RGPD et informatique d’entreprise : checklist de conformité pour les PME en 2026

Entré en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) concerne toutes les entreprises qui traitent des données personnelles de résidents européens — ce qui inclut la quasi-totalité des PME françaises. En 2026, la CNIL intensifie ses contrôles et les sanctions peuvent atteindre 4 % du chiffre d’affaires mondial. Voici la checklist des mesures informatiques à mettre en place pour être en conformité.

✅ Registre des traitements

Documentez tous vos traitements de données personnelles dans un registre : quel type de données, pour quelle finalité, quelle durée de conservation, quel prestataire tiers accède à ces données. Ce registre est obligatoire et doit être tenu à jour.

✅ Sécurité des accès aux données

Mettez en place des contrôles d’accès stricts : authentification multi-facteurs pour tous les accès aux systèmes contenant des données personnelles, politique de mots de passe robuste, et journalisation des accès pour détecter toute utilisation anormale.

✅ Chiffrement des données sensibles

Les données personnelles sensibles (santé, données financières, données RH) doivent être chiffrées au repos et en transit. Vérifiez que vos disques durs sont chiffrés (BitLocker sur Windows), que vos communications utilisent TLS, et que vos sauvegardes cloud sont chiffrées.

✅ Gestion des sous-traitants

Tous vos prestataires qui accèdent à des données personnelles (hébergeur, prestataire IT, éditeur de logiciel) doivent être liés par un DPA (Data Processing Agreement). Vérifiez que vos fournisseurs cloud stockent les données en Europe ou disposent de garanties adéquates.

✅ Procédure de notification des violations

En cas de violation de données (piratage, perte de données, accès non autorisé), vous avez 72 heures pour notifier la CNIL. Définissez à l’avance la procédure interne : qui est responsable, comment documenter l’incident, comment informer les personnes concernées si nécessaire.

✅ Durées de conservation et purge des données

Les données personnelles ne peuvent pas être conservées indéfiniment. Définissez des durées de conservation pour chaque type de données et mettez en place des processus automatiques ou manuels de purge régulière. Les messageries, CRM et fichiers partagés sont souvent les premiers à problème.

✅ Formation des collaborateurs

La conformité RGPD n’est pas seulement technique : vos collaborateurs doivent comprendre les règles de base (ne pas partager de données sans autorisation, signaler les violations, respecter les demandes de droits des personnes). Une formation annuelle est recommandée.

1FOPRESTA accompagne les PME dans leur mise en conformité RGPD côté technique : sécurisation des accès, chiffrement, gestion des sauvegardes et formation des équipes. Contactez-nous pour un audit RGPD de votre système d’information.

Comment choisir son prestataire informatique en France : les 10 critères indispensables

Le choix d’un prestataire informatique est l’une des décisions les plus importantes pour une PME. Une mauvaise sélection peut coûter cher : réponses tardives en cas de panne, compétences inadaptées à vos besoins, contrats opaques, ou perte de données. Pour vous aider à faire le bon choix, voici les 10 critères que vous devez absolument évaluer avant de signer.

1. L’expérience dans votre secteur

Un prestataire qui connaît les contraintes de votre secteur (réglementation, logiciels métier spécifiques, pic d’activité) sera plus efficace qu’un généraliste. Demandez des références clients dans votre domaine d’activité.

2. Les certifications et qualifications

Vérifiez les certifications Microsoft, Cisco, VMware ou autres pertinentes pour votre infrastructure. Un prestataire certifié a démontré son niveau de compétence auprès des éditeurs. La certification PASSI de l’ANSSI est gage de sérieux en cybersécurité.

3. Les délais d’intervention garantis (GTI/GTR)

Le GTI (Garantie de Temps d’Intervention) et le GTR (Garantie de Temps de Rétablissement) doivent être stipulés clairement dans le contrat. Sans ces engagements écrits, votre prestataire peut prendre le temps qu’il veut pour intervenir en cas de panne.

4. La couverture horaire et les astreintes

Si votre activité dépend fortement de votre informatique ou si vous avez des équipes qui travaillent en dehors des heures de bureau, vérifiez la disponibilité du prestataire : heures ouvrées uniquement, ou support étendu avec astreinte le soir et le week-end ?

5. La transparence des contrats et la facturation

Méfiez-vous des contrats qui excluent de nombreuses prestations du forfait de base. Demandez un détail précis de ce qui est inclus et de ce qui fait l’objet d’une facturation supplémentaire. Un bon prestataire est transparent sur ses tarifs.

6. La taille et la stabilité de l’équipe

Un prestataire avec une seule personne est vulnérable aux absences. Vérifiez qu’une équipe suffisante est disponible pour assurer la continuité du service en cas de maladie, congés ou départ.

7. Les compétences en cybersécurité

En 2026, un prestataire informatique sans compétences sérieuses en cybersécurité est un risque pour votre entreprise. Vérifiez qu’il propose des solutions de sécurité actives (EDR, SOC, SIEM) et pas seulement un antivirus basique.

8. La politique de sauvegarde et de continuité

Comment votre prestataire gère-t-il vos sauvegardes ? Teste-t-il régulièrement les restaurations ? Dispose-t-il d’un plan de reprise d’activité (PRA) pour vos systèmes critiques ?

9. Le reporting et la communication

Un bon prestataire vous tient informé de l’état de votre parc avec des rapports réguliers. Il anticipe les problèmes plutôt que d’attendre les incidents pour agir.

10. Les conditions de réversibilité

Que se passe-t-il si vous souhaitez changer de prestataire ? La documentation de votre infrastructure est-elle à jour et vous est-elle restituée ? Les accès sont-ils clairement identifiés et transmissibles ? La réversibilité est souvent négligée mais elle est cruciale pour ne pas se retrouver « otage » d’un prestataire.

1FOPRESTA répond à tous ces critères. Consultez nos références, téléchargez notre modèle de grille d’évaluation ou contactez-nous directement pour discuter de vos besoins.