En 2023, beaucoup de PME romandes ont « fait leur LPD » : un projet, des documents, et on tourne la page. Trois ans plus tard, les organisations ont changé. Les outils, les équipes, les sous-traitants. Les documents posés à l'époque, eux, n'ont pas bougé. Voici les cinq écarts les plus fréquents observés dans nos mandats, et comment les refermer sans tout reprendre à zéro.
Erreur n°1 : plus personne n'a la vision d'ensemble
Le registre des traitements liste ce que votre organisation fait des données personnelles : quelles données, pour quoi, avec quel logiciel, quel sous-traitant. Pour la plupart des PME, ce document n'est pas obligatoire. Il reste pourtant l'un des plus utiles : sans lui, personne n'a une vue claire de ce qui se fait réellement.
Ceux qui l'ont rédigé en 2023 ne l'ont, le plus souvent, pas tenu. Un outil adopté, un sous-traitant ajouté, un type de données collecté en plus : l'écart se creuse en silence. Le document finit par décrire une organisation qui n'existe plus. Et ceux qui ne l'ont jamais fait avancent, eux, sans carte.
Le piège, c'est la perfection. Beaucoup visent un registre irréprochable, n'y arrivent pas, et finissent sans rien. Un registre vivant et imparfait vaut bien mieux qu'un registre parfait qui n'existe pas.
L'action tient en quelques heures. Bloquez deux à trois heures par an, avec une personne identifiée pour le tenir. Une mise à jour annuelle régulière vaut mieux qu'une refonte tous les cinq ans.
Erreur n°2 : les sous-traitants ne sont pas suivis
Un sous-traitant, c'est tout outil ou prestataire qui traite des données personnelles pour votre compte : hébergeur, logiciel en ligne, plateforme marketing, solution de sauvegarde en ligne. Depuis 2023, la plupart des PME en ont ajouté sans suivre la chaîne.
L'inflation est typique. Un nouveau CRM, un outil d'e-mailing, une plateforme de recrutement, un assistant d'IA générative : chacun voit passer des données, et chacun devrait être encadré par un contrat. Dans les faits, les contrats de 2023 ne sont jamais revus, et les nouveaux outils arrivent sans rien de formalisé.
La question simple, rarement posée : où sont les données, qui y a accès, sous quelle protection.
L'action : dressez l'inventaire des outils qui touchent des données personnelles et regardez, pour chacun, si un contrat existe. Une case vide, c'est un sujet à traiter, pas une faute à cacher.
Erreur n°3 : l'information aux personnes est restée figée
La politique de confidentialité publiée en 2023 décrit souvent une organisation qui n'existe plus. C'est le document le plus visible (site, contrats, formulaires) et le moins relu.
Elle doit refléter la réalité : à quoi servent les données, à qui elles sont transmises, combien de temps elles sont conservées. L'écart typique : on a ajouté un outil de prospection automatisée, ou une mesure d'audience, et la page dit toujours la même chose qu'il y a trois ans.
Deux pièges fréquents. D'abord le copier-coller. Beaucoup de politiques, parfois posées par une agence web, sont reprises d'un autre site et décrivent l'organisation de quelqu'un d'autre. Ensuite l'illisibilité : une page que personne ne comprend génère des questions et des demandes. Une information claire et simple en évite une bonne partie.
L'action est légère. Une relecture par an, en partant du registre une fois remis à jour. Comptez une heure. Le registre dit ce que vous faites ; la politique le traduit, en clair, pour les personnes concernées. Les deux doivent raconter la même histoire, la vôtre.
Erreur n°4 : les droits des personnes ne sont pas opérationnels
Les personnes dont vous traitez les données ont des droits : accéder à leurs données, les faire corriger, parfois les faire supprimer. Un client, un ancien collaborateur, un candidat peut les exercer. Un jour, la demande arrive.
Beaucoup de PME n'ont pas de procédure pour la traiter à temps. La demande tombe dans une boîte générique, personne ne sait qui répond, elle remonte trop tard. La loi prévoit un délai de réponse ; l'apprendre le jour où la demande arrive est la pire manière de le découvrir.
L'action ne prend pas plus d'une journée, mais c'est un vrai travail. Désignez une personne, écrivez une procédure de trois étapes simples : qui reçoit, qui prépare la réponse, qui valide. Une page suffit. L'enjeu n'est pas d'être parfait, c'est de ne pas être pris au dépourvu.
Erreur n°5 : la sensibilisation de 2023 ne protège plus
Ce qui n'est pas rappelé s'oublie. La sensibilisation faite en 2023 ne protège plus grand monde en 2026, surtout avec ce qui est apparu depuis : l'IA générative, la multiplication des partages externes, des outils que personne n'avait en tête à l'époque.
L'érosion est naturelle, ce n'est pas un manque de sérieux. Une équipe formée une fois, il y a trois ans, à un paysage qui a changé, n'est plus une équipe formée.
L'action : une session courte tous les douze à dix-huit mois. Trente minutes valent mieux que rien. L'usage de l'IA générative au travail mérite d'ailleurs son propre point ; nous l'avons traité à part dans ChatGPT en entreprise.
En un coup d'œil
| Erreur | Symptôme | Action |
|---|---|---|
| Pas de vision d'ensemble | Registre absent ou jamais tenu | Registre simple, 2-3 h/an, un responsable |
| Sous-traitants non suivis | Outils ajoutés sans contrat | Inventaire des outils + contrats |
| Information figée | Page copiée-collée ou périmée | Relecture annuelle, en clair, 1 h |
| Droits non opérationnels | Une demande resterait sans réponse | Procédure en 3 étapes, une page |
| Sensibilisation oubliée | Dernier rappel : 2023 | Session courte tous les 12-18 mois |
