Accéder au contenu principal
Conformité7 minMis à jour le 20 février 2026

RGPD et ERP : comment assurer la conformité de vos données

Un ERP contient des données personnelles (clients, salaries, fournisseurs). Ce guide explique comment assurer la conformité RGPD de votre ERP et les outils disponibles dans Odoo.

Qu'est-ce que le RGPD et pourquoi votre ERP est concerne ?

Le RGPD (Règlement Général sur la Protection des Données) est le règlement europeen qui encadre la collecte, le stockage et le traitement des données personnelles depuis mai 2018. Il s'applique a toute organisation, quelle que soit sa taille, qui traite des données de personnes physiques situees dans l'Union europeenne.

Votre ERP est directement concerne parce qu'il centralise la quasi-totalite des données personnelles que votre entreprise manipule au quotidien : fiches clients avec noms, adresses et numeros de telephone, coordonnees bancaires des fournisseurs, données RH de vos salaries, historique des echanges commerciaux. L'ERP est le coeur du système d'information, et c'est donc lui qui doit porter l'essentiel de votre conformité RGPD.

Points clés

  • Toute PME utilisant un ERP est soumise au RGPD des lors qu'elle traite des données de personnes physiques
  • Les amendes peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros
  • La CNIL a prononce 125 millions d'euros d'amendes en France en 2023 (rapport annuel CNIL 2024)
  • Un registre des traitements est obligatoire pour toutes les entreprises de plus de 250 salaries, et recommande pour les autres
  • Le droit a l'oubli doit être concilie avec les obligations legales de conservation comptable
  • Odoo offre des mécanismes natifs de conformité que des modules complementaires peuvent enrichir
  • La preparation a un contrôle CNIL se fait en amont, pas dans l'urgence

Ce que le RGPD exige concretement de votre entreprise

Le RGPD repose sur six principes fondamentaux que votre ERP doit vous aider a respecter. Le premier est la liceite : chaque traitement de données personnelles doit reposer sur une base legale (contrat, obligation legale, consentement, intérêt legitime). Le deuxieme est la limitation des finalites : les données collectees pour une finalite precise ne peuvent pas être reutilisees pour un autre objectif sans information préalable. Le troisieme est la minimisation : vous ne devez collecter que les données strictement nécessaires a la finalite declaree.

Le quatrieme principe est l'exactitude : les données doivent être tenues a jour et les informations inexactes doivent être corrigees ou supprimees. Le cinquieme est la limitation de la conservation : les données ne doivent pas être conservees au-dela de la duree nécessaire a la finalite du traitement. Enfin, le sixieme est la sécurité : des mesures techniques et organisationnelles appropriees doivent proteger les données contre les accès non autorises, la perte ou la destruction.

Pour les PME, ces principes se traduisent par des obligations concrètes que nous detaillons dans les sections suivantes. Si vous souhaitez evaluer rapidement votre niveau de conformité actuel, notre App RGPD Compliance Suite integre un tableau de bord qui identifie les points d'attention prioritaires.

Les droits des personnes : ce que votre ERP doit permettre

Le RGPD confere aux personnes dont vous traitez les données (clients, prospects, salaries, fournisseurs) un ensemble de droits que votre ERP doit vous permettre d'exercer dans des délais raisonnables.

Le droit d'accès permet a toute personne de vous demander quelles données vous detenez a son sujet, dans quelles finalites vous les traitez et a qui vous les transmettez. Vous disposez d'un mois pour repondre. Votre ERP doit donc vous permettre d'extraire facilement l'ensemble des données associees a un contact donne, tous modules confondus.

Le droit a la portabilite va plus loin : la personne peut demander a recevoir ses données dans un format structure, lisible par machine (CSV, JSON). Ce droit implique que votre ERP dispose de fonctionnalités d'export appropriees.

Le droit a l'effacement (dit "droit a l'oubli") est le plus delicat a mettre en oeuvre dans un ERP, car il entre en conflit avec les obligations legales de conservation. Vous ne pouvez pas supprimer une fiche client qui est liee a des factures, car le Code de commerce impose une conservation des documents comptables pendant dix ans. La solution est l'anonymisation : les données personnelles (nom, adresse, telephone) sont remplacees par des valeurs generiques, tandis que les données comptables restent intactes.

Le droit d'opposition et le retrait du consentement nécessitent une gestion fine des preferences de chaque contact. Si un client a donne son consentement pour recevoir votre newsletter mais le retire, votre ERP doit pouvoir tracer ce retrait et l'appliquer immédiatement.

Check-list conformité RGPD pour votre ERP

Voici les dix actions concrètes a mettre en oeuvre pour assurer la conformité RGPD de votre ERP.

  1. Etablir le registre des traitements. Documentez chaque traitement de données personnelles realise dans votre ERP : module concerne, categories de données, finalite, base legale, duree de conservation et eventuels destinataires. Ce registre est obligatoire pour les entreprises de plus de 250 salaries et fortement recommande pour les autres.

  2. Cartographier les données personnelles dans votre ERP. Identifiez tous les champs contenant des données personnelles dans chaque module : fiches contacts, fiches salaries, notes internes, champs personnalises. Cette cartographie est le préalable a toute action de mise en conformité.

  3. Définir les durees de conservation. Pour chaque categorie de données, fixez une duree de conservation conforme aux obligations legales et a vos besoins opérationnels. Les données comptables doivent être conservees dix ans, les données de prospection trois ans après le dernier contact actif, les données RH cinq ans après le depart du salarie.

  4. Mettre en place les procédures de purge. Configurez des mécanismes de purge ou d'anonymisation automatique des données dont la duree de conservation est echue. Votre ERP doit pouvoir anonymiser les fiches contacts obsoletes sans casser les liens avec les documents comptables.

  5. Configurer les droits d'accès. Assurez-vous que chaque utilisateur de l'ERP n'accede qu'aux données nécessaires a l'exercice de ses fonctions. Un commercial n'a pas besoin d'acceder aux données RH, un comptable n'a pas besoin de consulter les notes de suivi commercial.

  6. Activer les traces d'audit (audit trail). Chaque modification de donnée personnelle doit être tracee : qui a modifie quoi, quand et pourquoi. Cette tracabilite est essentielle en cas de contrôle de la CNIL.

  7. Preparer les procédures d'exercice des droits. Documentez la procédure a suivre lorsqu'un contact exerce son droit d'accès, de portabilite ou d'effacement. Designez un référent interne charge de traiter ces demandes dans le délai legal d'un mois.

  8. Sécuriser les accès a l'ERP. Mots de passe robustes, authentification a deux facteurs si disponible, chiffrement des connexions (HTTPS), politique de gestion des sessions. Selon le rapport annuel de l'ANSSI (2024), 60 % des incidents de sécurité dans les PME sont lies a des defauts d'authentification.

  9. Gérer le consentement de maniere granulaire. Si vous utilisez les données de contacts a des fins de prospection commerciale ou marketing, vous devez recueillir leur consentement explicite et pouvoir le prouver. Votre ERP doit tracer la date, le canal et le contenu du consentement pour chaque contact.

  10. Former les utilisateurs. La conformité RGPD n'est pas qu'une affaire de logiciel. Chaque utilisateur de l'ERP doit comprendre les principes du RGPD, savoir identifier les données personnelles et connaitre les bons reflexes en cas de demande d'exercice de droit ou de suspicion de violation.

Que se passe-t-il en cas de contrôle de la CNIL ?

La Commission Nationale de l'Informatique et des Libertes (CNIL) dispose du pouvoir de contrôler toute organisation traitant des données personnelles. Les contrôles peuvent être declenches par une plainte, un signalement ou une initiative propre de la CNIL dans le cadre de ses priorités thematiques annuelles.

Un contrôle sur place se deroule généralement sur une journee. Les agents de la CNIL se presentent dans vos locaux, munies d'une lettre de mission. Ils peuvent demander a consulter votre registre des traitements, vos procédures d'exercice des droits, vos mesures de sécurité, vos contrats avec les sous-traitants et tout document relatif a votre conformité RGPD. Ils peuvent egalement acceder directement a votre système d'information, y compris votre ERP, pour vérifier la cohérence entre vos declarations et la réalité.

Les points les plus fréquemment verifies lors d'un contrôle sont l'existence et la completude du registre des traitements, la gestion du consentement pour les traitements de prospection, les durees de conservation effectivement appliquees (pas seulement documentees), les mesures de sécurité techniques (chiffrement, accès, sauvegardes) et la gestion des demandes d'exercice de droits recues.

Si des manquements sont constates, la CNIL peut prononcer un rappel a l'ordre, une mise en demeure de mise en conformité dans un délai fixe, ou directement une amende administrative. Selon le rapport d'activité de la CNIL (2024), les PME representent une proportion croissante des organismes contrôles, et l'autorite a fait de la prospection commerciale non consentie et des durees de conservation excessives ses priorités de contrôle.

Les risques et les amendes : au-dela du financier

Les sanctions financieres du RGPD sont dissuasives par conception. Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. Pour une PME realisant 5 millions d'euros de chiffre d'affaires, l'amende maximale theorique est de 200 000 euros.

En pratique, les amendes prononcees contre les PME sont nettement plus modestes, souvent comprises entre 5 000 et 50 000 euros. Mais le risque financier n'est pas le seul a considérer. Un contrôle CNIL defavorable peut engendrer une publication de la décision (atteinte a la reputation), une obligation de mise en conformité couteuse dans des délais contraints, et une perte de confiance de vos clients et partenaires commerciaux.

Il existe aussi un risque opérationnel. En cas de violation de données (fuite, accès non autorise, perte), vous devez notifier la CNIL dans un délai de 72 heures et, si le risque est eleve pour les personnes concernées, les en informer directement. Si votre ERP ne dispose pas de mécanismes de détection et de tracabilite, vous serez incapable de respecter ces délais et d'identifier l'ampleur de la violation.

Comment Odoo vous aide a être conforme

Odoo integre nativement plusieurs mécanismes qui contribuent a la conformité RGPD. La gestion des droits d'accès par groupes et roles permet de restreindre l'accès aux données sensibles. L'audit trail (journal des modifications) trace les changements apportes aux enregistrements. Les fonctionnalités d'export CSV et Excel facilitent la reponse aux demandes de portabilite.

Cependant, ces mécanismes natifs ne couvrent pas l'ensemble des exigences du RGPD. C'est pourquoi Roekish a developpe la RGPD Compliance Suite, un module Odoo qui complète les fonctionnalités natives avec un registre des traitements automatise et maintenu a jour, une gestion granulaire du consentement avec tracabilite complete, un mécanisme de droit a l'oubli en un clic qui anonymise les données personnelles sans casser les références comptables, un export RGPD complet au format JSON et CSV pour repondre aux demandes de portabilite, et un tableau de bord conformité qui donne une vue synthetique de votre situation.

Notre recommandation

La conformité RGPD est une démarche continue, intégrée au fonctionnement quotidien de votre ERP. C'est une opportunite de professionnaliser votre gestion des données et de renforcer la confiance de vos clients. Roekish accompagne les PME dans la mise en conformité RGPD de leur ERP Odoo, depuis l'audit initial jusqu'a la formation des équipes, avec des outils concrets comme notre App RGPD Compliance Suite. Commencez par un diagnostic de votre situation actuelle pour identifier les actions prioritaires et construire une feuille de route realiste.

Questions fréquentes

Un projet Odoo en tête ?

Commencez par le diagnostic, ou parlons-en directement. Sans engagement.

Guide gratuit

7 erreurs à éviter avant de déployer un ERP dans votre PME

Un condensé de retours terrain pour préparer votre projet Odoo. Recevez le guide par email et abordez votre déploiement avec les bonnes bases.

Aucun spam. Conforme RGPD. Vos données restent confidentielles.