Depuis 2018, le RGPD fait trembler les TPE. Des histoires d'amendes à 20 millions d'euros circulent et paralysent les petits patrons qui se disent " suis foutu, je ne suis pas en conformité".
La réalité est plus simple. La CNIL n'a jamais sanctionné une TPE qui fait un effort raisonnable de conformité. Elle s'attaque aux géants du web, aux entreprises qui vendent des données personnelles, aux récidivistes. Pas au plombier qui a un fichier Excel de clients.
Cela ne vous dispense pas de faire votre part. Mais le niveau d'effort est largement gérable.
Les 5 actions qui couvrent 80% de vos obligations
Action 1 : le registre des traitements (la base)
C'est le document central du RGPD. Il liste les données personnelles que vous collectez, pourquoi, et combien de temps vous les conservez.
Pour une TPE typique, ça tient sur une page :
| Traitement | Données collectées | Finalité | Durée de conservation |
|---|---|---|---|
| Fichier clients | Nom, email, téléphone, adresse | Gestion commerciale | 3 ans après dernier contact |
| Comptabilité | Nom, adresse, n° facture | Obligation légale | 10 ans |
| Paie (si salariés) | État civil, n° SS, RIB | Gestion des salaires | 5 ans après départ |
| Site web | Cookies, IP, formulaire contact | Marketing, analytics | 13 mois (cookies), 3 ans (formulaire) |
| Newsletter | Communication | Jusqu'au désabonnement |
La CNIL propose un modèle gratuit sur son site. Remplissez-le en 30 minutes et mettez-le à jour une fois par an.
Action 2 : l'information des personnes
Vous devez informer les personnes dont vous collectez les données. En pratique :
-
Sur votre site web : une page "Politique de confidentialité" (ou "Protection des données") accessible depuis le footer. Décrivez en langage simple quelles données vous collectez, pourquoi, combien de temps vous les gardez, et comment exercer ses droits.
-
Sur vos formulaires : une phrase sous chaque formulaire de contact : "Les données collectées sont utilisées pour répondre à votre demande. Vous pouvez exercer vos droits en nous contactant à [email]. Voir notre politique de confidentialité."
-
Pour vos salariés : un document remis à l'embauche listant les données collectées dans le cadre de la relation de travail.
Action 3 : la gestion des cookies
Si votre site utilise des cookies de mesure d'audience (Google Analytics, Matomo) ou de publicité, vous devez obtenir le consentement explicite du visiteur AVANT de déposer ces cookies.
L'action : installez un bandeau de cookies conforme. Les solutions gratuites comme Tarteaucitron.js ou Cookiebot (gratuit jusqu'à 100 pages) font le travail.
Exception : les cookies strictement nécessaires au fonctionnement du site (authentification, panier d'achat) ne nécessitent pas de consentement.
Alternative : utilisez Matomo en configuration "exempté de consentement" (déclaration CNIL). Vous gardez vos analytics sans bandeau de cookies.
Action 4 : la sécurité des données
Le RGPD impose de protéger les données personnelles avec des "mesures techniques et organisationnelles appropriées". Pour une TPE, ça signifie :
- Mots de passe robustes et uniques (voir l'article cybersécurité)
- Mises à jour de sécurité appliquées
- Sauvegardes régulières
- Accès restreint aux données (pas tout le monde n'accède à tout)
- Chiffrement des ordinateurs portables
Ce n'est ni plus ni moins que les bonnes pratiques de cybersécurité que vous devriez appliquer de toute façon.
Action 5 : la gestion des droits des personnes
Le RGPD donne aux personnes des droits sur leurs données : accès, rectification, suppression, portabilité. En pratique, les TPE reçoivent très peu de demandes de ce type.
L'action : désignez un interlocuteur (vous-même ou un collaborateur) et une adresse email de contact (type donnees@votreentreprise.fr). Quand une demande arrive, répondez dans le mois. C'est tout.
Ce qui peut attendre
Le DPO (délégué à la protection des données) — obligatoire uniquement pour les entreprises qui traitent des données à grande échelle ou des données sensibles. Une TPE de 5 personnes n'a pas besoin de DPO.
L'analyse d'impact (AIPD) — obligatoire uniquement pour les traitements à risque élevé (vidéosurveillance à grande échelle, profilage systématique, données de santé). Le fichier clients de votre menuiserie n'est pas un traitement à risque élevé.
La certification RGPD — aucune certification n'est obligatoire. Les entreprises qui vous vendent des "certifications RGPD" exploitent la peur. La conformité est un processus continu, pas un label.
En cas de violation de données
Si des données personnelles fuient (piratage, perte de clé USB, email envoyé au mauvais destinataire), vous avez 72 heures pour notifier la CNIL si la violation présente un risque pour les personnes.
Le formulaire de notification est en ligne sur le site de la CNIL. Remplissez-le honnêtement : ce que s'est passé, combien de personnes sont concernées, quelles mesures vous avez prises.
La CNIL est plus indulgente avec une entreprise qui notifie rapidement qu'avec une entreprise qui cache l'incident.
Le RGPD n'est pas un monstre bureaucratique pour les TPE. C'est un cadre de bon sens : protégez les données de vos clients comme vous aimeriez qu'on protège les vôtres.