RGPD pour les TPE/PME : guide pratique de conformité
Les obligations RGPD simplifiées pour les petites entreprises : registre des traitements, droits des personnes, et sanctions à connaître.
Le RGPD s’applique à toutes les entreprises, quelle que soit leur taille. Contrairement aux idées reçues, les TPE/PME ne sont pas exemptées. Mais les obligations peuvent être adaptées à la réalité d’une petite structure. Voici comment être conforme sans y passer des semaines.
Le RGPD en bref
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données est un règlement européen entré en application le 25 mai 2018. Il harmonise les règles de protection des données personnelles dans toute l’UE.
Qui est concerné ?
Toutes les entreprises qui :
- Sont établies dans l’UE, ou
- Traitent des données de résidents européens
Une “donnée personnelle” = toute information permettant d’identifier une personne :
- Nom, prénom
- Email, téléphone
- Adresse IP
- Numéro de client
- Photo, voix
Source : CNIL - RGPD : de quoi parle-t-on ?
Les 6 principes fondamentaux
| Principe | Signification |
|---|---|
| Licéité | Base légale pour chaque traitement |
| Finalité | Objectif déterminé et légitime |
| Minimisation | Ne collecter que le nécessaire |
| Exactitude | Données à jour et correctes |
| Limitation | Durée de conservation définie |
| Sécurité | Protection contre les accès non autorisés |
Source : Article 5 du RGPD - Légifrance
Les obligations concrètes pour une TPE/PME
1. Identifier vos traitements de données
Listez tous les cas où vous collectez/utilisez des données personnelles :
| Traitement | Données concernées | Base légale |
|---|---|---|
| Fichier clients | Nom, email, adresse, téléphone | Contrat |
| Facturation | Nom, adresse, SIRET | Obligation légale |
| Newsletter | Consentement | |
| Vidéosurveillance | Image | Intérêt légitime |
| Candidatures | CV, lettre motivation | Consentement |
| Paie (employés) | Coordonnées, RIB, n° sécu | Obligation légale |
2. Tenir un registre des traitements
Obligatoire pour :
- Entreprises de plus de 250 salariés
- OU traitements réguliers de données
- OU traitements de données sensibles
En pratique : La CNIL considère que la plupart des entreprises sont concernées dès qu’elles ont un fichier clients ou gèrent des salariés.
Contenu du registre (pour chaque traitement) :
- Finalité (pourquoi ?)
- Catégories de données
- Destinataires
- Durée de conservation
- Mesures de sécurité
La CNIL fournit un modèle gratuit adapté aux TPE/PME.
Source : CNIL - Modèle de registre
3. Informer les personnes
Chaque fois que vous collectez des données, vous devez informer la personne :
Informations obligatoires :
- Identité du responsable de traitement
- Finalité du traitement
- Base légale
- Destinataires des données
- Durée de conservation
- Droits de la personne (accès, rectification, suppression…)
- Droit de réclamation auprès de la CNIL
Où afficher ces informations ?
- Mentions légales du site web
- Formulaires de contact/inscription
- Contrats clients
- Contrats de travail
Source : CNIL - Informer les personnes
4. Recueillir le consentement (quand nécessaire)
Le consentement est requis pour :
- Newsletter et emails marketing
- Cookies non essentiels
- Transmission à des partenaires commerciaux
- Traitement de données sensibles
Un consentement valide est :
- Libre : pas de case pré-cochée, pas de contrainte
- Spécifique : un consentement par finalité
- Éclairé : information claire sur l’utilisation
- Univoque : action positive (cocher une case, cliquer)
Conservation de la preuve : Vous devez pouvoir prouver que la personne a consenti (date, heure, contexte).
Source : CNIL - Le consentement
5. Respecter les droits des personnes
Les personnes ont des droits sur leurs données. Vous devez être en mesure d’y répondre sous 1 mois.
| Droit | Description |
|---|---|
| Accès | Copie de toutes les données détenues |
| Rectification | Correction des données inexactes |
| Effacement | Suppression des données (“droit à l’oubli”) |
| Limitation | Gel temporaire du traitement |
| Portabilité | Export dans un format réutilisable |
| Opposition | Refus du traitement (prospection) |
Comment traiter une demande :
- Vérifier l’identité du demandeur
- Identifier les données concernées
- Répondre dans le délai d’1 mois
- Documenter la demande et la réponse
Source : CNIL - Les droits des personnes
6. Sécuriser les données
Vous devez mettre en œuvre des mesures de sécurité appropriées :
Mesures techniques :
- Mots de passe robustes
- Chiffrement des données sensibles
- Sauvegardes régulières
- Mises à jour de sécurité
- Antivirus à jour
Mesures organisationnelles :
- Accès limité aux personnes habilitées
- Sensibilisation des employés
- Procédure en cas de violation
- Clause de confidentialité avec les sous-traitants
Source : CNIL - Guide de la sécurité des données
7. Encadrer les sous-traitants
Si vous faites appel à des prestataires qui traitent des données pour vous (hébergeur, comptable, éditeur logiciel…), vous devez :
- Vérifier leurs garanties de conformité RGPD
- Signer un contrat avec clauses RGPD
- Contrôler régulièrement leurs pratiques
Clauses obligatoires :
- Objet et durée du traitement
- Obligations de confidentialité
- Mesures de sécurité
- Conditions de sous-traitance ultérieure
- Assistance en cas d’exercice des droits
- Sort des données en fin de contrat
Source : CNIL - Sous-traitance
Durées de conservation
Principe : Ne pas conserver les données plus longtemps que nécessaire.
| Type de données | Durée de conservation |
|---|---|
| Prospects n’ayant pas répondu | 3 ans après dernier contact |
| Clients (données de gestion) | Durée de la relation + 3 ans |
| Factures | 10 ans (obligation légale) |
| Contrats | 5 ans après fin du contrat |
| Candidatures non retenues | 2 ans maximum |
| Données de paie | 5 ans |
| Vidéosurveillance | 1 mois maximum |
Ensuite : Suppression ou anonymisation.
Source : CNIL - Durées de conservation
Le DPO : obligatoire ou pas ?
Quand un DPO est obligatoire
- Autorités publiques
- Traitement à grande échelle de données sensibles
- Suivi régulier et systématique de personnes à grande échelle
Pour la plupart des TPE/PME : Le DPO n’est pas obligatoire.
Alternative : le référent RGPD
Même sans obligation, il est recommandé de désigner une personne référente en interne, chargée de :
- Tenir le registre à jour
- Répondre aux demandes d’exercice des droits
- Être le point de contact avec la CNIL
Source : CNIL - Désigner un DPO
Violations de données
Qu’est-ce qu’une violation ?
Tout incident de sécurité entraînant :
- Destruction de données
- Perte d’accès
- Accès non autorisé
- Divulgation non autorisée
Exemples : Vol d’ordinateur, ransomware, erreur d’envoi d’email, piratage de compte.
Obligations en cas de violation
1. Documenter l’incident (nature, données concernées, conséquences)
2. Notifier la CNIL dans les 72 heures si risque pour les droits des personnes
3. Informer les personnes concernées si risque élevé
Source : CNIL - Violations de données
Sanctions
Les pouvoirs de la CNIL
| Action | Description |
|---|---|
| Avertissement | Sans sanction financière |
| Mise en demeure | Injonction de se mettre en conformité |
| Limitation temporaire | Interdiction de traiter certaines données |
| Amende administrative | Jusqu’à 20 M€ ou 4% du CA mondial |
Sanctions récentes (exemples)
| Entreprise | Montant | Motif |
|---|---|---|
| 150 M€ | Cookies sans consentement valide | |
| Carrefour | 3,05 M€ | Données conservées trop longtemps |
| Doctissimo | 380 K€ | Cookies déposés sans consentement |
| Médecin libéral | 5 000 € | Défaut de sécurisation des données patients |
Important : Les PME ne sont pas épargnées. La CNIL adapte les sanctions à la taille de l’entreprise, mais sanctionne.
Source : CNIL - Sanctions
Checklist de conformité TPE/PME
Priorité 1 : L’essentiel
- Lister tous vos traitements de données
- Créer votre registre des traitements
- Mettre à jour vos mentions légales
- Vérifier le consentement newsletter
- Définir les durées de conservation
Priorité 2 : Sécurité
- Mots de passe robustes pour tous
- Sauvegardes régulières et testées
- Accès limités au strict nécessaire
- Clause RGPD avec vos prestataires
Priorité 3 : Organisation
- Désigner un référent RGPD interne
- Procédure de réponse aux demandes
- Procédure en cas de violation
- Sensibilisation des employés
Comment Aquila facilite votre conformité
Aquila intègre les principes du RGPD dès sa conception :
Minimisation des données
- Ne collecte que les données nécessaires
- Pas de tracking ni télémétrie
Stockage local
- Vos données restent sur votre machine
- Pas de transfert hors UE
- Vous êtes le seul à y avoir accès
Sécurité native
- Chiffrement AES-256 de la base de données
- Champs sensibles chiffrés individuellement
- Authentification renforcée
Exercice des droits
- Export complet des données (portabilité)
- Suppression définitive possible
- Traçabilité des accès
Documentation
- Journal d’audit pour le registre
- Historique des traitements
Sources officielles
Articles connexes
Simplifiez votre gestion de factures
Aquila automatise la saisie, le classement et le rapprochement de vos factures fournisseurs.
Découvrir Aquila