Pour beaucoup de PME, la conformité reste un sujet qu’on repousse. Non pas parce qu’il est jugé inutile, mais parce qu’il semble vaste, technique et parfois décourageant. Entre le RGPD, déjà applicable depuis le 25 mai 2018, et NIS2, en cours de transposition en France, beaucoup d’entreprises ont le sentiment de devoir gérer à la fois de la réglementation, de la documentation, de la sécurité et du pilotage. Pourtant, le sujet devient de plus en plus concret : la CNIL rappelle que le RGPD s’applique depuis 2018, et l’ANSSI invite déjà les futures entités concernées par NIS2 à s’engager dans une démarche de sécurisation cohérente avec la directive. (CNIL)
La bonne approche n’est pas de tout transformer d’un coup. Elle consiste à remettre de l’ordre, à documenter ce qui existe, à corriger les écarts les plus visibles et à construire une démarche crédible. C’est exactement là qu’un accompagnement utile fait la différence.
Pourquoi ce sujet devient prioritaire
Le RGPD ne demande pas seulement d’informer correctement les personnes. Il impose aussi de sécuriser les données, de pouvoir démontrer sa démarche et, en cas de violation présentant un risque, de notifier la CNIL dans les 72 heures ; en cas de risque élevé, les personnes concernées doivent également être informées. La CNIL rappelle par ailleurs que les sanctions administratives peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial dans les cas les plus graves. (CNIL)
NIS2 ajoute une autre couche : elle élargit très fortement le périmètre des organisations concernées en France. Vie publique indique que le passage se ferait d’environ 500 à près de 15 000 entités régulées, et de 6 à 18 secteurs. L’ANSSI met d’ailleurs à disposition MonEspaceNIS2 et le Référentiel Cyber France pour aider les futures entités à se situer et à préparer leurs mesures. (vie-publique.fr)
En clair, la conformité n’est plus seulement une affaire de grands groupes. Elle devient un sujet de crédibilité, de continuité d’activité et de capacité à répondre à un client, à un partenaire ou à une autorité de contrôle.
Qui est concerné, concrètement ?
Pour le RGPD, la réponse est simple : toute entreprise qui traite des données personnelles est concernée. Cela inclut des informations apparemment ordinaires comme un nom, une adresse e-mail, un numéro de téléphone, une adresse IP, un dossier RH ou un historique client. (CNIL)
Pour NIS2, c’est plus nuancé. La directive vise des secteurs et sous-secteurs précis, avec des critères liés notamment à la taille et à l’activité. L’ANSSI oriente les organisations vers MonEspaceNIS2 pour déterminer si elles relèvent du dispositif. Autrement dit, il ne suffit pas de se dire “nous sommes une PME, donc nous ne sommes sûrement pas concernés”. Il faut vérifier. (FAQ MonEspaceNIS2 Bêta)
Ce que la conformité demande vraiment
Sur le terrain, les textes se traduisent moins par une pile de documents que par quelques exigences très concrètes.
Côté RGPD, une entreprise doit savoir quelles données elle traite, pourquoi, où elles vont, qui y accède et combien de temps elles sont conservées. Elle doit aussi informer les personnes de manière claire, être capable de gérer leurs droits, documenter les violations et sécuriser ses traitements. (CNIL)
Côté NIS2, la logique est proche, mais avec un accent renforcé sur la gestion du risque, la sécurité opérationnelle, la gouvernance, la continuité et la capacité à réagir. Le ReCyF publié par l’ANSSI a justement été pensé pour guider les futures entités dans ces mesures de sécurité. (cyber.gouv.fr)
Comment Cyberhack accompagne une PME, sans la noyer
L’erreur la plus fréquente consiste à commencer par des politiques longues ou des exigences trop abstraites. En pratique, une PME avance mieux quand la démarche suit un ordre simple.
1. Clarifier le périmètre
La première étape consiste à identifier ce qui doit vraiment entrer dans le champ du travail : traitements de données, outils critiques, comptes sensibles, prestataires, flux principaux. Sans ce cadrage, la conformité reste théorique.
2. Reconstituer la réalité des traitements
Dans beaucoup de PME, les données circulent plus largement qu’on ne le pense. Un accompagnement utile sert donc à remettre à plat les usages réels : RH, relation client, messagerie, support, devis, recrutement, outils cloud, prestataires. C’est de là que sort un registre crédible, pas d’un modèle rempli trop vite.
3. Faire le lien entre conformité et sécurité
Une politique de confidentialité bien écrite ne suffit pas si les accès restent trop larges ou si les sauvegardes ne sont jamais testées. À l’inverse, une sécurité correcte ne suffit pas si les traitements ne sont pas documentés. L’accompagnement doit faire le lien entre les deux : accès, mots de passe, MFA, journalisation, gestion des comptes, procédures d’incident, conservation des preuves.
4. Produire une documentation utile
Le but n’est pas d’empiler des fichiers. Le but est d’avoir des documents qui servent réellement : registre, politique interne, base de conservation, procédure d’incident, trame de réponse en cas de demande d’accès, éventuellement analyse d’impact si nécessaire.
5. Préparer l’entreprise au jour où il se passe quelque chose
C’est souvent là que la valeur se révèle. Une entreprise qui sait déjà comment qualifier une violation, qui alerter, quoi consigner et quand notifier la CNIL part avec une longueur d’avance. Le jour d’un incident, elle n’improvise pas tout sous stress. La CNIL insiste d’ailleurs sur la tenue d’un registre interne des violations et sur la notification sous 72 heures lorsqu’il existe un risque pour les droits et libertés des personnes. (CNIL)
DPO, registre, politiques : faut-il tout avoir immédiatement ?
Pas forcément, et pas dans le désordre.
Le DPO n’est pas obligatoire pour toutes les entreprises. La CNIL précise qu’il l’est dans certains cas seulement ; dans les autres, sa désignation est encouragée mais non systématique. Ce qu’il faut, en revanche, c’est qu’une personne pilote réellement la démarche et que l’entreprise soit capable de démontrer ce qu’elle a mis en place. (CNIL)
De la même manière, le bon réflexe n’est pas de courir après tous les documents en même temps. Il vaut mieux un registre sérieux, une procédure d’incident exploitable et des règles d’accès cohérentes qu’un classeur entier de politiques jamais relues.
Ce que les PME y gagnent vraiment
On présente souvent la conformité comme une contrainte. Dans la pratique, elle apporte surtout de la clarté.
Une entreprise qui a cartographié ses traitements, revu ses accès, défini une procédure d’incident et clarifié ses responsabilités est généralement plus sereine, plus lisible pour ses clients et plus solide en cas d’audit, de questionnaire fournisseur ou d’incident réel.
La conformité ne supprime pas le risque. Elle réduit surtout l’improvisation.
Conclusion
Le RGPD et NIS2 n’imposent pas à une PME de devenir une grande machine administrative. Ils imposent surtout d’être capable d’expliquer ce que l’on fait, pourquoi on le fait, comment on protège les données et ce qui se passe si quelque chose tourne mal.
C’est là qu’un accompagnement utile change tout : il ne s’agit pas d’ajouter de la complexité, mais de transformer un sujet perçu comme lourd en démarche progressive, réaliste et démontrable.
Au fond, une bonne mise en conformité commence rarement par un grand projet. Elle commence presque toujours par une question simple :
savons-nous vraiment quelles données nous traitons, comment nous les protégeons, et ce que nous ferions demain en cas d’incident ?
