Développer une application métier en interne ne neutralise pas l’exposition RGPD. Dès qu’un outil stocke des données de salariés, de clients ou de fournisseurs, il entre dans le périmètre du règlement. L’entreprise devient responsable du traitement, avec les obligations que cela implique.
La majorité des petites entreprises n’a pas encore pris la mesure de cette exposition : 63 % des TPE et PME ne disposent d’aucune procédure documentée pour gérer la sécurité de leurs données personnelles, selon le Baromètre conformité RGPD des TPE et PME 2024 de Mission RGPD et France Num. Seules 28 % ont un registre des traitements, pourtant obligatoire en cas de contrôle CNIL.
Une application métier développée en interne n’est pas un cas à part. C’est un traitement de données comme un autre, avec ses propres obligations et ses conséquences si elles ne sont pas anticipées dès la phase de construction.
Ce que déclenche un outil interne côté RGPD
Le RGPD ne distingue pas un outil vendu par un éditeur d’une application développée sur mesure. Ce qui compte, c’est la nature des données traitées et la qualité de celui qui les traite.
Responsable de traitement et registre
Dès que la PME développe un outil qui stocke des données à caractère personnel, elle devient responsable de traitement au sens du RGPD. Cela implique de tenir un registre des activités de traitement à jour, de définir une durée de conservation pour chaque catégorie de données et de documenter la base légale utilisée : contrat, consentement ou intérêt légitime. Ce registre n’est pas un document optionnel. Il est exigible à tout moment en cas de contrôle CNIL.
Hébergement et localisation des données
Un outil interne hébergé sur un serveur non européen expose la PME à une infraction sur le transfert de données hors UE. Le RGPD impose que les données personnelles soient stockées dans l’Espace économique européen ou dans un pays reconnu comme offrant un niveau de protection adéquat. Choisir une infrastructure cloud sans encadrement contractuel spécifique constitue un manquement, même si le service n’est accessible qu’en interne.
Les données PME qui tombent sous le RGPD
Une application métier touche presque toujours plusieurs catégories de données personnelles. En identifier le périmètre est la première étape avant de définir les mesures de protection adaptées.
RH, clients, fournisseurs : les trois flux
Les données RH (noms, contrats, salaires, heures travaillées, congés) sont les plus sensibles au regard du droit du travail. Les données clients (coordonnées, historique d’achats, devis, contrats) constituent souvent le volume le plus important. Les données fournisseurs (contacts, conditions commerciales, coordonnées bancaires) sont fréquemment oubliées du périmètre. Un outil de suivi de commandes, un module de planification ou un tableau de bord RH touche l’un ou plusieurs de ces flux, parfois sans que la PME l’ait formalisé.
Les erreurs de périmètre les plus fréquentes
La première erreur est de considérer qu’un outil interne ne concerne que l’entreprise, et donc qu’il échappe au RGPD. Dès qu’une donnée identifie ou peut identifier une personne physique, le règlement s’applique. La deuxième erreur est de déléguer entièrement la conformité au prestataire technique, qui ne peut pas connaître vos finalités de traitement à votre place et ne peut pas décider quelles données conserver ni combien de temps.
Ce que le prestataire ne gère pas à votre place
Le développeur qui construit votre application peut sécuriser le code, chiffrer les données au repos et gérer les accès techniques. Il ne peut pas décider à votre place de la durée de conservation des données RH, ni définir la base légale du traitement de vos contacts clients. Ce sont des décisions qui appartiennent à l’organisation, pas à son prestataire.
La responsabilité du traitement reste côté PME
Le RGPD désigne comme responsable de traitement l’entité qui détermine les finalités et les moyens du traitement : c’est la PME, pas son prestataire. Le prestataire est sous-traitant : il traite les données pour le compte de la PME, dans les conditions que la PME lui fixe. Si ces conditions ne sont pas définies, le contrat n’est pas conforme et la PME est exposée en cas de contrôle, même si le code est irréprochable.
Les clauses à inclure dans le contrat
Tout contrat avec un prestataire qui accède à des données personnelles doit inclure un accord de traitement des données, souvent appelé DPA (Data Processing Agreement). Ce document précise les catégories de données traitées, les durées de conservation, les mesures de sécurité mises en oeuvre et les conditions de sous-traitance éventuelle. Ces éléments doivent être cadrés avant le début du développement, dès la rédaction du cahier des charges.
Conclusion
Le RGPD ne fait pas d’exception pour les outils développés en interne. Une application métier qui stocke des données personnelles déclenche les mêmes obligations qu’un logiciel du marché, avec une différence : la PME en est seule responsable, sans éditeur pour partager la charge de conformité. Anticiper ces obligations avant de développer coûte moins cher que de les corriger après.
Construire un outil sans cartographier ses obligations réglementaires revient à reporter le coût de la conformité sur la production. Les obligations numériques des PME ne se limitent pas au RGPD : la facture électronique impose elle aussi de restructurer les processus opérationnels avant de choisir un outil.
Foire aux questions (FAQ)
Le RGPD s’applique-t-il à un outil non accessible depuis internet ?
Oui. Le RGPD s’applique dès qu’un outil traite des données à caractère personnel, quelle que soit son accessibilité externe. Un outil interne accessible uniquement en réseau local reste soumis au règlement s’il stocke des données de salariés, de clients ou de fournisseurs.
Qui est responsable des données dans une application sur mesure ?
La PME qui commande le développement est responsable de traitement au sens du RGPD. Le prestataire est sous-traitant : il traite les données selon les conditions que la PME lui fixe. C’est la PME qui décide des finalités du traitement, des durées de conservation et des mesures de sécurité. Le prestataire les met en oeuvre, mais ne les définit pas.
Faut-il un DPO pour développer une application métier ?
La désignation d’un délégué à la protection des données (DPO) est obligatoire dans certains cas : traitements à grande échelle de données sensibles ou surveillance systématique de personnes. Pour la plupart des PME avec un outil interne standard, ce n’est pas obligatoire. Tenir le registre des traitements à jour et nommer un référent interne reste fortement recommandé.
Que risque une PME en cas de manquement au RGPD ?
Les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. Pour les PME, les contrôles CNIL aboutissent le plus souvent à une mise en demeure de se conformer dans un délai défini. Le coût réel est souvent celui de la mise en conformité accélérée, toujours plus élevée que si elle avait été anticipée dès le début.