Accéder au contenu principal
Conformite7 minMis à jour le 20 février 2026

RGPD et ERP : comment assurer la conformite de vos donnees

Un ERP contient des donnees personnelles (clients, salaries, fournisseurs). Ce guide explique comment assurer la conformite RGPD de votre ERP et les outils disponibles dans Odoo.

Qu'est-ce que le RGPD et pourquoi votre ERP est concerne ?

Le RGPD (Reglement General sur la Protection des Donnees) est le reglement europeen qui encadre la collecte, le stockage et le traitement des donnees personnelles depuis mai 2018. Il s'applique a toute organisation, quelle que soit sa taille, qui traite des donnees de personnes physiques situees dans l'Union europeenne.

Votre ERP est directement concerne parce qu'il centralise la quasi-totalite des donnees personnelles que votre entreprise manipule au quotidien : fiches clients avec noms, adresses et numeros de telephone, coordonnees bancaires des fournisseurs, donnees RH de vos salaries, historique des echanges commerciaux. L'ERP est le coeur du système d'information, et c'est donc lui qui doit porter l'essentiel de votre conformite RGPD.

Points clés

  • Toute PME utilisant un ERP est soumise au RGPD des lors qu'elle traite des donnees de personnes physiques
  • Les amendes peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros
  • La CNIL a prononce 125 millions d'euros d'amendes en France en 2023 (rapport annuel CNIL 2024)
  • Un registre des traitements est obligatoire pour toutes les entreprises de plus de 250 salaries, et recommande pour les autres
  • Le droit a l'oubli doit être concilie avec les obligations legales de conservation comptable
  • Odoo offre des mecanismes natifs de conformite que des modules complementaires peuvent enrichir
  • La preparation a un controle CNIL se fait en amont, pas dans l'urgence

Ce que le RGPD exige concretement de votre entreprise

Le RGPD repose sur six principes fondamentaux que votre ERP doit vous aider a respecter. Le premier est la liceite : chaque traitement de donnees personnelles doit reposer sur une base legale (contrat, obligation legale, consentement, interet legitime). Le deuxieme est la limitation des finalites : les donnees collectees pour une finalite precise ne peuvent pas être reutilisees pour un autre objectif sans information prealable. Le troisieme est la minimisation : vous ne devez collecter que les donnees strictement necessaires a la finalite declaree.

Le quatrieme principe est l'exactitude : les donnees doivent être tenues a jour et les informations inexactes doivent être corrigees ou supprimees. Le cinquieme est la limitation de la conservation : les donnees ne doivent pas être conservees au-dela de la duree necessaire a la finalite du traitement. Enfin, le sixieme est la securite : des mesures techniques et organisationnelles appropriees doivent proteger les donnees contre les acces non autorises, la perte ou la destruction.

Pour les PME, ces principes se traduisent par des obligations concrètes que nous detaillons dans les sections suivantes. Si vous souhaitez evaluer rapidement votre niveau de conformite actuel, notre App RGPD Compliance Suite integre un tableau de bord qui identifie les points d'attention prioritaires.

Les droits des personnes : ce que votre ERP doit permettre

Le RGPD confere aux personnes dont vous traitez les donnees (clients, prospects, salaries, fournisseurs) un ensemble de droits que votre ERP doit vous permettre d'exercer dans des delais raisonnables.

Le droit d'acces permet a toute personne de vous demander quelles donnees vous detenez a son sujet, dans quelles finalites vous les traitez et a qui vous les transmettez. Vous disposez d'un mois pour repondre. Votre ERP doit donc vous permettre d'extraire facilement l'ensemble des donnees associees a un contact donne, tous modules confondus.

Le droit a la portabilite va plus loin : la personne peut demander a recevoir ses donnees dans un format structure, lisible par machine (CSV, JSON). Ce droit implique que votre ERP dispose de fonctionnalites d'export appropriees.

Le droit a l'effacement (dit "droit a l'oubli") est le plus delicat a mettre en oeuvre dans un ERP, car il entre en conflit avec les obligations legales de conservation. Vous ne pouvez pas supprimer une fiche client qui est liee a des factures, car le Code de commerce impose une conservation des documents comptables pendant dix ans. La solution est l'anonymisation : les donnees personnelles (nom, adresse, telephone) sont remplacees par des valeurs generiques, tandis que les donnees comptables restent intactes.

Le droit d'opposition et le retrait du consentement necessitent une gestion fine des preferences de chaque contact. Si un client a donne son consentement pour recevoir votre newsletter mais le retire, votre ERP doit pouvoir tracer ce retrait et l'appliquer immediatement.

Check-list conformite RGPD pour votre ERP

Voici les dix actions concrètes a mettre en oeuvre pour assurer la conformite RGPD de votre ERP.

  1. Etablir le registre des traitements. Documentez chaque traitement de donnees personnelles realise dans votre ERP : module concerne, categories de donnees, finalite, base legale, duree de conservation et eventuels destinataires. Ce registre est obligatoire pour les entreprises de plus de 250 salaries et fortement recommande pour les autres.

  2. Cartographier les donnees personnelles dans votre ERP. Identifiez tous les champs contenant des donnees personnelles dans chaque module : fiches contacts, fiches salaries, notes internes, champs personnalises. Cette cartographie est le prealable a toute action de mise en conformite.

  3. Definir les durees de conservation. Pour chaque categorie de donnees, fixez une duree de conservation conforme aux obligations legales et a vos besoins operationnels. Les donnees comptables doivent être conservees dix ans, les donnees de prospection trois ans après le dernier contact actif, les donnees RH cinq ans après le depart du salarie.

  4. Mettre en place les procedures de purge. Configurez des mecanismes de purge ou d'anonymisation automatique des donnees dont la duree de conservation est echue. Votre ERP doit pouvoir anonymiser les fiches contacts obsoletes sans casser les liens avec les documents comptables.

  5. Configurer les droits d'acces. Assurez-vous que chaque utilisateur de l'ERP n'accede qu'aux donnees necessaires a l'exercice de ses fonctions. Un commercial n'a pas besoin d'acceder aux donnees RH, un comptable n'a pas besoin de consulter les notes de suivi commercial.

  6. Activer les traces d'audit (audit trail). Chaque modification de donnee personnelle doit être tracee : qui a modifie quoi, quand et pourquoi. Cette tracabilite est essentielle en cas de controle de la CNIL.

  7. Preparer les procedures d'exercice des droits. Documentez la procedure a suivre lorsqu'un contact exerce son droit d'acces, de portabilite ou d'effacement. Designez un referent interne charge de traiter ces demandes dans le delai legal d'un mois.

  8. Securiser les acces a l'ERP. Mots de passe robustes, authentification a deux facteurs si disponible, chiffrement des connexions (HTTPS), politique de gestion des sessions. Selon le rapport annuel de l'ANSSI (2024), 60 % des incidents de securite dans les PME sont lies a des defauts d'authentification.

  9. Gerer le consentement de maniere granulaire. Si vous utilisez les donnees de contacts a des fins de prospection commerciale ou marketing, vous devez recueillir leur consentement explicite et pouvoir le prouver. Votre ERP doit tracer la date, le canal et le contenu du consentement pour chaque contact.

  10. Former les utilisateurs. La conformite RGPD n'est pas qu'une affaire de logiciel. Chaque utilisateur de l'ERP doit comprendre les principes du RGPD, savoir identifier les donnees personnelles et connaitre les bons reflexes en cas de demande d'exercice de droit ou de suspicion de violation.

Que se passe-t-il en cas de controle de la CNIL ?

La Commission Nationale de l'Informatique et des Libertes (CNIL) dispose du pouvoir de controler toute organisation traitant des donnees personnelles. Les controles peuvent être declenches par une plainte, un signalement ou une initiative propre de la CNIL dans le cadre de ses priorites thematiques annuelles.

Un controle sur place se deroule generalement sur une journee. Les agents de la CNIL se presentent dans vos locaux, munies d'une lettre de mission. Ils peuvent demander a consulter votre registre des traitements, vos procedures d'exercice des droits, vos mesures de securite, vos contrats avec les sous-traitants et tout document relatif a votre conformite RGPD. Ils peuvent egalement acceder directement a votre système d'information, y compris votre ERP, pour verifier la coherence entre vos declarations et la realite.

Les points les plus frequemment verifies lors d'un controle sont l'existence et la completude du registre des traitements, la gestion du consentement pour les traitements de prospection, les durees de conservation effectivement appliquees (pas seulement documentees), les mesures de securite techniques (chiffrement, acces, sauvegardes) et la gestion des demandes d'exercice de droits recues.

Si des manquements sont constates, la CNIL peut prononcer un rappel a l'ordre, une mise en demeure de mise en conformite dans un delai fixe, ou directement une amende administrative. Selon le rapport d'activite de la CNIL (2024), les PME representent une proportion croissante des organismes controles, et l'autorite a fait de la prospection commerciale non consentie et des durees de conservation excessives ses priorites de controle.

Les risques et les amendes : au-dela du financier

Les sanctions financieres du RGPD sont dissuasives par conception. Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. Pour une PME realisant 5 millions d'euros de chiffre d'affaires, l'amende maximale theorique est de 200 000 euros.

En pratique, les amendes prononcees contre les PME sont nettement plus modestes, souvent comprises entre 5 000 et 50 000 euros. Mais le risque financier n'est pas le seul a considerer. Un controle CNIL defavorable peut engendrer une publication de la decision (atteinte a la reputation), une obligation de mise en conformite couteuse dans des delais contraints, et une perte de confiance de vos clients et partenaires commerciaux.

Il existe aussi un risque operationnel. En cas de violation de donnees (fuite, acces non autorise, perte), vous devez notifier la CNIL dans un delai de 72 heures et, si le risque est eleve pour les personnes concernees, les en informer directement. Si votre ERP ne dispose pas de mecanismes de detection et de tracabilite, vous serez incapable de respecter ces delais et d'identifier l'ampleur de la violation.

Comment Odoo vous aide a être conforme

Odoo integre nativement plusieurs mecanismes qui contribuent a la conformite RGPD. La gestion des droits d'acces par groupes et roles permet de restreindre l'acces aux donnees sensibles. L'audit trail (journal des modifications) trace les changements apportes aux enregistrements. Les fonctionnalites d'export CSV et Excel facilitent la reponse aux demandes de portabilite.

Cependant, ces mecanismes natifs ne couvrent pas l'ensemble des exigences du RGPD. C'est pourquoi Roekish a developpe la RGPD Compliance Suite, un module Odoo qui complète les fonctionnalites natives avec un registre des traitements automatise et maintenu a jour, une gestion granulaire du consentement avec tracabilite complete, un mecanisme de droit a l'oubli en un clic qui anonymise les donnees personnelles sans casser les references comptables, un export RGPD complet au format JSON et CSV pour repondre aux demandes de portabilite, et un tableau de bord conformite qui donne une vue synthetique de votre situation.

Notre recommandation

La conformite RGPD n'est pas un projet ponctuel, c'est une demarche continue qui doit être integree au fonctionnement quotidien de votre ERP. Ne la percevez pas comme une contrainte reglementaire, mais comme une opportunite de professionnaliser votre gestion des donnees et de renforcer la confiance de vos clients. Roekish accompagne les PME dans la mise en conformite RGPD de leur ERP Odoo, depuis l'audit initial jusqu'a la formation des equipes, avec des outils concrets comme notre App RGPD Compliance Suite. Commencez par un diagnostic de votre situation actuelle pour identifier les actions prioritaires et construire une feuille de route realiste.

Questions fréquentes

Oui, des lors que votre ERP contient des donnees personnelles (clients, salaries, fournisseurs, prospects), les obligations du RGPD s'appliquent integralement. Cela inclut la tenue d'un registre des traitements, le respect des droits d'acces et d'effacement, la securisation des donnees et la gestion du consentement pour les traitements de prospection. L'ERP etant le système central de votre entreprise, il est le premier outil concerne par la mise en conformite.

Les amendes prevues par le RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. En pratique, les sanctions prononcees contre les PME sont generalement comprises entre 5 000 et 50 000 euros. Au-dela de l'amende financiere, un manquement constate par la CNIL peut entrainer la publication de la decision, une atteinte a votre reputation et une obligation de mise en conformite dans des delais contraints.

Le droit a l'oubli doit être concilie avec les obligations legales de conservation comptable, qui imposent de conserver les documents pendant dix ans. La solution est l'anonymisation : les donnees personnelles (nom, adresse, telephone, email) sont remplacees par des valeurs generiques, tandis que les ecritures comptables et les factures restent intactes et exploitables. La RGPD Compliance Suite de Roekish automatise ce processus en un clic, sans risque pour l'integrite de vos donnees comptables.

Un controle CNIL sur place se deroule generalement sur une journee. Les agents se presentent avec une lettre de mission et peuvent demander a consulter votre registre des traitements, vos procedures d'exercice des droits, vos mesures de securite et vos contrats de sous-traitance. Ils peuvent egalement acceder directement a votre système d'information pour verifier la coherence entre vos declarations et la realite. La preparation a un controle se fait en amont, en s'assurant que tous les documents exigibles sont a jour et accessibles.

Ressources associees

Outil gratuit

App RGPD Compliance Suite

Besoin d'un accompagnement sur votre projet Odoo ?

Échangeons sur vos besoins et définissons ensemble la meilleure approche.

Prendre rendez-vousDiagnostic gratuit

Guide gratuit

7 erreurs à éviter avant de déployer un ERP dans votre PME

Un condensé de retours terrain pour préparer votre projet Odoo. Recevez le guide par email et abordez votre déploiement avec les bonnes bases.

Aucun spam. Conforme RGPD. Vos données restent confidentielles.