Avancement de votre conformité numérique
0 / 0 points cochés
01

RGPD · Obligation légale pour toute organisation traitant des données personnelles

Template registre des traitements RGPD — Version simplifiée TPE/PME

Ouvrir

Le registre des activités de traitement est obligatoire pour toute entreprise — sans exception de taille. Il doit être tenu à jour et présenté à la CNIL sur demande. Voici la structure avec les principaux traitements d'une TPE/PME de services. Adaptez-la à votre situation réelle.

Traitement Finalité Données collectées Base légale Durée conservation
Gestion des clients Facturation, suivi de mission, communication commerciale Nom, email, téléphone, adresse, données contractuelles Contrat / obligation légale 5 ans après fin de relation
Gestion des prospects Prospection commerciale, suivi des devis Nom, email professionnel, poste, société Intérêt légitime (B2B) 3 ans après dernier contact
Gestion des salariés Administration RH, paie, formation État civil, coordonnées, CV, données bancaires, données de santé (si arrêt) Contrat / obligation légale 5 ans après départ (paie : 3 ans)
Candidatures / recrutement Évaluation des candidats CV, lettre de motivation, notes d'entretien Consentement (candidat) 2 ans si non retenu
Site web — formulaires de contact Traitement des demandes de contact Nom, email, message, adresse IP Consentement / intérêt légitime 3 ans après dernier contact
Newsletter / emailing Communication, prospection, fidélisation Email, prénom, préférences Consentement explicite Jusqu'au désabonnement
Vidéosurveillance (si applicable) Sécurité des locaux Images des personnes présentes Intérêt légitime 30 jours maximum
Comptabilité et facturation Gestion financière, obligations fiscales Données d'identification, montants, références contrats Obligation légale 10 ans (obligation comptable)
⚠ Amende CNIL : L'absence de registre est un manquement sanctionné par la CNIL. Pour une TPE, l'amende via procédure simplifiée peut atteindre 20 000 €. Ce template vous donne la structure — mais le registre doit être complété avec vos traitements réels et vos sous-traitants effectifs. Ariès ARF vous accompagne dans sa rédaction complète.
02

Cybersécurité · Première ligne de défense

Checklist politique de mots de passe — Règles à diffuser à vos équipes

Ouvrir

80 % des cyberattaques réussies exploitent des mots de passe faibles ou réutilisés. Ces règles sont simples à mettre en place — et leur absence expose l'entreprise à des sinistres coûteux. Cochez ce que vous avez déjà en place et diffusez la liste à vos équipes.

Règles de création des mots de passe

  • Longueur minimum de 12 caractères (recommandation ANSSI 2024)
  • Combinaison obligatoire : majuscules + minuscules + chiffres + caractères spéciaux (!@#$…)
  • Interdiction d'utiliser le nom de l'entreprise, une date de naissance ou des suites logiques (123456, azerty…)
  • Un mot de passe unique par service — jamais de réutilisation
  • Changement immédiat en cas de doute sur une compromission

Outils et pratiques recommandées

  • Utilisation d'un gestionnaire de mots de passe partagé (Bitwarden — version gratuite, Dashlane Teams, 1Password Business)
  • Authentification à double facteur (MFA) activée sur tous les comptes critiques : email pro, cloud, CRM, comptabilité
  • Jamais de mot de passe transmis par email ou SMS non chiffré — utiliser le gestionnaire de mots de passe
  • Interdiction de noter les mots de passe sur papier ou dans un fichier texte non sécurisé
  • Verrouillage automatique du poste après 5 minutes d'inactivité

Gestion des départs et des accès

  • Procédure de révocation des accès le jour du départ d'un collaborateur (voir outil 6)
  • Revue des accès actifs tous les 6 mois — supprimer les comptes inutilisés
  • Comptes partagés proscrits — un compte nominatif par personne
Recommandation pratique : Bitwarden est gratuit, open-source, et recommandé par l'ANSSI. La version gratuite suffit pour les indépendants et petites structures. Pour les équipes, Bitwarden Teams coûte environ 3 € par utilisateur par mois. C'est l'investissement cybersécurité le plus rentable qui existe.
03

IA · Ce qu'on peut utiliser et avec quelles données

Guide des outils IA — Autorisés, sous conditions ou à éviter

Ouvrir

Tous les outils IA ne se valent pas en matière de confidentialité. Voici un panorama des principaux outils et des données qu'il est prudent (ou non) de leur confier. Ce guide reflète la situation en juin 2026 — les politiques de confidentialité des éditeurs évoluent : vérifiez toujours leur page de confidentialité avant usage professionnel.

Outil IA Usages ok en pro Données à ne jamais saisir Niveau de risque
Claude (Anthropic) Rédaction, analyse, résumé, code, recherche Données personnelles clients, données bancaires, informations classifiées Acceptable
ChatGPT (OpenAI) Rédaction, idéation, reformulation de contenu public Données personnelles, données RH, informations confidentielles — par défaut votre historique peut être utilisé pour l'entraînement Avec précautions
Microsoft Copilot (365) Rédaction de mails, résumés de réunions, aide sur Office Traitement automatique de décisions RH sans supervision humaine Acceptable (données restent dans votre tenant M365)
Google Gemini Recherche, résumé de documents publics Données personnelles, informations sensibles — politique de confidentialité variable selon pays Avec précautions
Outils IA tiers gratuits (ex : Perplexity, Mistral gratuit…) Recherche documentaire sur sources publiques uniquement Toute donnée à caractère personnel ou professionnel confidentiel Limiter aux données publiques
Outils sans politique de confidentialité explicite Aucun usage professionnel recommandé Absolument toutes les données À proscrire
IA intégrée à votre CRM/ERP (ex. HubSpot AI, Salesforce Einstein) Analyse de pipeline, suggestions de réponses clients Vérifier les DPA (Data Processing Agreements) avec l'éditeur Généralement ok si DPA signé
⚠ Règle d'or : Si vous n'avez pas lu la politique de confidentialité d'un outil IA, partez du principe que vos données peuvent être utilisées pour son entraînement. Ne saisissez JAMAIS de données personnelles (nom + email = donnée personnelle au sens du RGPD) dans un outil IA externe sans vérification préalable.
04

Gestion de crise · Savoir quoi faire dans les premières heures

Trame plan d'action cyberattaque — Procédure de crise

Ouvrir

En cas de cyberattaque (ransomware, phishing réussi, accès non autorisé), chaque minute compte. Sans procédure définie à l'avance, les premières heures sont perdues dans la confusion — et c'est ce qui aggrave le sinistre. Ce plan doit être imprimé et conservé hors ligne.

⚠ Imprimez ce plan et conservez-en une copie papier — en cas de ransomware, votre ordinateur peut être inutilisable.

H+0 Immédiat

Première détection — Ne pas paniquer, isoler

  • Déconnecter IMMÉDIATEMENT le ou les ordinateurs affectés du réseau (débrancher câble ethernet, couper le Wi-Fi)
  • Ne PAS éteindre les machines affectées — conserver les preuves en mémoire vive
  • Ne PAS payer une rançon sans avoir contacté un expert
  • Alerter immédiatement le responsable désigné : [Nom — Téléphone]
H+1 Évaluation

Évaluer l'ampleur et sécuriser

  • Identifier les machines, comptes et données potentiellement compromis
  • Changer immédiatement les mots de passe de tous les comptes critiques depuis un appareil sain
  • Vérifier si des données personnelles ont été exposées (clients, salariés, partenaires)
  • Activer le MFA sur tous les comptes si ce n'est pas déjà fait
H+4 Signalement

Signaler aux autorités compétentes

  • Déposer plainte auprès de la gendarmerie ou police nationale (obligatoire pour obtenir le code de déchiffrement si ransomware)
  • Si données personnelles compromises : déclarer à la CNIL sous 72h via leur portail (obligation RGPD)
  • Contacter cybermalveillance.gouv.fr — assistance gratuite pour les TPE/PME
  • Prévenir votre assurance si vous avez une couverture cyber
H+24 Commu.

Communication et continuité d'activité

  • Informer les collaborateurs de la situation et des consignes (sans affoler, avec clarté)
  • Si des données clients ont été compromises : les informer dans les meilleurs délais (obligation légale RGPD)
  • Activer votre plan de continuité d'activité (PCA) si vous en avez un
  • Documenter chronologiquement tous les événements depuis la détection
J+3 Reprise

Reprise d'activité et analyse post-incident

  • Restaurer les données depuis les sauvegardes (vérifier qu'elles ne sont pas corrompues)
  • Analyser le vecteur d'entrée de l'attaque (email de phishing, mot de passe faible, faille logicielle)
  • Corriger la faille identifiée avant de reconnecter les machines
  • Former les équipes sur le vecteur d'attaque identifié
  • Réviser votre plan de cybersécurité à la lumière de l'incident

Contacts d'urgence à compléter et afficher

Cybermalveillance.gouv.fr : assistance en ligne 24/7
CNIL (signalement violation) : notifications.cnil.fr
Votre prestataire informatique : [Nom — Tél. — Email]
Votre assurance (référence contrat cyber) : [Compagnie — Tél. — N° contrat]
Gendarmerie nationale cyber : 3730

⚠ Amende en cas de non-déclaration : Toute violation de données personnelles doit être signalée à la CNIL dans les 72 heures. L'amende pour non-déclaration peut atteindre 20 000 € pour les TPE/PME (procédure simplifiée). Ce délai court dès que vous avez connaissance de la violation — pas depuis sa résolution.
05

RGPD · 10 points de conformité pour les TPE/PME

Checklist conformité RGPD — Les 10 vérifications essentielles

Ouvrir

Pas besoin d'un DPO pour commencer. Ces 10 points couvrent l'essentiel de la conformité RGPD pour une TPE ou PME qui ne traite pas de données sensibles à grande échelle. Cochez ce qui est en place chez vous.

  • Registre des traitements rédigé et tenu à jour — liste de tous vos traitements de données (voir outil 01)
  • Politique de confidentialité publiée sur votre site — accessible depuis toutes les pages
  • Consentement explicite collecté avant tout envoi commercial — case à cocher, pas pré-cochée, mention claire
  • Contrats signés avec vos sous-traitants qui traitent des données — hébergeur, CRM, messagerie, comptabilité… (DPA/DPAE)
  • Durées de conservation définies et respectées — et suppression effective à l'échéance
  • Procédure pour répondre aux demandes de droits — accès, rectification, effacement, portabilité — dans les 30 jours
  • Données personnelles hébergées en UE ou dans un pays adéquat — vérifier pour chaque outil utilisé
  • Accès aux données personnelles limité aux personnes qui en ont besoin — pas d'accès généralisé
  • Procédure de signalement de violation de données rédigée — et connue de toute l'équipe
  • Revue annuelle de conformité planifiée — date inscrite dans l'agenda
Score : 8-10 points → bonne posture de base. 5-7 → des failles à combler rapidement. Moins de 5 → vous êtes en zone de risque. La CNIL peut contrôler n'importe quelle entreprise, y compris les plus petites, sur plainte d'une personne. La mise en conformité est plus simple qu'il n'y paraît — et bien moins coûteuse qu'une amende.
06

Sécurité interne · À exécuter le jour du départ de tout collaborateur

Procédure de révocation d'accès — Checklist départ collaborateur

Ouvrir

Un accès non révoqué après un départ est une faille de sécurité majeure — et une source de risque réel, qu'il s'agisse d'une erreur ou d'une action malveillante. Cette checklist doit être exécutée le jour du départ, sans exception. Cochez chaque point au fil de son exécution.

À faire AVANT le départ physique

  • Identifier tous les accès et outils utilisés par le collaborateur (listing à préparer à l'embauche)
  • Organiser la passation de dossiers et la transmission des mots de passe internes si le collaborateur est le seul à les connaître
  • Sauvegarder les données importantes du poste (si applicables à l'entreprise)

Le jour J — à exécuter avant 18h

  • Désactiver le compte email professionnel (ou configurer une redirection + message d'absence)
  • Révoquer les accès au CRM / ERP / logiciel de facturation
  • Révoquer les accès aux espaces de stockage cloud (Sharepoint, Google Drive, Dropbox…)
  • Supprimer les accès aux outils collaboratifs (Slack, Teams, Notion, Trello…)
  • Retirer des listes de distribution et groupes email
  • Récupérer matériel, badges, clés, téléphone, ordinateur
  • Modifier les codes d'accès aux locaux si badge partagé ou code numérique
  • Changer les mots de passe des comptes partagés auxquels le collaborateur avait accès
  • Supprimer les sessions actives et tokens d'API si outils techniques concernés
  • Archiver ou supprimer le compte selon la politique de conservation de l'entreprise

À faire dans les 30 jours suivants

  • Auditer les journaux d'accès pour détecter toute activité anormale dans les derniers jours
  • Vérifier qu'aucun accès résiduel n'existe (revue complète des droits)
  • Mettre à jour votre listing interne des accès collaborateurs
Recommandation : Préparez ce listing d'accès dès l'embauche de chaque collaborateur — c'est infiniment plus simple que de le reconstituer le jour du départ dans l'urgence. Un simple tableau Excel avec les outils, les identifiants (sans mot de passe !) et le niveau d'accès suffit.

Votre situation numérique est plus exposée qu'elle n'y paraît ?

La conformité cyber, c'est
un processus, pas un événement.

Ariès ARF vous accompagne dans la mise en conformité RGPD, la rédaction de vos chartes numériques et la sensibilisation de vos équipes aux risques cyber.

Réserver mon échange gratuit de 30 min Accéder aux autres boîtes à outils