Vos données clients, vos salariés, vos fournisseurs : tout vit aujourd'hui dans votre logiciel de gestion. Or un ERP est, par nature, la plus grande concentration de données personnelles de votre entreprise — et donc votre principal point d'exposition au RGPD. Beaucoup de dirigeants de PME pensent que la conformité « se règle avec l'éditeur ». C'est faux : la responsabilité juridique reste la vôtre. Ce guide vous explique, sans jargon, ce que le RGPD change concrètement pour votre ERP, où sont les vrais risques, et comment choisir un outil et un partenaire qui vous protègent au lieu de vous exposer.
Ce que vous allez apprendre
- Pourquoi votre ERP est le point le plus sensible de votre conformité RGPD.
- Qui est juridiquement responsable : vous, votre éditeur ou votre hébergeur.
- Les risques réels (financiers, réputation, contractuels) d'une non-conformité.
- Pourquoi le lieu d'hébergement de vos données change tout.
- Les obligations concrètes qu'un bon ERP doit vous permettre de tenir.
- Comment choisir un ERP et un intégrateur « RGPD-ready » (checklist + tableau).
- Les erreurs les plus fréquentes des PME et comment les éviter.
RGPD et ERP : de quoi parle-t-on, concrètement ?
En bref : le RGPD encadre tout traitement de données personnelles, et votre ERP en traite massivement (clients, prospects, salariés, contacts fournisseurs). Dès qu'une donnée permet d'identifier une personne, elle entre dans le champ du règlement.
Le Règlement Général sur la Protection des Données (RGPD), applicable dans toute l'Union européenne, ne concerne pas que les géants du web. Il s'applique à toute organisation — y compris la PME de dix salariés — qui collecte, stocke ou utilise des données relatives à des personnes physiques. Un nom, un e-mail, un numéro de téléphone, une adresse de livraison, un historique d'achats, un bulletin de paie : tout cela est une donnée personnelle.
Votre ERP (ou PGI, progiciel de gestion intégré) centralise précisément ce type d'information. Le CRM contient vos prospects et clients, le module RH vos salariés, la facturation vos coordonnées bancaires, les achats vos contacts fournisseurs. Là où, autrefois, ces données étaient éparpillées entre plusieurs logiciels, l'ERP les réunit en un seul endroit. C'est un formidable gain d'efficacité — et, du point de vue du RGPD, une concentration de responsabilité.
Pourquoi votre ERP est-il le point le plus sensible côté RGPD ?
En bref : parce qu'il concentre, croise et conserve dans la durée presque toutes vos données personnelles. Un seul incident sur l'ERP peut donc exposer l'ensemble de votre entreprise.
Trois caractéristiques font de l'ERP un point névralgique. D'abord le volume : c'est souvent la base de données la plus riche de l'entreprise. Ensuite le croisement : l'ERP relie des informations qui, isolées, seraient anodines, mais qui réunies dressent un profil détaillé d'une personne (qui a acheté quoi, quand, pour quel montant, avec quelles relances). Enfin la durée : les données y restent souvent des années, bien au-delà de ce qui est nécessaire.
Cette centralisation est aussi ce qui rend l'ERP utile : disposer de chiffres fiables et d'une vision unifiée évite les débats stériles et la double saisie. Mais elle impose une contrepartie : la qualité et la maîtrise de ces données deviennent un enjeu à la fois opérationnel et juridique. Si le sujet de la fiabilité de vos données vous préoccupe, nous l'avons traité en détail dans notre guide sur la fiabilité des chiffres en PME.
Qui est responsable en cas de problème : vous ou votre éditeur ?
En bref : en tant que dirigeant, vous êtes le « responsable de traitement ». Votre éditeur ou hébergeur n'est qu'un « sous-traitant ». La responsabilité juridique principale reste donc la vôtre, même si vous n'êtes pas technicien.
C'est le point le plus mal compris par les PME. Le RGPD distingue deux rôles. Le responsable de traitement décide pourquoi et comment les données sont utilisées : c'est votre entreprise. Le sous-traitant agit pour votre compte : c'est l'éditeur du logiciel ou l'hébergeur. La CNIL et les tribunaux se tournent en priorité vers le responsable de traitement, c'est-à-dire vous.
Cela ne signifie pas que votre prestataire est sans obligation. Il doit signer un contrat de sous-traitance (souvent appelé DPA, Data Processing Agreement) qui encadre ce qu'il a le droit de faire de vos données, ses mesures de sécurité, le recours à d'éventuels sous-traitants tiers et sa coopération en cas d'incident. Exiger ce document — et le lire — fait partie de vos devoirs. Le choix de votre partenaire d'intégration est ici déterminant ; nous détaillons les critères à vérifier dans notre article pour bien choisir son intégrateur Odoo.
Quels risques concrets en cas de non-conformité ?
En bref : au-delà des sanctions financières (qui peuvent atteindre un pourcentage du chiffre d'affaires), le risque le plus immédiat pour une PME est réputationnel et commercial : perte de confiance, clients B2B qui exigent des garanties, contrats perdus.
On retient souvent le plafond théorique des amendes RGPD (jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu). Dans les faits, les sanctions visant les PME sont plus mesurées, mais elles existent — et la CNIL privilégie de plus en plus les contrôles ciblés. Pour un dirigeant, le risque ne se limite toutefois pas à l'amende.
- Réputation : une fuite de données ou une plainte rendue publique entame durablement la confiance de vos clients.
- Commercial : de plus en plus de donneurs d'ordre et de grands comptes exigent des preuves de conformité avant de signer. Une non-conformité peut vous exclure d'un appel d'offres.
- Opérationnel : en cas de contrôle, devoir reconstruire en urgence un registre et une cartographie des données mobilise des semaines de travail.
- Contractuel : vos propres clients peuvent se retourner contre vous si la fuite provient de votre système.
Autrement dit, la conformité n'est pas qu'une contrainte : c'est devenu un argument de vente, surtout en B2B.
Où sont hébergées vos données et pourquoi ça change tout ?
En bref : le lieu d'hébergement détermine quelles lois s'appliquent à vos données. Un hébergement dans l'Union européenne simplifie radicalement votre conformité ; un transfert hors UE impose des garanties supplémentaires.
Le RGPD encadre strictement les transferts de données personnelles en dehors de l'Union européenne. Si votre ERP ou ses sauvegardes sont hébergés sur des serveurs situés hors UE, ou gérés par une société soumise à une législation extra-européenne, vous devez mettre en place des garanties juridiques spécifiques. C'est plus complexe, plus coûteux et plus fragile juridiquement.
Pour une PME française, la voie la plus sûre est donc un hébergement dans l'Union européenne, avec un contrat clair sur la localisation des données et des sauvegardes. C'est un critère à poser noir sur blanc avant de choisir une solution cloud. Si vous hésitez entre les différents modèles d'hébergement, notre comparatif SaaS, cloud et on-premise expliqués simplement et notre guide sur l'ERP cloud pour PME en France vous aideront à cadrer la question.
Quelles obligations un ERP doit-il vous permettre de respecter ?
En bref : votre ERP doit vous permettre de retrouver, corriger, exporter et supprimer les données d'une personne, de limiter les accès, et de prouver qui a fait quoi. Si l'outil ne le permet pas facilement, votre conformité repose sur du bricolage.
Le RGPD accorde aux personnes une série de droits que vous devez pouvoir honorer dans des délais courts (généralement un mois). Concrètement, votre logiciel de gestion doit vous aider à :
- Droit d'accès : retrouver toutes les données détenues sur une personne, même réparties entre plusieurs modules.
- Droit de rectification : corriger une information erronée rapidement.
- Droit à l'effacement : supprimer ou anonymiser les données d'une personne lorsque c'est justifié.
- Droit à la portabilité : exporter les données dans un format réutilisable.
- Minimisation et durée de conservation : ne garder que le nécessaire, et pas indéfiniment.
- Traçabilité : savoir qui a consulté ou modifié une donnée.
À cela s'ajoutent vos obligations « papier » : tenir un registre des traitements, documenter vos finalités, vos durées de conservation et vos mesures de sécurité. L'ERP ne remplace pas ce registre, mais il en est la principale source d'information.
Comment Odoo aide-t-il (ou pas) à être conforme ?
En bref : Odoo fournit les briques techniques de la conformité (gestion fine des droits d'accès, journalisation, archivage, hébergement européen via Odoo Online), mais la conformité reste une affaire de paramétrage et d'organisation, pas une case à cocher.
Comme la plupart des ERP modernes, Odoo offre des outils utiles : des droits d'accès par utilisateur et par module pour que chacun ne voie que ce qui le concerne, des journaux qui tracent les modifications, la possibilité d'archiver plutôt que de conserver des données actives, et un hébergement européen sur l'offre cloud officielle. Ces fonctions sont des moyens ; elles ne produisent pas la conformité toutes seules.
La vraie différence se joue au paramétrage : restreindre réellement les accès, définir des règles de conservation, anonymiser les anciens contacts, sécuriser l'installation. C'est précisément là qu'un projet mal cadré crée du risque. Nous avons détaillé les bonnes pratiques techniques dans notre guide pour sécuriser un Odoo en production. Et lorsque des données doivent être reprises depuis un ancien système, la méthode compte : c'est l'objet de notre article sur la reprise de données Odoo, qui évite d'importer en masse des données obsolètes que vous n'avez pas le droit de conserver.
Que faire en cas de fuite ou de violation de données ?
En bref : en cas de violation susceptible d'affecter des personnes, vous devez en principe notifier la CNIL sous 72 heures et, dans certains cas, informer les personnes concernées. Préparer cette procédure à l'avance évite la panique et les erreurs.
Une « violation de données » ne se limite pas au piratage : c'est aussi un fichier client envoyé par erreur, un ordinateur volé, ou un ancien salarié qui garde un accès. Le réflexe à organiser en amont tient en quelques étapes : détecter et qualifier l'incident, le documenter, évaluer le risque pour les personnes, notifier l'autorité de contrôle dans les délais si nécessaire, puis corriger la faille. Une PME qui a anticipé ce scénario — ne serait-ce qu'une procédure écrite d'une page et une sauvegarde fiable — gère l'incident sereinement. Celle qui découvre la procédure le jour J multiplie les erreurs.
Comment choisir un ERP et un intégrateur « RGPD-ready » ?
En bref : un bon ERP vous donne les outils techniques ; un bon intégrateur les paramètre correctement et vous fournit les garanties contractuelles. Vérifiez les deux avant de signer, pas après.
La conformité se décide en grande partie au moment du choix. Voici les critères à comparer entre un outil et un partenaire qui vous protègent et ceux qui vous exposent :
| Critère | ERP / partenaire « RGPD-ready » | Signal d'alerte |
|---|---|---|
| Hébergement | Données et sauvegardes dans l'UE, localisation contractuelle | Localisation floue ou hors UE sans garantie |
| Contrat de sous-traitance (DPA) | Fourni, clair, signé avant le projet | Aucun document, ou refus de s'engager |
| Gestion des accès | Droits fins par rôle et par module | Tout le monde voit tout |
| Traçabilité | Journaux des consultations et modifications | Aucun historique disponible |
| Suppression / anonymisation | Procédure documentée et outillée | « Il suffit de supprimer la ligne » |
| Sauvegardes | Automatiques, testées, chiffrées | Sauvegardes manuelles ou inexistantes |
| Accompagnement | Conseil sur le paramétrage RGPD | « Le RGPD, ce n'est pas notre sujet » |
La règle d'or : un prestataire sérieux accepte de mettre ses engagements par écrit. S'il esquive ces questions, c'est vous qui porterez le risque.
Quelles erreurs les PME commettent-elles le plus souvent ?
En bref : les fautes les plus fréquentes ne sont pas techniques mais organisationnelles : croire que l'éditeur est responsable, donner trop d'accès, tout conserver indéfiniment, et ne rien documenter.
- Déléguer mentalement la responsabilité à l'éditeur ou au prestataire, alors qu'elle reste juridiquement la vôtre.
- Donner un accès complet à tous les utilisateurs par confort, au lieu de limiter selon les besoins réels.
- Conserver toutes les données pour toujours, sans règle de purge ni anonymisation des contacts inactifs.
- Importer en masse de vieilles bases lors de la migration, en récupérant des données qu'on n'a plus le droit de garder.
- Ne tenir aucun registre des traitements, ce qui rend tout contrôle ingérable.
- Négliger les sauvegardes et leur test de restauration, jusqu'au jour de l'incident.
Aucune de ces erreurs n'exige une expertise juridique pour être évitée. Elles relèvent d'une bonne hygiène de gestion — exactement ce qu'un ERP bien paramétré facilite.
Combien coûte la mise en conformité (exemples illustratifs) ?
En bref : pour une PME, la mise en conformité de l'ERP représente surtout du temps de cadrage et de paramétrage, pas un budget logiciel démesuré. Anticipée pendant le projet, elle coûte une fraction de ce qu'elle coûterait en rattrapage.
Les montants ci-dessous sont purement illustratifs et varient selon votre taille et votre secteur. Ils servent à donner un ordre de grandeur, pas un devis.
| Poste | Effort typique (illustratif) | Quand l'engager |
|---|---|---|
| Cartographie des données et registre | 2 à 5 jours | Au cadrage du projet |
| Paramétrage des droits d'accès | 1 à 3 jours | Pendant la mise en place |
| Règles de conservation / anonymisation | 1 à 2 jours | Avant la reprise de données |
| Procédure violation + sauvegardes testées | 1 à 2 jours | Avant la mise en production |
| Contrats (DPA) avec les prestataires | Inclus / négociation | À la signature |
L'enseignement clé : intégrée dès le départ, la conformité ajoute quelques jours à un projet ERP. Traitée après coup, sous la pression d'une plainte ou d'un contrôle, elle se chiffre en semaines de désorganisation. C'est le même principe que pour le calcul du retour sur investissement : nous l'expliquons dans notre guide sur le ROI d'un ERP pour PME.
Questions fréquentes
Une PME doit-elle nommer un DPO (délégué à la protection des données) ?
Pas systématiquement. La désignation d'un DPO n'est obligatoire que dans certains cas (suivi à grande échelle, données sensibles). La plupart des petites PME peuvent désigner un référent interne, à condition de documenter leurs traitements et de respecter les droits des personnes.
Le RGPD s'applique-t-il si je n'ai que des clients professionnels ?
Oui. Même en B2B, vous traitez des données de personnes physiques : noms, e-mails et téléphones de vos interlocuteurs. Le RGPD s'applique dès qu'une personne est identifiable, quel que soit son statut professionnel.
Un ERP open source est-il moins sûr pour le RGPD ?
Non, l'open source n'est ni plus ni moins conforme par nature. Ce qui compte, c'est l'hébergement, le paramétrage des accès et les engagements contractuels de votre prestataire — pas le modèle de licence du logiciel.
Combien de temps puis-je conserver les données d'un client ?
Le principe est de ne les garder que le temps nécessaire à la finalité, plus les durées légales (par exemple comptables). Au-delà, il faut archiver ou anonymiser. Définir ces durées dans votre ERP fait partie d'une bonne conformité.
Mon hébergeur garantit la sécurité : suis-je couvert ?
Partiellement seulement. L'hébergeur sécurise l'infrastructure, mais vous restez responsable de l'usage des données, des accès accordés et du respect des droits des personnes. La sécurité technique est une condition nécessaire, pas suffisante.
Que se passe-t-il si je migre depuis Excel ou un vieux logiciel ?
La migration est le bon moment pour faire le tri : n'importez que les données utiles et autorisées, et profitez-en pour définir vos règles de conservation. C'est plus facile à l'arrivée dans un ERP structuré que dans des fichiers épars.
En résumé : les points clés
- Votre ERP est la plus grande concentration de données personnelles de l'entreprise : c'est votre principal point d'exposition au RGPD.
- En tant que dirigeant, vous êtes responsable de traitement ; l'éditeur n'est qu'un sous-traitant. La responsabilité reste la vôtre.
- Le risque dépasse l'amende : réputation, contrats B2B et continuité d'activité sont en jeu.
- Privilégiez un hébergement dans l'UE et exigez un contrat de sous-traitance (DPA) clair.
- Un bon ERP doit permettre d'honorer les droits des personnes, de limiter les accès et de tracer les actions.
- La conformité se gagne au paramétrage et à l'organisation, pas avec une simple case à cocher.
- Intégrée dès le projet, elle coûte quelques jours ; traitée en rattrapage, elle coûte des semaines.
Faites de la conformité un atout, pas une contrainte
Le RGPD n'est pas un obstacle à la digitalisation : bien abordé, c'est un gage de sérieux qui rassure vos clients et solidifie votre entreprise. La clé est de traiter le sujet au moment du choix et du déploiement de votre ERP, avec un partenaire qui maîtrise autant la technique que la gouvernance des données. Chez AldenSync, nous concevons des intégrations Odoo fiables où la qualité et la maîtrise de vos données sont au cœur du projet. Discutons de votre projet : contactez AldenSync pour un échange concret sur votre situation.