RGPD pour les TPE/PME : les 8 actions concrètes pour être conforme à Digne (sans se noyer dans la paperasse)

Le RGPD : une réalité pour les TPE, pas seulement pour les grandes entreprises

Depuis mai 2018, le Règlement Général sur la Protection des Données s'impose à toutes les organisations qui collectent ou traitent des données personnelles de résidents européens. Peu importe que vous soyez plombier, comptable, kinésithérapeute ou commerçant à Digne-les-Bains : dès que vous avez un fichier clients, une newsletter, un formulaire de contact ou un logiciel de caisse, vous êtes concerné.

La CNIL peut contrôler n'importe quelle structure, quelle que soit sa taille. En 2024, elle a sanctionné des TPE à hauteur de plusieurs milliers d'euros pour des manquements pourtant basiques. Pas de quoi paniquer, mais largement de quoi agir.

Ce guide vous donne les 8 actions prioritaires pour une mise en conformité RGPD simple — sans jargon, sans cabinet de conseil hors de prix, sans vous y perdre.

Action 1 — Recensez toutes les données personnelles que vous traitez

Avant tout, il faut savoir ce que vous avez. Faites l'inventaire de tout ce qui contient des données personnelles dans votre structure :

• Votre logiciel de gestion clients (CRM, devis, facturation)
• Votre fichier de contacts ou votre newsletter
• Les formulaires sur votre site web
• Les e-mails que vous conservez
• Les CV de candidats reçus
• Les dossiers salariés si vous avez du personnel
• Les caméras de surveillance si vous en avez

Cet inventaire s'appelle le registre des activités de traitement. La CNIL met à disposition un modèle Excel gratuit. Pour une TPE, il tient souvent sur une seule page. C'est votre point de départ.

Action 2 — Identifiez la base légale de chaque traitement

Le RGPD exige que chaque collecte de données repose sur une raison valable. Pour une TPE, les bases légales les plus courantes sont :

• L'exécution d'un contrat : vous avez besoin de l'adresse de votre client pour lui livrer une commande.
• L'obligation légale : vous conservez les fiches de paie parce que la loi l'impose.
• Le consentement : le visiteur de votre site coche une case pour recevoir votre newsletter.
• L'intérêt légitime : vous relancez un prospect avec qui vous avez déjà eu un échange commercial.

En pratique : si vous envoyez des e-mails commerciaux à des prospects que vous avez grattés au hasard sur Internet sans leur accord, c'est illégal. Si vous relancez un artisan de Digne qui vous a demandé un devis il y a 3 mois, c'est légalement défendable sous l'intérêt légitime.

Action 3 — Mettez à jour votre politique de confidentialité

Votre site web doit afficher une politique de confidentialité lisible qui explique :

• Quelles données vous collectez et pourquoi
• Combien de temps vous les conservez
• Avec qui vous les partagez (hébergeur, outil de facturation, etc.)
• Comment les internautes peuvent exercer leurs droits (accès, rectification, suppression)

Ce texte n'a pas besoin d'être long ou rédigé par un avocat. Il doit juste être honnête et compréhensible. Des générateurs gratuits existent (CNIL, Iubenda) pour vous aider à produire une version de base en quelques minutes. Ensuite, ajoutez un lien en pied de page.

Si vous utilisez des cookies (Google Analytics, Facebook Pixel, etc.), un bandeau de consentement conforme est également obligatoire.

Action 4 — Limitez la durée de conservation des données

Conserver indéfiniment des données, c'est l'une des erreurs les plus fréquentes chez les TPE. Le RGPD impose de ne garder les données que le temps nécessaire.

Quelques repères pratiques :

• Clients actifs : aussi longtemps que la relation commerciale dure, puis 3 ans après le dernier contact.
• Prospects : 3 ans maximum sans interaction.
• CV de candidats non retenus : 2 ans, pas plus (sauf accord du candidat).
• Factures et documents comptables : 10 ans (obligation légale).
• Vidéosurveillance : 30 jours maximum en règle générale.

Mettez en place un rappel annuel pour purger vos listes. Ça ne prend pas plus d'une heure et c'est un geste concret de conformité.

Action 5 — Sécurisez techniquement les données que vous détenez

Le RGPD ne demande pas la sécurité parfaite — il demande des mesures appropriées aux risques. Pour une TPE, cela se traduit par des basiques non négociables :

• Des mots de passe forts et uniques sur tous les accès (CRM, messagerie, Wi-Fi pro, NAS…)
• La double authentification activée sur les outils critiques
• Un antivirus à jour sur tous les postes
• Les mises à jour Windows et logiciels installées sans délai
• Un chiffrement des données sensibles si vous les stockez sur un portable ou une clé USB
• Une sauvegarde régulière des données clients

Si vous n'êtes pas certain de la solidité de votre infrastructure, lisez notre guide sur la sauvegarde 3-2-1 pour les TPE et notre article sur le télétravail sécurisé. Et si un ransomware chiffre vos fichiers clients, le RGPD vous impose d'en informer la CNIL sous 72 heures — autant ne pas en arriver là. Notre guide sur la protection contre les ransomwares vous donne les réflexes essentiels.

À l'atelier TECHNOTREMENT, nous accompagnons régulièrement des professionnels du 04 pour un audit de sécurité informatique et la mise en place de ces protections de base.

Action 6 — Encadrez vos sous-traitants (hébergeurs, prestataires, outils SaaS)

Si vous confiez des données clients à un tiers — hébergeur web, logiciel de facturation en ligne, outil d'emailing, comptable qui accède à votre serveur — vous devez signer avec lui un contrat de sous-traitance (ou DPA : Data Processing Agreement).

En pratique : la plupart des outils SaaS sérieux (OVH, Mailchimp, Pennylane, Dolibarr cloud, etc.) proposent déjà ce document dans leurs conditions générales ou sur demande. Vérifiez que le fournisseur héberge bien les données en Europe ou offre des garanties équivalentes (clauses contractuelles types).

Ce point est souvent oublié par les TPE, alors qu'il peut représenter un risque réel en cas de contrôle.

Action 7 — Nommez un référent RGPD interne (même informel)

Vous n'êtes pas obligé de désigner un DPO (Délégué à la Protection des Données) si vous êtes une petite structure sans traitement à grande échelle. Mais nommez quand même une personne référente en interne — souvent vous-même — qui :

• Centralise les demandes d'exercice de droits des personnes (droit d'accès, de suppression, etc.)
• Met à jour le registre des traitements une fois par an
• Réagit en cas de violation de données

Ce n'est pas un poste à plein temps. C'est une responsabilité claire, attribuée à quelqu'un de précis.

Action 8 — Sachez quoi faire en cas de violation de données

Une violation de données, c'est tout incident qui compromet la confidentialité, l'intégrité ou la disponibilité de données personnelles : ransomware, vol de portable, envoi d'un mail à la mauvaise liste, accès non autorisé à votre CRM…

Le RGPD impose deux obligations en cas de violation :

• Notifier la CNIL sous 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. La notification se fait en ligne sur notifications.cnil.fr.
• Informer les personnes concernées directement si le risque est élevé (ex. : fuite de données bancaires ou médicales).

Si vous recevez un e-mail bizarre demandant vos identifiants ou si vous constatez un accès suspect, consultez notre article mail piraté : que faire immédiatement — les réflexes sont les mêmes.

Gardez une trace de chaque incident, même mineur. Le registre des violations est exigé par la CNIL en cas de contrôle.

Ce que vous n'avez PAS à faire (contrairement à ce qu'on vous a peut-être dit)

Le RGPD génère beaucoup de fausses croyances. Voici ce qu'une TPE n'est généralement pas obligée de faire :

• Nommer un DPO (sauf si votre cœur de métier est le traitement de données sensibles à grande échelle)
• Faire une étude d'impact (PIA) — seulement si vos traitements sont à risque élevé
• Payer une certification RGPD
• Demander le consentement pour chaque traitement — la base légale suffit dans de nombreux cas
• Supprimer toutes vos données clients existantes

Le RGPD est un cadre de responsabilisation, pas une machine à punir. Une TPE qui fait des efforts documentés et proportionnés est bien mieux placée qu'une qui n'a rien fait du tout.

FAQ — RGPD TPE : les questions les plus fréquentes

Le RGPD s'applique-t-il vraiment à mon micro-entreprise ?

Oui. Dès que vous traitez des données personnelles de résidents européens — nom, adresse e-mail, numéro de téléphone, données de santé — vous êtes soumis au RGPD, quelle que soit votre taille. Un auto-entrepreneur avec une liste de 50 clients est concerné au même titre qu'une PME de 50 salariés, même si les obligations sont proportionnées.

Combien coûte une mise en conformité RGPD pour une TPE ?

Le coût réel dépend de votre situation de départ, mais pour une TPE classique qui fait les choses elle-même, le budget peut être quasi nul : quelques heures de travail pour le registre, la politique de confidentialité et la revue des outils utilisés. Si vous faites appel à un prestataire informatique ou un DPO externalisé pour vous accompagner, comptez entre 500 et 2 000 € pour une mise en conformité initiale sérieuse. C'est sans commune mesure avec une amende CNIL potentielle.

La CNIL contrôle-t-elle vraiment les petites entreprises ?

Oui, de plus en plus. La CNIL instruit aussi bien les plaintes émanant de particuliers (un client qui demande la suppression de ses données et qu'on ignore) que des contrôles proactifs sectoriels. En 2023-2024, des TPE ont été sanctionnées pour des montants allant de 3 000 à 10 000 € — pas des sommes anodines pour une petite structure. Une plainte d'un seul client mécontent peut déclencher un contrôle.

Mon prestataire informatique peut-il m'aider avec le RGPD ?

Sur la partie technique, oui, et c'est même indispensable. La sécurisation des postes, la mise en place de sauvegardes chiffrées, la configuration des accès, le durcissement du réseau Wi-Fi professionnel : tout cela relève du prestataire informatique et constitue une part essentielle de votre conformité RGPD. Chez TECHNOTREMENT à Digne-les-Bains, nous intervenons précisément sur ces points pour les professionnels du 04. Pour la partie juridique (rédaction de la politique de confidentialité, contrats de sous-traitance), il vaut mieux consulter un DPO externalisé ou un avocat spécialisé.