Lancer une entreprise ESUS, c’est souvent partir avec une énergie très « terrain » : trouver vos premiers financements, structurer l’équipe, signer vos partenariats, prouver votre impact social. Et au milieu de tout ça, le RGPD peut donner l’impression d’un dossier administratif de plus. Sauf qu’en pratique,
vous allez manipuler des données personnelles dès le début : formulaires de contact, candidatures, listes de bénévoles, bénéficiaires, dons, newsletters. Mieux vaut donc poser les bons réflexes maintenant, pendant le printemps de votre projet, plutôt que de réparer dans l’urgence plus tard.
La bonne nouvelle, c’est qu’une mise en place efficace du RGPD à la création repose sur quelques livrables concrets et très actionnables :
un registre des traitements,
des politiques de confidentialité et des mentions légales,
des contrats de sous-traitance,
des procédures pour gérer les droits RGPD et
un socle de sécurité des données. L’objectif n’est pas d’être parfait, mais d’être
cohérent, documenté et prêt.
Partir sur de bonnes bases RGPD dès le premier jour (et éviter les mauvaises surprises)
Comprendre vos rôles : responsable de traitement, sous-traitant, coresponsable
Avant d’écrire le moindre document, commencez par clarifier qui fait quoi. Dans la plupart des cas, votre ESUS sera
responsable de traitement pour tout ce qu’elle décide et organise : recrutement, gestion des bénéficiaires, collecte de dons, communication, suivi d’impact.
Vous serez
sous-traitant si vous traitez des données
pour le compte d’une autre organisation, sur ses instructions (par exemple, si vous opérez une plateforme ou un service où une collectivité décide des finalités). Et vous serez
coresponsable quand vous décidez
à plusieurs des finalités et moyens, typiquement dans certains programmes co-pilotés avec un partenaire.
Cette distinction n’est pas théorique : elle détermine
les documents à produire,
les clauses contractuelles et
qui répond aux demandes des personnes. Un bon réflexe : dès qu’un partenariat arrive, posez la question « qui décide du pourquoi et du comment ? ».
Cartographier vos données dès la création : quelles données, pourquoi, pour qui, combien de temps
La cartographie, c’est votre boussole. L’idée est simple : lister les données que vous collectez,
à quelle occasion,
dans quel but,
où elles vont et
combien de temps vous les gardez. Même un tableau très simple suffit au départ, tant qu’il reflète la réalité.
À la création d’une ESUS, on retrouve souvent : des données d’identité et de contact (nom, email, téléphone), des données RH (CV, entretiens, paie), des données liées aux bénéficiaires (situation, besoins, suivi), et des traces numériques (logs, statistiques de fréquentation, outils d’emailing). Dès que vous vous surprenez à dire « on verra plus tard », notez-le : c’est souvent là que naissent les zones grises.
Fixez des durées de conservation réalistes, en lien avec votre activité. Garder « au cas où » est rarement défendable. À l’inverse, supprimer trop vite peut vous empêcher de gérer une demande, un litige, ou une obligation légale. Cherchez l’équilibre et
documentez votre logique.
Prioriser les risques : données sensibles, publics vulnérables, bénévoles, salariés, bénéficiaires
Une ESUS touche souvent à des situations humaines : précarité, insertion, santé, handicap, accompagnement social. Résultat : vous pouvez être amené à traiter des
données dites sensibles ou des données concernant des
publics vulnérables. Dans ce contexte, la question n’est pas « est-ce qu’on a le droit ? », mais «
comment on le fait proprement ».
Priorisez ce qui peut faire le plus de dégâts en cas d’erreur : un fichier bénéficiaires partagé trop largement, une boîte mail d’équipe accessible à tout le monde, un tableur envoyé au mauvais destinataire, ou un accès conservé après le départ d’un salarié. La conformité RGPD, c’est aussi une façon de réduire l’angoisse opérationnelle au quotidien.
Construire votre registre des traitements sans y passer des semaines
Lister vos traitements “réels” : RH, gestion bénéficiaires, dons, newsletter, compta, vidéosurveillance…
Le registre des traitements, c’est le document central. Pas besoin d’en faire un roman : il doit être
complet, lisible, à jour. Commencez par les traitements que vous faites déjà, pas ceux que vous imaginez faire un jour.
Exemples fréquents au lancement : gestion des candidatures et du personnel, gestion des bénévoles, gestion des bénéficiaires et de l’accompagnement, collecte et suivi des dons, gestion des adhésions, newsletter et prospection (si vous en faites), comptabilité et facturation, gestion des accès informatiques, et parfois vidéosurveillance si vous avez des locaux.
Un piège classique : oublier les traitements « discrets », comme les formulaires de contact, les prises de rendez-vous, les messageries, ou les outils collaboratifs. Si ça contient des données personnelles, ça compte.
Renseigner les rubriques clés : finalités, bases légales, destinataires, durées, mesures de sécurité
Pour chaque traitement, renseignez les rubriques qui donnent du sens et protègent votre structure. La
finalité décrit le but (exemple : gérer les demandes d’accompagnement). La
base légale explique sur quoi vous vous appuyez (exemple : exécution d’un contrat, obligation légale, intérêt légitime, consentement selon les cas).
Ajoutez les
destinataires (qui accède aux données : équipe, partenaire, prestataire), les
durées de conservation (combien de temps, et quand on archive ou supprime), et les
mesures de sécurité (accès restreints, MFA, chiffrement, sauvegardes, journalisation). Même si vous démarrez petit, le registre doit refléter une logique de maîtrise.
Si vous hésitez entre deux bases légales, ne choisissez pas au hasard. Un bon indicateur : si l’activité ne peut pas fonctionner sans ces données, le consentement n’est pas toujours l’option la plus solide. Le consentement doit rester
libre, ce qui peut être délicat dans certaines relations d’accompagnement.
Mettre en place un réflexe de mise à jour : qui le tient, quand, avec quel circuit de validation
Un registre non mis à jour devient vite un document « pour la forme ». Décidez dès maintenant :
qui est responsable de sa tenue (souvent un référent interne),
quand vous le mettez à jour (par exemple à chaque nouvel outil, nouveau formulaire, nouveau partenariat), et
comment on valide (une relecture direction, ou une validation conjointe avec la personne en charge du projet).
Astuce simple : reliez toute décision d’outillage à une question automatique. « Est-ce que ça traite des données personnelles ? Si oui, on met à jour le registre et on vérifie le contrat. » Ce réflexe vous fait gagner un temps fou.
Rédiger une politique de confidentialité qui inspire confiance (et qui tient juridiquement)
Dire clairement ce que vous faites : finalités, bases légales, sources de données
Votre politique de confidentialité n’est pas un texte pour « faire sérieux ». C’est un outil de confiance. Une ESUS a souvent un capital sympathie fort, mais la confiance se perd vite si les personnes ont l’impression qu’on collecte trop, ou qu’on ne sait pas expliquer.
Expliquez avec des mots simples
quelles données vous collectez,
pourquoi, et sur quelle
base légale. Précisez aussi les
sources : données fournies par la personne, données collectées via le site, données transmises par un partenaire (si c’est le cas, et dans quel cadre).
Un bon test : un lecteur pressé doit comprendre en une minute si vous utilisez ses données pour gérer sa demande, pour communiquer, pour améliorer vos services, ou pour remplir une obligation. S’il doit relire trois fois, c’est trop opaque.
Expliquer ce que l’utilisateur peut exiger : droits, délais, contact, réclamation CNIL
Les personnes doivent savoir comment garder la main. Indiquez clairement les
droits RGPD (accès, rectification, effacement, opposition, limitation, portabilité selon les cas), le
canal de contact (email dédié idéalement), et les
délais de réponse usuels.
Précisez aussi la possibilité de saisir la
CNIL en cas de désaccord. Ce n’est pas une menace, c’est une information normale. Et paradoxalement, l’indiquer calme souvent le jeu : cela montre que vous ne cherchez pas à retenir l’info.
Adapter selon les canaux : site, formulaire, candidature, dons, inscription à un programme
Une politique générale sur le site ne suffit pas toujours. Vous devez adapter vos informations selon le moment de collecte : un formulaire bénéficiaire n’a pas les mêmes enjeux qu’un formulaire newsletter, et une candidature n’a pas le même niveau de sensibilité qu’un don ponctuel.
Pensez en « couches » : une information courte au moment de la collecte (essentiel, clair, lisible), et un renvoi vers la politique complète. Cela évite l’effet pavé illisible, tout en restant carré.
Mentions légales, cookies, formulaires : les “petits” textes qui vous protègent vraiment
Mentions légales : identité, hébergeur, directeur de publication, contacts utiles
Les mentions légales sont souvent traitées en dernier, alors qu’elles sont un marqueur immédiat de sérieux. Indiquez votre
identité (dénomination, forme, siège), un
contact clair, l’
hébergeur, et le
directeur de publication si vous publiez du contenu.
Pour une ESUS, la transparence n’est pas qu’une obligation, c’est aussi cohérent avec l’esprit : on dit qui on est, et on rend la prise de contact simple.
Bandeau cookies : distinguer l’essentiel du consentement, gérer les traceurs tiers
Sur les cookies, l’erreur fréquente est de tout mettre dans le même sac. Certains traceurs sont
nécessaires au fonctionnement (exemple : panier, authentification), d’autres relèvent du
consentement (mesure d’audience non essentielle, publicité, réseaux sociaux, certains outils tiers).
Si vous utilisez des services externes, vérifiez les traceurs qu’ils déposent. Un simple bouton d’intégration peut déclencher des cookies. L’objectif est d’avoir un bandeau qui permet un choix réel, et des réglages accessibles, sans jouer au labyrinthe.
Mentions d’information au moment de la collecte : formulaires, email, papier, téléphone
Le RGPD se joue souvent au moment où la personne donne ses infos. Ajoutez des
mentions d’information directement sur vos formulaires, y compris hors ligne : fiches papier, inscriptions à un atelier, appels téléphoniques, formulaires de dons, candidatures.
Gardez une version courte qui répond aux questions essentielles : qui collecte, pourquoi, base légale, destinataires, durée, droits, contact. Puis renvoyez vers un document complet. Ce duo « court + complet » est l’un des moyens les plus simples d’être conforme sans assommer les gens.
Encadrer vos sous-traitants : transformer vos contrats en bouclier RGPD
Identifier vos sous-traitants critiques : CRM, paie, emailing, cloud, outil de dons, billetterie
Au lancement, vous allez vite vous appuyer sur des prestataires : cloud, outil d’emailing, CRM, gestion de dons, paie, compta, billetterie, prise de rendez-vous. Ce sont souvent eux qui « tiennent » techniquement vos données.
Faites une liste de vos sous-traitants et repérez ceux qui sont critiques : ceux qui hébergent des données sensibles, ceux qui centralisent beaucoup d’informations, ou ceux dont l’indisponibilité bloquerait l’activité. Ce tri vous aide à prioriser vos vérifications.
Intégrer les clauses indispensables : objet, durée, instructions, confidentialité, sécurité, audits
Vos contrats doivent contenir les clauses RGPD essentielles. Sans transformer chaque devis en roman juridique, vérifiez au minimum : l’
objet du traitement, sa
durée, les
instructions de votre ESUS, les engagements de
confidentialité, les mesures de
sécurité, et les conditions d’
assistance (exemple : aide en cas de demande d’accès ou de violation).
Gardez en tête un principe : si un prestataire est vague sur la sécurité ou refuse d’expliquer, ce n’est pas un détail. Dans une jeune structure, le prestataire est souvent votre infrastructure. Autant qu’il soit fiable.
Organiser la chaîne : sous-traitants ultérieurs, transferts hors UE, annexes et preuves
Regardez aussi ce que votre sous-traitant fait ensuite : utilise-t-il des
sous-traitants ultérieurs ? Où sont localisées les données ? Y a-t-il des
transferts hors UE ? L’enjeu n’est pas de tout interdire, mais de savoir, d’évaluer, et de conserver des
preuves (annexes, addendums, paramètres, confirmations).
Un réflexe utile : centralisez ces documents dans un dossier unique « conformité », accessible à peu de personnes, mais facilement mobilisable si un partenaire financeur, un client ou un contrôle vous demande des éléments.
Mettre en place des procédures simples pour répondre aux droits RGPD (sans panique)
Créer un canal unique de demande : email dédié, formulaire, registre des demandes
Le jour où quelqu’un demande « quelles données avez-vous sur moi ? », ce n’est pas le moment d’improviser. Créez un
canal unique : une adresse email dédiée (exemple : donnees@, privacy@), ou un formulaire simple. Et tenez un
registre des demandes pour tracer la date, l’objet, l’action menée et la réponse.
Cette traçabilité n’est pas une bureaucratie : c’est ce qui vous permet de rester serein, de répondre dans les temps, et d’éviter les réponses contradictoires entre services.
Vérifier l’identité et tracer les actions : délais, réponses types, exceptions
Mettez en place une procédure légère : comment vérifier l’identité sans collecter trop ? Quelles informations demander selon le contexte ? Qui valide la réponse ? Préparez aussi des
réponses types pour les cas courants, et notez les
exceptions possibles (par exemple, quand une demande d’effacement ne peut pas être satisfaite immédiatement à cause d’une obligation légale ou d’un motif légitime).
Le point psychologiquement difficile, c’est souvent la peur de « mal faire ». Une procédure écrite, même courte, réduit cette pression et évite que l’équipe se renvoie la balle.
Gérer les demandes courantes : accès, effacement, rectification, opposition, portabilité
Préparez l’opérationnel : où sont les données (CRM, emails, cloud, tableurs), comment les extraire, comment les corriger, comment acter un effacement, comment enregistrer une opposition à la communication. Si vous utilisez plusieurs outils, documentez un mini-parcours « où chercher ».
Sur la portabilité, soyez pragmatique : l’objectif est de fournir les données dans un format réutilisable lorsque c’est applicable. L’essentiel est d’avoir une méthode claire, pas un système parfait.
Sécuriser les données à la taille d’une jeune ESUS : efficace, pragmatique, documenté
Appliquer les fondamentaux : mots de passe, MFA, sauvegardes, chiffrement, gestion des accès
La sécurité, ce n’est pas un projet à six mois, c’est un ensemble de réflexes. Commencez par les bases :
mots de passe robustes,
MFA dès que possible,
sauvegardes testées,
chiffrement (au moins sur les postes et mobiles), et
gestion des accès au plus juste.
Le principe à retenir : chacun accède à ce dont il a besoin, pas plus. C’est particulièrement important si vous avez des bénévoles, des alternants, ou des intervenants ponctuels.
Sécuriser les postes et le cloud : mises à jour, antivirus, partage de fichiers, droits d’équipe
Assurez-vous que les postes sont à jour, que les protections de base sont actives, et que le partage de fichiers n’est pas un grand « dossier commun » ouvert à tous. Structurez vos dossiers par besoin, définissez des droits d’accès, et évitez de multiplier les exports locaux.
Dans beaucoup d’équipes, le risque vient moins d’une attaque sophistiquée que d’un usage quotidien : un lien partagé sans restriction, un fichier téléchargé sur un ordinateur personnel, ou un compte qui n’est jamais désactivé après un départ.
Prévoir l’incident : procédure de violation, notification, communication, journal des événements
Une jeune ESUS n’est pas immunisée contre un incident. Préparez une procédure simple : comment qualifier une violation, qui alerter en interne, comment contenir, et comment documenter. Tenez un
journal des événements pour garder une trace des incidents et des actions correctives.
Prévoyez aussi un minimum de communication : qui répond si un bénéficiaire, un donateur ou un partenaire s’inquiète ? Avoir un discours clair et factuel limite la panique et évite les maladresses.
Faire vivre le RGPD : gouvernance légère et preuves prêtes en cas de contrôle
Répartir les responsabilités : référent, DPO (si nécessaire), sensibilisation des équipes
Le RGPD ne tient pas sur une personne isolée. Désignez un
référent (même à temps partiel) et clarifiez les responsabilités : qui valide les nouveaux formulaires, qui choisit les outils, qui gère les demandes des personnes. Un
DPO n’est nécessaire que dans certains cas, mais avoir un point de contact interne est utile dans tous les cas.
Ajoutez une sensibilisation simple : une demi-heure d’onboarding pour les nouveaux, quelques règles écrites, et des rappels concrets. Dans une ESUS, l’attention est souvent tournée vers l’humain. Justement, protéger les données fait partie du respect.
Créer votre “pack conformité” : registre, modèles, contrats, preuves de consentement, analyses
Pour éviter de courir après les documents, constituez un
pack conformité dès le lancement. Il peut contenir :
le registre des traitements,
la politique de confidentialité,
les mentions légales,
les éléments cookies,
les contrats ou clauses de sous-traitance,
les procédures droits RGPD, et vos
preuves (versions de textes, paramétrages, captures de consentement si applicable, comptes-rendus de décisions, journaux d’incidents).
Ce pack n’est pas qu’un dossier « pour contrôle ». C’est un outil de pilotage : il vous aide à garder une cohérence, à onboarder l’équipe, et à répondre rapidement aux questions d’un financeur ou d’un partenaire.
Récapitulatif opérationnel : les étapes à suivre et les livrables à avoir dès le lancement
Si vous voulez aller à l’essentiel, retenez cette logique en entonnoir : d’abord comprendre vos rôles et cartographier, ensuite documenter, puis sécuriser et automatiser les réflexes.
- Cartographie initiale des données et des risques (bénéficiaires, bénévoles, RH, dons, communication).
- Registre des traitements rempli avec finalités, bases légales, destinataires, durées, sécurité, et un circuit de mise à jour.
- Politique de confidentialité claire, compréhensible, adaptée aux différents canaux.
- Mentions légales, bandeau cookies et mentions d’information au moment de la collecte.
- Contrats de sous-traitance avec clauses RGPD, chaîne de sous-traitants maîtrisée, preuves centralisées.
- Procédures droits RGPD avec canal unique, vérification d’identité, modèles de réponse et registre des demandes.
- Socle de sécurité : MFA, accès au plus juste, sauvegardes, mises à jour, procédure incident et journalisation.
- Gouvernance légère : référent, règles d’équipe, pack conformité à jour.
Avec ces livrables, vous avez la « colonne vertébrale » : registre des traitements, politiques de confidentialité, mentions légales, contrats de sous-traitance, procédures droits RGPD,
sécurité des données. C’est la combinaison qui rend votre conformité crédible et durable.
Mettre en place le RGPD dès la création de votre ESUS, ce n’est pas cocher des cases : c’est installer des habitudes qui protègent vos bénéficiaires, votre équipe et votre réputation. En posant une cartographie, un registre vivant, des textes clairs, des contrats solides, des procédures simples et une sécurité pragmatique, vous gagnez en sérénité et en professionnalisme. La vraie question, maintenant, c’est :
dans votre activité, quelles données méritent le plus d’attention dès cette semaine ?
