Boîte à outils · Cyber & Intelligence Artificielle
6 ressources pour sécuriser votre conformité numérique et cadrer l'usage de l'IA dans votre organisation.
RGPD · Obligation légale pour toute organisation traitant des données personnelles
Template registre des traitements RGPD — Version simplifiée TPE/PME
Le registre des activités de traitement est obligatoire pour toute entreprise — sans exception de taille. Il doit être tenu à jour et présenté à la CNIL sur demande. Voici la structure avec les principaux traitements d'une TPE/PME de services. Adaptez-la à votre situation réelle.
| Traitement | Finalité | Données collectées | Base légale | Durée conservation |
|---|---|---|---|---|
| Gestion des clients | Facturation, suivi de mission, communication commerciale | Nom, email, téléphone, adresse, données contractuelles | Contrat / obligation légale | 5 ans après fin de relation |
| Gestion des prospects | Prospection commerciale, suivi des devis | Nom, email professionnel, poste, société | Intérêt légitime (B2B) | 3 ans après dernier contact |
| Gestion des salariés | Administration RH, paie, formation | État civil, coordonnées, CV, données bancaires, données de santé (si arrêt) | Contrat / obligation légale | 5 ans après départ (paie : 3 ans) |
| Candidatures / recrutement | Évaluation des candidats | CV, lettre de motivation, notes d'entretien | Consentement (candidat) | 2 ans si non retenu |
| Site web — formulaires de contact | Traitement des demandes de contact | Nom, email, message, adresse IP | Consentement / intérêt légitime | 3 ans après dernier contact |
| Newsletter / emailing | Communication, prospection, fidélisation | Email, prénom, préférences | Consentement explicite | Jusqu'au désabonnement |
| Vidéosurveillance (si applicable) | Sécurité des locaux | Images des personnes présentes | Intérêt légitime | 30 jours maximum |
| Comptabilité et facturation | Gestion financière, obligations fiscales | Données d'identification, montants, références contrats | Obligation légale | 10 ans (obligation comptable) |
Cybersécurité · Première ligne de défense
Checklist politique de mots de passe — Règles à diffuser à vos équipes
80 % des cyberattaques réussies exploitent des mots de passe faibles ou réutilisés. Ces règles sont simples à mettre en place — et leur absence expose l'entreprise à des sinistres coûteux. Cochez ce que vous avez déjà en place et diffusez la liste à vos équipes.
Règles de création des mots de passe
Outils et pratiques recommandées
Gestion des départs et des accès
IA · Ce qu'on peut utiliser et avec quelles données
Guide des outils IA — Autorisés, sous conditions ou à éviter
Tous les outils IA ne se valent pas en matière de confidentialité. Voici un panorama des principaux outils et des données qu'il est prudent (ou non) de leur confier. Ce guide reflète la situation en juin 2026 — les politiques de confidentialité des éditeurs évoluent : vérifiez toujours leur page de confidentialité avant usage professionnel.
| Outil IA | Usages ok en pro | Données à ne jamais saisir | Niveau de risque |
|---|---|---|---|
| Claude (Anthropic) | Rédaction, analyse, résumé, code, recherche | Données personnelles clients, données bancaires, informations classifiées | Acceptable |
| ChatGPT (OpenAI) | Rédaction, idéation, reformulation de contenu public | Données personnelles, données RH, informations confidentielles — par défaut votre historique peut être utilisé pour l'entraînement | Avec précautions |
| Microsoft Copilot (365) | Rédaction de mails, résumés de réunions, aide sur Office | Traitement automatique de décisions RH sans supervision humaine | Acceptable (données restent dans votre tenant M365) |
| Google Gemini | Recherche, résumé de documents publics | Données personnelles, informations sensibles — politique de confidentialité variable selon pays | Avec précautions |
| Outils IA tiers gratuits (ex : Perplexity, Mistral gratuit…) | Recherche documentaire sur sources publiques uniquement | Toute donnée à caractère personnel ou professionnel confidentiel | Limiter aux données publiques |
| Outils sans politique de confidentialité explicite | Aucun usage professionnel recommandé | Absolument toutes les données | À proscrire |
| IA intégrée à votre CRM/ERP (ex. HubSpot AI, Salesforce Einstein) | Analyse de pipeline, suggestions de réponses clients | Vérifier les DPA (Data Processing Agreements) avec l'éditeur | Généralement ok si DPA signé |
Gestion de crise · Savoir quoi faire dans les premières heures
Trame plan d'action cyberattaque — Procédure de crise
En cas de cyberattaque (ransomware, phishing réussi, accès non autorisé), chaque minute compte. Sans procédure définie à l'avance, les premières heures sont perdues dans la confusion — et c'est ce qui aggrave le sinistre. Ce plan doit être imprimé et conservé hors ligne.
⚠ Imprimez ce plan et conservez-en une copie papier — en cas de ransomware, votre ordinateur peut être inutilisable.
Contacts d'urgence à compléter et afficher
Cybermalveillance.gouv.fr : assistance en ligne 24/7
CNIL (signalement violation) : notifications.cnil.fr
Votre prestataire informatique : [Nom — Tél. — Email]
Votre assurance (référence contrat cyber) : [Compagnie — Tél. — N° contrat]
Gendarmerie nationale cyber : 3730
RGPD · 10 points de conformité pour les TPE/PME
Checklist conformité RGPD — Les 10 vérifications essentielles
Pas besoin d'un DPO pour commencer. Ces 10 points couvrent l'essentiel de la conformité RGPD pour une TPE ou PME qui ne traite pas de données sensibles à grande échelle. Cochez ce qui est en place chez vous.
Sécurité interne · À exécuter le jour du départ de tout collaborateur
Procédure de révocation d'accès — Checklist départ collaborateur
Un accès non révoqué après un départ est une faille de sécurité majeure — et une source de risque réel, qu'il s'agisse d'une erreur ou d'une action malveillante. Cette checklist doit être exécutée le jour du départ, sans exception. Cochez chaque point au fil de son exécution.
À faire AVANT le départ physique
Le jour J — à exécuter avant 18h
À faire dans les 30 jours suivants