RGPD et ERP : la check-list pour une PME

Votre ERP centralise les données les plus sensibles de l'entreprise : clients, salariés, fournisseurs. Voici une check-list concrète pour mettre votre logiciel de gestion en conformité avec le RGPD, sans jargon inutile.

Pourquoi le RGPD concerne directement votre ERP

Un ERP n'est pas un outil comme les autres au regard de la réglementation. Il agrège des données personnelles par nature : fiches clients, coordonnées de prospects, contrats de travail, fiches de paie, historiques d'achat, tickets de support. À ce titre, il devient le point névralgique de votre conformité au RGPD, le Règlement général sur la protection des données applicable depuis mai 2018.

Pour une PME, la bonne nouvelle est que la mise en conformité ne demande pas un cabinet d'avocats à plein temps. Elle repose sur une démarche structurée et documentée. La check-list ci-dessous reprend les exigences clés à passer en revue, traitement par traitement.

La check-list RGPD pour votre logiciel de gestion

1. Tenir le registre des traitements (article 30)

C'est la pierre angulaire de la conformité. Le registre des activités de traitement recense, pour chaque finalité (gestion commerciale, paie, prospection, support), les catégories de données collectées, les personnes concernées, les destinataires et les durées de conservation.

Bonnes pratiques pour un ERP :

  • Cartographier chaque module qui manipule des données personnelles (CRM, RH, facturation, support).
  • Indiquer la finalité précise de chaque traitement — pas de collecte « au cas où ».
  • Mettre le registre à jour à chaque nouvelle fonctionnalité ou intégration.

La tenue de ce registre est obligatoire dès lors que vous traitez des données de façon régulière, ce qui est le cas de toute PME utilisant un ERP.

2. Identifier la base légale de chaque traitement (article 6)

Tout traitement doit reposer sur l'une des six bases légales prévues par le RGPD. Les plus courantes en PME :

  • L'exécution d'un contrat : facturer un client, gérer une commande.
  • L'obligation légale : conserver des pièces comptables, déclarer la paie.
  • L'intérêt légitime : prospection B2B raisonnable, sécurité du système.
  • Le consentement : newsletters, cookies marketing, prospection B2C.

Le piège fréquent consiste à invoquer le consentement partout. En réalité, votre CRM repose le plus souvent sur l'exécution du contrat ou l'intérêt légitime, et le module RH sur l'obligation légale. Documentez la base retenue dans le registre.

3. Encadrer vos sous-traitants : le DPA (article 28)

Dès que votre ERP est hébergé chez un prestataire, ou qu'il s'intègre à des services tiers (paiement, emailing, comptabilité), ces acteurs deviennent vos sous-traitants au sens du RGPD. Vous devez signer avec chacun un DPA, ou accord de traitement des données.

Ce contrat précise notamment :

  • L'objet et la durée du traitement confié.
  • Les mesures de sécurité mises en œuvre par le sous-traitant.
  • L'interdiction de recourir à un sous-traitant ultérieur sans autorisation.
  • L'engagement d'assistance en cas de violation de données ou de demande d'exercice de droits.

Exigez ce document de votre éditeur d'ERP avant la signature. C'est un marqueur de maturité réglementaire.

4. Définir des durées de conservation

Le RGPD impose le principe de limitation de la conservation : une donnée ne doit pas être gardée indéfiniment. Pour chaque catégorie, fixez une durée justifiée :

  • Données clients actifs : pendant la relation contractuelle, puis archivage intermédiaire.
  • Pièces comptables et factures : durée légale de conservation (plusieurs années selon la nature).
  • Prospects inactifs : généralement quelques années après le dernier contact.
  • Données RH : selon les obligations sociales applicables.

Un bon ERP permet de programmer la purge ou l'archivage automatique des enregistrements en fin de durée, plutôt que d'accumuler des données sans usage.

5. Permettre l'exercice des droits des personnes

Vos clients, salariés et prospects disposent de droits que votre système doit pouvoir honorer dans un délai d'un mois :

  • Accès : fournir une copie des données détenues.
  • Rectification : corriger une information inexacte.
  • Effacement (droit à l'oubli) : supprimer les données lorsque la finalité n'existe plus.
  • Portabilité : restituer les données dans un format structuré et lisible par machine.
  • Opposition : cesser un traitement, notamment la prospection.

Vérifiez que votre ERP centralise ces fonctions plutôt que de vous obliger à chercher manuellement dans dix modules. La capacité à exporter et anonymiser une fiche en quelques clics est un critère de choix déterminant.

6. Vérifier l'hébergement et les transferts hors UE

Le lieu d'hébergement compte. Un hébergement au sein de l'Union européenne simplifie la conformité, car les données restent soumises au RGPD sans formalité de transfert supplémentaire.

Si votre éditeur héberge ou réplique des données hors UE, des garanties spécifiques sont nécessaires (clauses contractuelles types, décision d'adéquation). Posez clairement la question : où sont stockées mes données, et qui peut techniquement y accéder ? Un hébergement souverain en Europe lève une grande partie des incertitudes.

7. Sécuriser les données (article 32)

La conformité passe par des mesures techniques et organisationnelles proportionnées au risque :

  • Chiffrement des données en transit (HTTPS) et au repos.
  • Authentification forte et gestion fine des accès par rôle (RBAC).
  • Journalisation des accès et piste d'audit infalsifiable.
  • Sauvegardes régulières et plan de reprise testé.

Le contrôle d'accès granulaire est essentiel : un commercial n'a pas besoin de voir les fiches de paie, et un gestionnaire RH n'a pas à consulter le pipeline commercial. Un ERP multi-tenant bien conçu cloisonne ces périmètres par défaut.

8. Minimiser et anonymiser

Le principe de minimisation impose de ne collecter que les données strictement nécessaires. Profitez de tout audit pour supprimer les champs inutiles.

Pour les besoins de statistiques ou de reporting, privilégiez l'anonymisation ou la pseudonymisation : une donnée anonymisée de façon irréversible sort du champ du RGPD, ce qui allège vos obligations tout en préservant la valeur analytique.

L'ERP comme allié de votre conformité

Bien choisi, votre logiciel de gestion devient un levier de conformité plutôt qu'une source de risque. La centralisation des données dans un système unique, doté d'une gestion électronique des documents, d'une piste d'audit et d'outils d'export/effacement, simplifie radicalement le travail du responsable de traitement ou du DPO.

Pensez aussi à désigner un référent conformité interne, même sans DPO obligatoire, et à former vos équipes aux bons réflexes : un incident de données provient souvent d'une erreur humaine, pas d'une faille logicielle.

Découvrir eyeot

eyeot est un ERP français conçu pour des PME soucieuses de leur conformité : hébergement en Europe, gestion des accès par rôle, piste d'audit, fonctions d'export et d'anonymisation des données. Si vous souhaitez évaluer la solution dans vos conditions réelles, le compte particulier gratuit vous permet de l'essayer sans carte bancaire ni limite de durée. Une bonne occasion de transformer une obligation réglementaire en démarche de qualité.

Sur le même sujet

CRM commercialRessources humainesGED documentaireRGPDDPADPOGED
Tous les articles

Essayez eyeot gratuitement

eyeot est un ERP français tout-en-un pour TPE et PME, hébergé en France et conforme au RGPD. Gratuit pour les particuliers (1 utilisateur, tous les modules) ; packs équipe simples pour les entreprises.

Créer mon compte gratuitVoir les tarifs