et des mesures de sécurité renforcées. Les cabinets médicaux, EHPAD, et laboratoires sont fréquemment mis en demeure pour des failles basiques.

RH & recrutement

CV stockés indéfiniment, données de candidats non candidats retenus conservées au-delà de 2 ans, absence de mention d'information dans les offres d'emploi... Les DRH ont souvent de nombreuses non-conformités non identifiées.

E-commerce & retail

Cookies tiers non consentis, envoi de newsletters sans opt-in valide, conservation des données de commande au-delà du nécessaire. L'amende Google de 150M€ et Meta de 390M€ ont mis ce secteur sous haute surveillance.

Les sanctions en chiffres

20M€

Amende maximale ou 4% du CA mondial annuel — le montant le plus élevé s'applique.

72h

Délai pour notifier la CNIL en cas de violation de données. Passé ce délai, sanction aggravée.

+50%

Hausse des plaintes reçues par la CNIL en 2024 vs 2022. La pression réglementaire s'intensifie.

Ce que votre prestataire IT doit vous fournir

La conformité RGPD n'est pas qu'un sujet juridique. Votre prestataire informatique est un maillon critique de votre conformité.

Un DPA (Data Processing Agreement) signé

Description précise des données traitées pour votre compte
Finalités et durées de traitement documentées
Mesures de sécurité techniques garanties
Engagement de sous-traitance conforme (hébergeurs, cloud)

Chiffrement au repos et en transit

Chiffrement AES-256 des données stockées (serveurs, sauvegardes)
TLS 1.3 minimum pour toutes les transmissions
Chiffrement des postes de travail (BitLocker, FileVault)
Clés de chiffrement gérées par le client (pas uniquement le prestataire)

Journalisation des accès

Logs d'accès aux systèmes contenant des données personnelles
Conservation des logs pendant la durée légale
Alertes sur les accès anormaux ou non autorisés
Accès aux logs sur demande pour audit

Procédure de notification de breach

Détection et qualification d'un incident sous 24h
Notification au responsable de traitement sous 24h
Aide à la rédaction de la notification CNIL (délai 72h)
Documentation de l'incident pour le registre des traitements

Checklist RGPD PME 2025

Utilisez cette liste pour évaluer rapidement votre niveau de conformité.

Les 15 points de conformité RGPD

Registre des traitements créé et maintenu à jour

Base légale identifiée pour chaque traitement (consentement, contrat, intérêt légitime...)

DPO nommé ou désigné si obligatoire

Bandeau cookies conforme (refus aussi simple qu'accepter)

Formulaires avec consentement explicite et mention d'information

Durées de conservation définies pour chaque catégorie de données

DPA signé avec chaque sous-traitant IT (hébergeur, CRM, RH, prestataire)

Procédure de réponse aux droits des personnes (accès, rectification, effacement)

Chiffrement des données sensibles au repos et en transit

Accès aux données limités au strict nécessaire (principe de minimisation)

Journalisation des accès aux données personnelles

Procédure de notification en cas de violation de données (72h CNIL)

Politique de mots de passe et MFA sur les systèmes critiques

Sensibilisation des collaborateurs au RGPD

Politique de purge des données obsolètes appliquée

Comment Infranat vous aide à être conforme

Nous prenons en charge le volet technique de votre conformité RGPD — le plus souvent le plus difficile à mettre en place sans expertise IT.

DPA inclus dans tous nos contrats

Notre DPA détaille précisément les données que nous traitons, comment, pendant combien de temps, et avec quels sous-traitants. Conforme RGPD et mis à jour à chaque évolution réglementaire.

Chiffrement AES-256 bout en bout

Toutes les données gérées par Infranat sont chiffrées en AES-256 au repos et en TLS 1.3 en transit. Les clés sont sous votre contrôle exclusif. Hébergement en France (HDS disponible sur demande).

Journaux d'audit disponibles

Logs d'accès complets conservés et exportables sur demande. En cas de contrôle CNIL ou d'audit, nous fournissons les preuves techniques de conformité.

Procédure breach < 72 heures

En cas de violation de données, nous qualifions l'incident en moins de 24h et vous assistons dans la rédaction de la notification CNIL pour respecter le délai légal de 72 heures.

Votre conformité RGPD a des lacunes ?

Audit de conformité RGPD gratuit : nous évaluons votre situation actuelle et vous remettons un plan d'action priorisé.

Audit RGPD gratuit 04 28 29 40 72

Questions fréquentes

Mon PME est-elle vraiment concernée par le RGPD ?

Oui. Le RGPD s'applique à toute organisation qui traite des données personnelles de résidents de l'Union Européenne, quelle que soit sa taille. Il n'existe pas de seuil minimum d'employés ou de CA. Si vous avez des clients, des salariés, des prospects — vous traitez des données personnelles et êtes soumis au RGPD.

Quelle est la différence entre un DPO et un RSSI ?

Le DPO (Délégué à la Protection des Données) est un rôle juridico-organisationnel : il veille à la conformité RGPD, conseille l'entreprise et fait le lien avec la CNIL. Le RSSI (Responsable Sécurité des Systèmes d'Information) est un rôle technique : il supervise la sécurité informatique. Les deux rôles sont complémentaires — un ne remplace pas l'autre.

Peut-on utiliser des outils comme HubSpot ou Salesforce en étant conforme RGPD ?

Oui, à condition de signer un DPA avec le fournisseur, de configurer les paramètres de confidentialité correctement (désactiver les transferts tiers non autorisés), d'informer les personnes concernées de l'utilisation de ces outils dans votre politique de confidentialité, et de vous assurer que les données ne sont pas transférées hors UE sans garanties adéquates (clauses contractuelles types).

Que risque-t-on réellement en cas de contrôle CNIL ?

La CNIL peut prononcer : un avertissement (pas de sanction mais obligation de se mettre en conformité), une mise en demeure avec délai, ou une sanction financière pouvant aller jusqu'à 20M€ ou 4% du CA mondial. Pour les PME, les sanctions sont généralement proportionnées, mais même les petites structures ont été sanctionnées à plusieurs dizaines de milliers d'euros pour des manquements basiques.

Combien de temps faut-il pour se mettre en conformité RGPD ?

Pour une PME standard de 10 à 50 personnes, une mise en conformité initiale prend généralement 2 à 4 mois : 1 mois pour l'audit et le registre des traitements, 1 mois pour les aspects techniques (sécurité, DPA prestataires), 1-2 mois pour les aspects organisationnels (politiques, formulaires, charte). La conformité est ensuite un processus continu, pas un projet ponctuel.

Conformité RGPD : ne laissez plus ça au hasard

DPA inclus · Chiffrement AES-256 · Journaux d'audit · Procédure breach 72h

Demander un audit RGPD gratuit

Ces secteurs nous font confiance

Découvrez nos solutions adaptées à votre métier