RGPD : 30 traitements de données personnelles souvent oubliés par les PME

Dans beaucoup de PME, le RGPD est encore perçu comme un sujet complexe, technique ou réservé aux grandes entreprises. Pourtant, sur le terrain, le principal risque n’est pas toujours une cyberattaque sophistiquée ou un outil de surveillance ultra-avancé. Le vrai sujet, bien souvent, ce sont les pratiques ordinaires, les outils du quotidien, les fichiers “maison”, les automatismes installés sans réelle réflexion.

Un badge d’entrée, une caméra, un planning partagé, une boîte mail archivée, un CRM artisanal, une newsletter envoyée à une petite liste, un Excel RH sur un drive, des photos d’équipe publiées sur le site : tout cela peut constituer un traitement de données personnelles au sens du RGPD.

C’est précisément ce qui piège de nombreuses PME. Elles traitent des données personnelles sans toujours en avoir pleinement conscience, sans cadre clair, sans durée de conservation définie, sans information suffisante, parfois sans base légale adaptée. Résultat : des risques juridiques, sociaux, réputationnels et opérationnels bien réels.

Cet article propose un tour d’horizon concret, structuré et pratico-pratique des traitements souvent peu soupçonnés en PME, avec des pistes simples pour limiter les risques et améliorer la conformité.

Le premier angle mort des PME : la sécurité physique et le contrôle d’accès

Dans une PME, les outils de sécurité sont souvent installés dans un objectif parfaitement légitime : protéger les locaux, filtrer les accès, prévenir les intrusions, rassurer les équipes. Mais dès lors qu’un dispositif permet d’identifier une personne, directement ou indirectement, il entre dans le champ du RGPD.

C’est le cas des badges d’entrée, des cartes RFID, des digicodes individuels, des registres de visiteurs, des serrures électroniques ou encore des systèmes de vidéosurveillance. Ces dispositifs enregistrent souvent des informations comme le nom, la société, l’heure d’entrée, l’heure de sortie, la zone fréquentée ou l’historique d’ouverture d’une porte.

Le piège fréquent en PME est de considérer ces outils comme de simples dispositifs techniques, alors qu’ils créent en réalité des historiques de présence et de circulation pouvant être rattachés à des personnes identifiables. Le risque devient plus important encore lorsque la conservation est excessive, que l’information des personnes est absente ou insuffisante, ou que les données sont librement accessibles à plusieurs personnes en interne.

Pour éviter les dérives, il faut se poser quelques questions simples : le dispositif est-il proportionné à l’objectif poursuivi ? Les personnes concernées sont-elles informées ? La durée de conservation est-elle limitée ? Les accès aux historiques sont-ils réservés aux seules personnes habilitées ?

En pratique, une PME peut déjà réduire fortement son risque en limitant l’historique des badges, en affichant clairement l’existence des caméras, en encadrant le registre visiteurs et en évitant tout usage détourné de ces dispositifs à des fins de surveillance permanente.

Informatique et outils numériques : les traitements invisibles qui s’accumulent

Les PME utilisent aujourd’hui une multitude d’outils numériques : messagerie professionnelle, solutions collaboratives, drives partagés, journaux de connexion, outils de gestion des mots de passe, sauvegardes automatiques, suites bureautiques cloud. Ces outils semblent relever du simple fonctionnement informatique. Pourtant, ils contiennent et génèrent eux aussi de nombreuses données personnelles.

Les logs informatiques permettent souvent d’identifier un utilisateur à partir d’un compte, d’une adresse IP, d’un horodatage ou d’un accès à un fichier. Les messageries professionnelles contiennent des informations relatives aux salariés, clients, prospects, fournisseurs et partenaires. Les outils collaboratifs conservent des messages, des statuts, des photos de profil, des historiques d’échanges et parfois des indicateurs de présence. Les sauvegardes automatiques, quant à elles, répliquent des données parfois oubliées ou supposées supprimées.

Dans les PME, le risque n’est pas seulement technique. Il tient souvent à l’absence de gouvernance : trop d’accès ouverts, des espaces partagés mal paramétrés, des archives conservées sans limite, des sauvegardes non maîtrisées, des comptes utilisateurs encore actifs après un départ, ou encore une méconnaissance des traitements opérés par les outils eux-mêmes.

Le réflexe “on garde tout, au cas où” reste l’un des problèmes les plus fréquents. Or, conserver sans limite augmente l’exposition au risque, complexifie la gestion des droits des personnes et fragilise la conformité globale.

Un cadre simple peut déjà faire la différence : cartographier les outils utilisés, vérifier les accès, définir des durées de conservation, sécuriser les sauvegardes, supprimer les comptes obsolètes, encadrer les espaces partagés et sensibiliser les équipes aux usages raisonnables.

RH et gestion du personnel : un terrain particulièrement sensible pour les PME

Dans une PME, la gestion RH est souvent pragmatique, rapide, peu formalisée. C’est compréhensible. Mais c’est aussi un terrain sur lequel circulent beaucoup de données personnelles, parfois sensibles, avec un risque élevé en cas de mauvaise pratique.

Le suivi du temps de travail, les badgeuses, les plannings d’équipe, les congés, les arrêts maladie, les évaluations internes, les notes managériales, les dossiers du personnel ou les photos d’équipe publiées sur l’intranet ou sur le site web constituent autant de traitements de données personnelles. Certains impliquent même des informations particulièrement délicates, comme la santé, les absences, les appréciations professionnelles ou des images de salariés.

Les erreurs les plus courantes en PME sont très concrètes : un fichier Excel RH partagé trop largement, un planning qui mentionne des informations inutiles sur les motifs d’absence, des évaluations accessibles à plusieurs managers sans réelle nécessité, des photos publiées sans encadrement, ou encore la conservation d’anciens documents RH pendant des années.

Ces pratiques peuvent conduire à des atteintes à la confidentialité, à des tensions internes, à des accusations de discrimination, à des demandes urgentes de retrait ou à des contentieux prud’homaux.

Pour limiter les risques, il est essentiel de séparer les données sensibles du reste, de restreindre strictement les accès, de ne conserver que les informations nécessaires, d’éviter toute mention excessive sur la santé ou la vie privée, et d’encadrer la publication des photos d’équipe avec des procédures claires.

En PME, la conformité RH n’exige pas forcément une usine à gaz. Mais elle suppose un minimum de méthode, de tri et de prudence.

Relation clients et prospects : le RGPD s’invite dans chaque contact commercial

La relation commerciale est un autre terrain de risque sous-estimé. Beaucoup de PME accumulent des données de contact sans les considérer comme des données personnelles à part entière. Pourtant, un carnet d’adresses Outlook, un CRM artisanal, un formulaire de contact, un historique d’appel, une carte de visite scannée ou un enregistrement téléphonique relèvent bien du RGPD dès lors qu’ils permettent d’identifier une personne.

Les formulaires de contact collectent souvent un nom, une adresse email, un numéro de téléphone, une société, voire un message libre contenant des informations supplémentaires. Les historiques d’appels conservent des numéros, des durées, des horaires et parfois des enregistrements. Les cartes de visite, une fois numérisées ou conservées dans une base, deviennent elles aussi un traitement structuré.

Le risque le plus fréquent en PME est l’accumulation. Des contacts sont conservés pendant des années sans tri, sans information, sans finalité claire, puis réutilisés pour des relances commerciales ou du marketing. Cette logique peut rapidement devenir problématique si elle n’est pas encadrée.

Quelques réflexes simples améliorent nettement la situation : ne collecter que les données utiles, informer clairement les personnes, prévoir une durée de conservation, nettoyer régulièrement les bases, encadrer les enregistrements d’appels et mettre en place des mécanismes de désinscription ou d’opposition lorsque cela est nécessaire.

Une PME qui traite bien les données de ses clients ne se contente pas de respecter une règle. Elle renforce aussi sa crédibilité et sa relation de confiance.

Marketing et communication : le risque RGPD dans les actions perçues comme “simples”

Les PME pensent souvent que le marketing RGPD concerne surtout les grandes entreprises ou les plateformes e-commerce. En réalité, même des actions modestes peuvent générer des traitements importants.

Une newsletter, même envoyée à une petite base, implique des adresses email, parfois des statistiques d’ouverture et de clic. Un outil d’analyse d’audience peut traiter des données liées à la navigation. Des pixels publicitaires ou des tags de suivi permettent de tracer indirectement les visiteurs. Un jeu-concours peut conduire à collecter des informations excessives. Une publication sur les réseaux sociaux peut exposer des photos, témoignages ou commentaires associés à des personnes identifiables.

Ce qui rend le sujet délicat en PME, c’est le caractère banal de ces pratiques. On installe un outil Google Analytics (ou autre …), on récupère quelques emails, on republie une photo d’événement, on ajoute un pixel, sans toujours se demander si la collecte est transparente, utile, proportionnée et correctement encadrée.

Pour limiter les risques, il convient d’identifier les outils utilisés, de vérifier les traceurs et leur paramétrage, d’informer clairement les personnes, de limiter les données collectées, de définir une durée de conservation, de permettre un retrait ou une désinscription et de cadrer l’usage des photos et témoignages.

Le marketing le plus efficace n’est pas celui qui collecte tout. C’est celui qui collecte ce qui est réellement nécessaire, dans un cadre clair et compréhensible.

Administration et vie quotidienne : les traitements les plus oubliés sont souvent les plus exposés

C’est souvent dans l’administratif et les usages informels que les risques les plus concrets apparaissent. Factures avec nom de contact, notes de frais, registres d’incidents, sanctions disciplinaires, scans de pièces d’identité, permis, RIB, cahiers de transmission, emails gardés “au cas où”, groupes WhatsApp d’équipe, Excel partagés : tous ces éléments peuvent contenir des données personnelles et parfois des données particulièrement sensibles.

Leur point commun est simple : ils semblent banals. Ils sont créés pour faire avancer l’activité. Ils servent à dépanner. Ils circulent vite. Ils s’accumulent. Et, faute de cadre, ils deviennent des gisements de risque.

Un scan de pièce d’identité mal rangé dans un dossier partagé, un fichier administratif trop largement accessible, un groupe de discussion non encadré, un registre disciplinaire laissé à portée, un historique d’emails conservé indéfiniment : autant de situations très classiques en PME.

Pour y remédier, il faut d’abord accepter de regarder les usages réels, y compris les plus artisanaux. Ensuite, il devient possible de mettre en place des règles simples : limiter les accès, éviter les dossiers fourre-tout, supprimer ce qui n’est plus utile, protéger les documents sensibles, encadrer les outils informels et sensibiliser les équipes.

Sur le terrain, ce sont souvent ces ajustements très concrets qui produisent les gains de conformité les plus rapides.

Les exemples les plus insoupçonnés en PME

Certaines pratiques passent complètement sous le radar alors qu’elles relèvent clairement du traitement de données personnelles. C’est le cas, par exemple, d’un Excel “maison” partagé entre plusieurs personnes, d’emails conservés sans tri, de photos prises lors d’événements internes, de groupes WhatsApp d’équipe, de caméras sonnette ou de visiophones, ou encore de systèmes de géolocalisation de véhicules.

Le point commun de ces traitements insoupçonnés, c’est qu’ils naissent souvent en dehors d’un projet formel. Ils apparaissent pour répondre à un besoin pratique, rapidement, sans validation particulière. Et c’est précisément pour cela qu’ils doivent être intégrés à la cartographie des traitements.

Pour une PME, le premier travail utile n’est pas de produire un dispositif théorique trop lourd. C’est d’identifier les usages réels, y compris ceux qui n’entrent dans aucune procédure officielle.

Pourquoi ces points de vigilance sont particulièrement importants pour une PME

Les PME ont souvent des ressources limitées, des équipes polyvalentes, des outils hétérogènes et des pratiques très opérationnelles. Cela ne les expose pas moins au RGPD, bien au contraire. Le manque de formalisation, les accès trop larges, les usages improvisés et la conservation excessive créent un terrain favorable aux incidents.

Ces traitements impliquent pourtant, selon les cas, une base légale, une information des personnes, une durée de conservation, une sécurisation adaptée, un encadrement des sous-traitants et parfois une analyse d’impact.

Autrement dit, le RGPD en PME ne doit pas être abordé comme un sujet abstrait. Il doit être traité comme un sujet d’organisation, de bon sens, de maîtrise des risques et de protection de l’entreprise.

Les questions à se poser pour identifier rapidement si un traitement est maîtrisé, à risque ou non conforme

Pour savoir si un traitement est bien encadré, il est utile de passer chaque outil ou pratique à travers une grille de lecture simple.

La première question est celle de l’identification du traitement. Qui est concerné ? S’agit-il de salariés, de clients, de prospects, de visiteurs, de fournisseurs ? Quelles données sont collectées ? À quoi servent-elles ? Le traitement est-il réellement indispensable ou s’est-il maintenu par habitude ?

Vient ensuite la base légale. Le traitement repose-t-il sur une obligation légale, sur l’exécution d’un contrat, sur un intérêt légitime ou sur le consentement ? En pratique, cette question est souvent négligée alors qu’elle conditionne la licéité du traitement. Il faut d’ailleurs garder à l’esprit qu’en contexte RH, le consentement du salarié est rarement une base solide.

L’information des personnes constitue un autre test essentiel. Les personnes savent-elles qui traite leurs données, pour quoi faire, pendant combien de temps, avec quels droits et comment les exercer ? Cette information existe-t-elle sous une forme adaptée : affichage, note interne, mention dans un formulaire, politique de confidentialité, message d’accueil téléphonique ?

Il faut aussi examiner la durée de conservation. Une durée a-t-elle été définie ? Une suppression est-elle prévue ? Les données anciennes sont-elles archivées séparément ou laissées dans les outils courants ? La phrase “on garde tout, on ne sait jamais” est souvent un signal d’alerte.

La sécurité est évidemment centrale. Les accès sont-ils limités aux personnes qui en ont réellement besoin ? Les comptes sont-ils individuels ? Les mots de passe sont-ils robustes ? Les données sensibles sont-elles protégées ? Les sauvegardes sont-elles sécurisées ? Les prestataires sont-ils encadrés correctement ?

L’analyse doit aussi porter sur les outils et les sous-traitants. L’entreprise sait-elle où vont les données, qui les héberge, selon quelles conditions, et ce qu’il advient des informations à la fin du contrat ? Un outil utilisé depuis longtemps n’est pas forcément un outil maîtrisé.

Enfin, il faut se demander si l’entreprise est prête à répondre aux droits des personnes. Existe-t-il une procédure si un salarié, un client ou un prospect demande l’accès à ses données, leur rectification ou leur suppression ? Qui gère ces demandes ? Dans quels délais ?

Un dernier indicateur simple consiste à vérifier l’existence d’un registre, même très basique. Pour une PME, un tableau clair recensant les traitements, leur finalité, les données traitées, la durée de conservation et les mesures de sécurité constitue déjà une base très utile.

Conclusion

Le risque RGPD en PME n’est pas seulement dans les grands projets numériques. Il est surtout dans les outils ordinaires mal encadrés, dans les habitudes qui s’installent, dans les fichiers partagés, dans les données conservées trop longtemps, dans les usages “pratiques” devenus invisibles.

Badges, vidéosurveillance, messagerie, outils collaboratifs, suivi RH, CRM, formulaires, newsletters, traceurs, factures, scans de documents, groupes WhatsApp, Excel maison : tout cela peut relever du traitement de données personnelles.

La bonne nouvelle, c’est qu’une PME peut déjà réduire fortement son exposition avec des actions simples : identifier les traitements existants, vérifier leur utilité, clarifier la base légale, informer les personnes, limiter la conservation, restreindre les accès et formaliser un minimum de règles internes.

Le RGPD n’est pas seulement une contrainte. Bien appliqué, c’est aussi un outil de maîtrise, de confiance et de professionnalisation.

Besoin d’un professionnel RGPD pour vous accompagner ? Parlons-en !