Microdiag
Microdiag
Microdiag
Fonctionnalités Pour qui Tarifs Outils Blog FAQ À propos
Connexion Essai gratuit
Guides

RGPD 2026 : checklist complète pour TPE-PME françaises

CNIL, NIS2, cyber-assurance : les obligations réelles d'une PME de moins de 50 salariés. Ce guide traduit le jargon juridique en actions concrètes, avec une checklist téléchargeable et un calendrier.

Équipe Sentinel 20 mai 2026 11 min
Article vedette
Sommaire

En 2026, le RGPD a 8 ans. La plupart des TPE-PME françaises ont vaguement entendu parler de la conformité — et n’ont rien fait. Ce n’est pas un jugement : les textes sont complexes, les conseils souvent contradictoires, et les priorités quotidiennes prennent le dessus.

Ce guide traduit les obligations réelles en actions concrètes, classées par priorité et par taille de structure. Pas de jargon, pas de droit en couche.

Ce que le RGPD exige réellement d’une PME

Le RGPD n’exige pas la perfection. Il exige la proportionnalité : vos mesures de protection doivent être adaptées à la sensibilité des données que vous traitez et aux risques associés. Une PME de 10 salariés qui gère des fiches clients (nom, email, téléphone) a des obligations bien différentes d’une clinique qui stocke des dossiers médicaux.

Les 5 obligations fondamentales applicables à toutes les structures, quelle que soit leur taille :

1. Tenir un registre des traitements

Tout ce que vous faites avec des données personnelles (client, salarié, prospect, fournisseur) doit être listé dans un registre. Pour chaque traitement : la finalité, les données concernées, les destinataires, la durée de conservation, les mesures de sécurité.

La CNIL fournit un modèle Excel gratuit. Un registre minimal d’une TPE tient en 5 à 10 lignes.

Ce que Microdiag apporte : le rapport d’audit Microdiag liste automatiquement tous les logiciels installés sur vos postes, leurs éditeurs et leurs connexions réseau — un point de départ pour identifier les traitements de données que vous ne soupçonniez pas.

2. Informer les personnes concernées

Chaque formulaire de collecte (contact, devis, newsletter, prise de RDV) doit mentionner : qui collecte, pourquoi, combien de temps, et les droits de la personne. Ce n’est pas une longue politique de confidentialité — une mention légale courte suffit la plupart du temps.

3. Gérer les droits des personnes

Droit d’accès, de rectification, d’effacement, de portabilité. En pratique : être capable de répondre à une demande d’un client ou salarié qui veut savoir quelles données vous détenez, ou les faire supprimer. Délai légal : un mois.

4. Sécuriser les données personnelles

C’est là que ça devient technique — et c’est là que la plupart des PME sont en défaut. Le RGPD exige des mesures techniques et organisationnelles appropriées. Traduction concrète :

  • Chiffrement des données sur les postes nomades
  • Contrôle d’accès (qui a accès à quoi, avec quel compte)
  • Journalisation des accès aux données sensibles
  • Sauvegardes régulières et testées
  • Mises à jour de sécurité appliquées

La surveillance continue de Microdiag Sentinel contribue directement à cette obligation : vous pouvez prouver que vos mises à jour sont appliquées, que vos postes sont conformes, et générer un rapport d’état à tout moment.

5. Notifier les violations de données

En cas de violation (ransomware, vol de données, accès non autorisé), vous avez 72 heures pour notifier la CNIL si la violation présente un risque pour les personnes. Si le risque est élevé, vous devez également en informer les personnes concernées.

Générer votre rapport RGPD en 3 minutes

Microdiag Sentinel produit automatiquement un rapport d’état de conformité : logiciels installés, mises à jour manquantes, état des sauvegardes, historique des connexions. Prêt pour votre DPA ou votre assureur.

Télécharger Microdiag Sentinel →

Ce que NIS2 change pour vous (en vigueur depuis 2024)

La directive NIS2, transposée en droit français en 2024, élargit le périmètre des structures soumises à des exigences renforcées. Deux catégories :

Entités essentielles : énergie, transport, santé, eau, infrastructure numérique, administrations — obligations strictes, contrôles ANSSI.

Entités importantes : services postaux, gestion des déchets, chimie, alimentation, fabrication, prestataires numériques — obligations allégées mais réelles.

Pour une PME classique (commerce, services, artisanat) : NIS2 ne s’applique pas directement. Mais si vous êtes sous-traitant d’une entité NIS2, votre client peut vous imposer ses propres exigences de sécurité par contrat.

Si vous êtes sous-traitant dans la santé, le juridique ou le secteur public, vérifiez vos contrats : certains imposent déjà des exigences spécifiques (chiffrement, journalisation, notification d’incident sous 24h) qui vont au-delà du RGPD standard.

Ce que votre assureur cyber exige (et ce que vous risquez sans)

Les polices cyber ont radicalement évolué depuis 2023. Les assureurs posent maintenant des questions techniques précises avant de couvrir :

  • Avez-vous un EDR ou une détection comportementale en place ?
  • Vos sauvegardes sont-elles testées régulièrement et protégées contre le ransomware ?
  • Appliquez-vous les mises à jour de sécurité dans les 30 jours ?
  • Avez-vous une authentification multi-facteurs sur les comptes critiques ?
  • Disposez-vous d’un plan de réponse aux incidents documenté ?

Une réponse négative peut entraîner une exclusion de garantie en cas de sinistre. Si vous payez une prime cyber sans avoir ces éléments en place, vous payez une couverture qui ne jouera pas.

L’agent Wazuh inclus dans Sentinelle Pro répond directement à la question de la détection comportementale (EDR). Les sauvegardes immuables Object Lock répondent à celle des backups ransomware-proof.

Checklist opérationnelle par priorité

Priorité 1 — Cette semaine (risque immédiat)

  • Mises à jour Windows : vérifier que tous les postes sont à jour, activer le mode automatique. Guide complet ici.
  • Comptes admin : recensez qui a des droits admin sur quoi. Restreindre aux personnes qui en ont besoin. Créer des comptes utilisateurs standard pour le quotidien.
  • Mots de passe : vérifier que les comptes critiques (messagerie, CRM, comptabilité) n’utilisent pas des mots de passe faibles ou partagés. Un gestionnaire de mots de passe (Bitwarden gratuit) en moins d’une heure.
  • Sauvegardes : est-ce que vous avez une sauvegarde récente ? Est-ce qu’elle est hors ligne ou protégée contre l’effacement ? Testez la restauration sur au moins un fichier.

Priorité 2 — Ce mois (fondations RGPD)

  • Registre des traitements : listez vos 5 principaux traitements (fichier clients, paie, facturation, emails, prospects). Modèle CNIL disponible sur cnil.fr.
  • Mentions légales sur vos formulaires de contact et devis
  • Chiffrement des appareils nomades : activez BitLocker sur les portables. Consigne : 10 minutes par poste.
  • DPA avec vos sous-traitants : vérifiez si vos prestataires cloud (hébergeur, CRM, outils marketing) ont un DPA signable.

Priorité 3 — Ce trimestre (conformité solide)

  • EDR / surveillance comportementale : déployez Sentinelle Pro ou un EDR équivalent. Obligatoire pour tout secteur qui traite des données sensibles.
  • Plan de réponse aux incidents : documentez qui appeler et quoi faire si vous découvrez une compromission. Même un document de 2 pages est infiniment mieux que rien.
  • Notification CNIL : documentez la procédure interne de notification en cas de violation (72h légales).
  • Sauvegardes immuables : si vous gérez des données clients ou des données comptables, activez Object Lock sur vos backups cloud.
  • Audit de sécurité : faites un Audit Flash Microdiag sur chaque poste pour cartographier l’état réel de votre parc.

Priorité 4 — Annuellement (maintien de la conformité)

  • Révision du registre des traitements : mettez-le à jour quand vous adoptez un nouveau logiciel ou changez de processus
  • Test de restauration : restaurez une sauvegarde complète une fois par an pour vérifier qu’elle fonctionne
  • Formation des collaborateurs : 30 minutes sur le phishing et les bonnes pratiques de mots de passe
  • Revue des accès : supprimez les comptes des anciens salariés, vérifiez les droits en place

Les 5 erreurs les plus courantes (et comment les éviter)

1. “On a signé une mention légale sur le site, on est couverts”

La politique de confidentialité sur votre site ne couvre que la collecte via ce site. Si vous envoyez des newsletters, utilisez un CRM, gérez une liste prospects Excel ou traitez des données RH, chaque traitement doit être documenté séparément.

2. “On n’a pas de données sensibles”

La définition RGPD de “données personnelles” est très large : nom + email + téléphone = données personnelles. Un fichier de prospects suffit à déclencher les obligations RGPD.

3. “Nos données sont sur Microsoft 365 / Google Workspace, c’est leur problème”

Non. Vous restez responsable du traitement. Microsoft et Google sont sous-traitants — vous devez avoir signé leur DPA (Data Processing Agreement) et vous assurer que vos paramètres de configuration respectent vos obligations.

4. “On paie un prestataire IT, c’est lui qui gère”

Un prestataire IT peut vous aider à mettre en conformité vos systèmes, mais la responsabilité légale reste sur vous. La CNIL n’amende pas le prestataire — elle amende le responsable de traitement.

5. “La CNIL ne sanctionne que les grandes entreprises”

La CNIL a mis en demeure et sanctionné des PME depuis 2022. En 2025, plusieurs sociétés de moins de 50 salariés ont reçu des amendes entre 5 000 € et 50 000 €. La tendance est à l’augmentation des contrôles suite aux plaintes de clients ou salariés.

Ce que Microdiag fournit pour votre dossier RGPD

L’outil n’est pas un outil de conformité juridique au sens strict — mais il contribue à plusieurs obligations techniques :

Obligation RGPDCe que Microdiag fournit
Sécurisation des donnéesSurveillance continue, alertes CVE, détection comportementale (Pro)
Traçabilité des accèsLogs d’activité, timeline des événements (Pro)
Mises à jour de sécuritéTableau de bord d’état par poste, alertes mises à jour
Cartographie des traitementsInventaire logiciels, connexions réseau actives
Notification incidentsAlertes email + Tour de Contrôle en temps réel
Rapport pour assureur / DPOExport PDF de l’état de conformité du parc

Pour les secteurs les plus sensibles (santé, juridique, comptabilité, ressources humaines), complétez Microdiag avec un DPO externe ou un accompagnement CNIL spécialisé. Le coût d’une journée de conseil est largement inférieur au risque d’une mise en demeure.

Ressources officielles

  • CNILcnil.fr/fr/rgpd-de-quoi-parle-t-on : guides pratiques par secteur, modèle de registre, simulateur de conformité
  • ANSSIssi.gouv.fr : guides de sécurité pour les PME, recommandations NIS2
  • cybermalveillance.gouv.fr : diagnostic en ligne gratuit, liste de prestataires qualifiés

Pour une vue complète de la sécurité technique qui sous-tend votre conformité, consultez notre guide de maintenance et sécurité Windows 2026. Et pour comprendre les risques concrets qui justifient ces mesures, notre guide ransomware 2026.

Sources : Règlement (UE) 2016/679 (RGPD), Directive NIS2 (UE) 2022/2555, délibérations CNIL 2024-2025, ANSSI Panorama de la menace informatique 2025. Article rédigé par l’équipe Microdiag — mai 2026.

Vous avez trouvé cet article utile ?
LinkedIn
À lire également
Guides
FixWin intégré : réparer Windows sans ligne de commande

Windows Update bloqué, imprimante disparue, explorateur qui plante, ports USB muets — FixWin couvre 160+ réparations en un clic, chacune documentée avec son impact exact. Accessible depuis Microdiag Sentinel sans téléchargement séparé.

Lire l'article
Guides
Maintenance et sécurité PC Windows en 2026 : le guide complet pour TPE-PME

Antivirus, EDR, mises à jour, sauvegarde, audit... Tout ce qu'un dirigeant ou un responsable informatique doit savoir pour protéger ses postes Windows sans être ingénieur.

Lire l'article
Guides
Installer Microdiag Sentinel en 2 minutes — guide pas à pas

L'agent pèse moins de 10 MB et s'installe comme n'importe quelle application Windows, sans droits admin persistants. Ce guide couvre l'installation individuelle, le déploiement groupé MSI sur un parc, et la vérification post-installation.

Lire l'article