Passer au contenu principal
Réglementation8 min de lecture

RGPD et CRM : la checklist de conformité pour les PME en 2026

Votre CRM contient des centaines, voire des milliers de fiches contacts. Chaque fiche est une donnée personnelle au sens du RGPD. Bonne nouvelle : la conformité RGPD pour une PME n'est pas aussi complexe qu'on le croit. Ce guide vous donne la checklist pratique pour être en règle — sans avocat.

Pourquoi le RGPD concerne votre CRM

Dès que vous stockez un nom, un email ou un numéro de téléphone dans votre CRM, vous traitez des données personnelles. Le RGPD vous impose :

  • Un fondement légal pour chaque traitement (contrat, intérêt légitime, consentement)
  • Une durée de conservation limitée et justifiée
  • Des droits pour les personnes concernées (accès, rectification, effacement)
  • Des mesures de sécurité adaptées
  • Un registre des traitements documentant vos usages

La checklist en 8 points

✅ 1. Votre base légale est définie

Pour chaque catégorie de données dans votre CRM, vous avez identifié la base légale :

  • Clients actifs → exécution du contrat (article 6.1.b) — pas besoin de consentement
  • Prospects contactés → intérêt légitime (article 6.1.f) — si vous avez un lien professionnel pertinent
  • Newsletter / marketing → consentement (article 6.1.a) — opt-in explicite obligatoire

✅ 2. Vos durées de conservation sont définies et appliquées

Type de donnéeDurée max recommandée
Données de facturation10 ans (obligation légale)
Données clients actifsDurée de la relation + 3 ans
Prospects sans suite3 ans après dernier contact
Emails marketing (consentement)3 ans après dernier engagement
Logs de connexion1 an

✅ 3. Vous avez un DPA avec votre éditeur CRM

L'article 28 du RGPD impose un contrat de sous-traitance (DPA) avec tout prestataire traitant des données pour votre compte. Votre éditeur CRM doit en fournir un. Il doit préciser :

  • La liste des sous-traitants ultérieurs (hébergement, emailing, monitoring)
  • Les mesures de sécurité techniques et organisationnelles
  • La procédure de notification en cas de violation de données (72h maximum)
  • Les modalités de transfert hors UE si applicable

✅ 4. Vos données sont hébergées en Europe

Idéalement en France ou dans l'UE. Si votre éditeur utilise AWS ou Google Cloud, vérifiez que les données sont sur des serveurs en Europe (région EU) et que les clauses contractuelles standard (SCCs) sont en place pour couvrir l'accès depuis les US.

💡 Clientelec
Clientelec est hébergé sur Supabase (base de données en EU West) et Vercel (edge réseau mondial, données EU). Les clés API des intégrations (VosFactures, Qonto) sont chiffrées en AES-256-GCM. Chaque accès à une clé API est journalisé.

✅ 5. Vous avez un consent manager pour les cookies

Votre site web (incluant la page de connexion au CRM) doit avoir un bandeau de consentement aux cookies conforme :

  • Refus aussi facile que l'acceptation (pas de bouton "Accepter tout" en grand + refus caché)
  • Consentement granulaire par catégorie (analytique, marketing, fonctionnel)
  • Privacy by default : les cookies non essentiels sont désactivés avant consentement
  • Durée du consentement : 13 mois maximum avant re-demande

✅ 6. Vous pouvez traiter les demandes de droits en moins de 30 jours

Vos contacts peuvent exercer leurs droits à tout moment :

  • Droit d'accès — envoyez un export de toutes les données que vous détenez sur eux
  • Droit de rectification — corrigez les données erronées
  • Droit à l'effacement — supprimez ou anonymisez, en conservant ce qui est légalement obligatoire (factures 10 ans)
  • Droit à la portabilité — fournissez les données dans un format structuré (CSV)

✅ 7. Votre registre des traitements est à jour

Toute entreprise de plus de 250 salariés doit tenir un registre des traitements (article 30). En dessous, c'est fortement recommandé. Pour chaque traitement (gestion clients, prospection, facturation), documentez : finalité, base légale, catégories de données, destinataires, durée de conservation, mesures de sécurité.

✅ 8. Votre politique de confidentialité est accessible et à jour

Elle doit figurer sur votre site et indiquer :

  • Qui traite les données (identité du responsable de traitement)
  • Pourquoi (finalités)
  • Combien de temps
  • Avec qui elles sont partagées (sous-traitants)
  • Comment exercer ses droits (email de contact DPO ou responsable)
  • Vos transferts hors UE s'il y en a (Anthropic pour l'IA, par exemple, avec SCCs en place)

Les 3 erreurs RGPD les plus fréquentes en PME

1. Conserver les données indéfiniment

Des contacts qui n'ont pas donné signe de vie depuis 5 ans dans votre CRM ? C'est une violation RGPD. Mettez en place une purge annuelle ou un processus de re-confirmation de consentement pour les prospects inactifs.

2. Pas de DPA avec les outils marketing

Vous utilisez Brevo, Mailchimp, HubSpot pour l'emailing ? Ces outils traitent des données personnelles pour votre compte. DPA obligatoire avec chacun.

3. Consentement cookie invalide

Un bandeau qui s'accepte en un clic mais se refuse en cinq étapes est invalide. La CNIL sanctionne régulièrement (Google, Facebook, mais aussi des PME françaises depuis 2022).

Conclusion

La conformité RGPD d'une PME se résume à 4 principes : ne collecter que ce dont vous avez besoin, conserver aussi longtemps que nécessaire (et pas plus), sécuriser, et permettre aux personnes d'exercer leurs droits. Ce n'est pas une contrainte administrative — c'est une marque de confiance vis-à-vis de vos clients.

Questions fréquentes

Le RGPD s'applique-t-il à mon CRM ?
Oui. Dès lors que votre CRM contient des données personnelles (noms, emails, téléphones de contacts), le RGPD s'applique. Vous êtes "responsable de traitement". Votre éditeur CRM est "sous-traitant". Il doit vous fournir un DPA (Data Processing Agreement).
Combien de temps peut-on conserver les données clients dans un CRM ?
La règle générale : aussi longtemps que la relation commerciale est active + la durée légale de conservation. Pour les données de facturation : 10 ans (obligation comptable). Pour les contacts prospects sans relation commerciale : 3 ans maximum après le dernier contact. Pour les emails marketing : vous devez supprimer ou re-confirmer le consentement au bout de 3 ans.
Faut-il un DPA avec son éditeur CRM ?
Oui, c'est obligatoire sous le RGPD (article 28). Le DPA (Data Processing Agreement) ou "accord de sous-traitance" définit comment l'éditeur traite vos données, les mesures de sécurité en place, et les procédures en cas de violation. Tout éditeur sérieux fournit ce document sur demande.
Que faire si un client demande l'effacement de ses données ?
Vous avez 30 jours pour traiter une demande d'effacement (droit à l'oubli). Dans votre CRM, cela signifie : anonymiser ou supprimer la fiche client, supprimer l'historique des échanges, notifier vos sous-traitants (éditeur CRM, outil d'emailing). Conservez uniquement les données légalement obligatoires (factures sur 10 ans).
Hébergement en France vs en Europe : quelle différence RGPD ?
Les deux sont conformes RGPD si le prestataire est certifié. Héberger en France (OVH, Scaleway) évite les questions sur les transferts hors UE. Héberger chez AWS/Azure/Google Cloud Europe (Irlande, Allemagne) est aussi conforme, mais vous devez vérifier les clauses contractuelles standard (SCCs) pour les transferts vers les US (maison mère).

Essayer la démo gratuite

Testez gratuitement toutes les fonctionnalités sans engagement.

En savoir plusEssayer la démo

Articles associés