Le Règlement Général sur la Protection des Données (RGPD) s’applique à toutes les entreprises, y compris les TPE et PME. Ce guide vous aide à comprendre vos obligations et à vous mettre en conformité.

Qu’est-ce que le RGPD ?

Définition

Le RGPD est un règlement européen entré en vigueur le 25 mai 2018. Il encadre le traitement des données personnelles des résidents de l’Union européenne.

Qui est concerné ?

Toute entreprise qui :

Est établie dans l’UE, ou
Traite des données de résidents européens

Quel que soit :

Sa taille (TPE, PME, grande entreprise)
Son secteur d’activité
Le volume de données traitées

Qu’est-ce qu’une donnée personnelle ?

Toute information permettant d’identifier directement ou indirectement une personne physique :

Exemples :

Nom, prénom
Adresse email, postale
Numéro de téléphone
Adresse IP
Données bancaires
Photo
Numéro de sécurité sociale

Qu’est-ce qu’un traitement ?

Toute opération sur des données personnelles :

Collecte
Enregistrement
Stockage
Modification
Consultation
Transmission
Effacement

Les principes fondamentaux

1. Licéité, loyauté, transparence

Traitement fondé sur une base légale
Information claire des personnes
Pas de traitement caché

2. Limitation des finalités

Collecte pour des objectifs précis et légitimes
Pas d’utilisation incompatible avec ces objectifs

3. Minimisation des données

Ne collecter que les données nécessaires
Pas de données “au cas où”

4. Exactitude

Données à jour
Possibilité de rectification

5. Limitation de la conservation

Durée de conservation définie
Suppression quand plus nécessaire

6. Intégrité et confidentialité

Sécurité appropriée
Protection contre l’accès non autorisé

7. Responsabilité (accountability)

Capacité à démontrer la conformité
Documentation des traitements

Les bases légales du traitement

Pour traiter des données, vous devez vous appuyer sur l’une de ces 6 bases :

1. Consentement

La personne a donné son accord explicite.

Exemples :

Inscription à une newsletter
Cookies non essentiels

Conditions :

Libre (pas de conséquence négative si refus)
Spécifique (pour chaque finalité)
Éclairé (information préalable)
Univoque (action positive)

2. Contrat

Le traitement est nécessaire à l’exécution d’un contrat.

Exemples :

Coordonnées client pour livrer une commande
Données salarié pour établir le bulletin de paie

3. Obligation légale

Le traitement est imposé par la loi.

Exemples :

Conservation des factures (10 ans)
Déclarations sociales

4. Intérêts vitaux

Protection de la vie de la personne.

Exemples :

Urgence médicale
Rarement applicable en entreprise

5. Mission d’intérêt public

Pour les organismes publics principalement.

6. Intérêt légitime

Le traitement sert vos intérêts, sans porter atteinte excessive aux droits des personnes.

Exemples :

Prospection B2B
Sécurité informatique
Prévention de la fraude

Condition : Balance des intérêts favorable.

Vos obligations en tant que TPE/PME

1. Tenir un registre des traitements

Obligatoire si :

Plus de 250 salariés, ou
Traitements non occasionnels, ou
Traitements à risque, ou
Traitements de données sensibles

En pratique : Quasi toutes les entreprises sont concernées (traitements RH, clients, fournisseurs = non occasionnels).

Contenu du registre :

Nom du responsable de traitement
Finalités de chaque traitement
Catégories de données
Catégories de destinataires
Transferts hors UE (le cas échéant)
Durées de conservation
Mesures de sécurité

2. Informer les personnes

Quand : Au moment de la collecte des données.

Informations à fournir :

Identité du responsable
Finalités du traitement
Base légale
Destinataires
Durée de conservation
Droits de la personne
Droit de réclamation (CNIL)

Comment :

Mentions légales du site web
Contrats (clauses RGPD)
Affiches (vidéosurveillance)

3. Respecter les droits des personnes

Droit	Description
Accès	Obtenir copie de ses données
Rectification	Corriger des données inexactes
Effacement	Demander la suppression
Limitation	Geler le traitement
Portabilité	Récupérer ses données
Opposition	Refuser un traitement

Délai de réponse : 1 mois (prolongeable à 3 mois si complexe).

4. Sécuriser les données

Mesures techniques :

Mots de passe robustes
Chiffrement
Sauvegardes
Mises à jour de sécurité
Antivirus

Mesures organisationnelles :

Accès limité au nécessaire
Formation des collaborateurs
Procédures de sécurité

5. Gérer les violations de données

Violation : Accès non autorisé, perte, destruction de données personnelles.

Obligations :

Notification CNIL sous 72h (si risque pour les personnes)
Notification aux personnes concernées (si risque élevé)
Documentation de l’incident

6. Encadrer les sous-traitants

Si un prestataire traite des données pour vous :

Contrat écrit avec clauses RGPD
Vérification de ses garanties
Instructions documentées

Le registre des traitements : mode d’emploi

Structure recommandée

Pour chaque traitement, documentez :

TRAITEMENT : Gestion des clients
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Responsable : [Votre entreprise]
Finalité : Gestion de la relation client, facturation, SAV
Base légale : Exécution du contrat
Données : Nom, prénom, adresse, email, téléphone, historique achats
Personnes concernées : Clients
Destinataires : Service commercial, comptabilité, [prestataire X]
Durée : 5 ans après fin de la relation
Sécurité : Accès restreint, sauvegarde quotidienne, chiffrement

Traitements types d’une TPE/PME

Traitement	Base légale	Durée type
Gestion clients	Contrat	5 ans après fin relation
Gestion fournisseurs	Contrat	5 ans après fin relation
Comptabilité	Obligation légale	10 ans
Gestion RH	Contrat + obligations	Variable selon donnée
Prospection	Intérêt légitime / Consentement	3 ans sans contact
Vidéosurveillance	Intérêt légitime	1 mois
Site web (analytics)	Consentement	13 mois (cookies)

Modèle CNIL

La CNIL propose un modèle de registre téléchargeable sur cnil.fr.

Cas pratiques pour TPE/PME

Cas 1 : Fichier clients

Ce que vous pouvez faire :

Collecter les données nécessaires (contact, livraison, facturation)
Conserver l’historique des achats
Envoyer des informations sur les commandes

Ce que vous devez faire :

Informer les clients (CGV, politique de confidentialité)
Sécuriser les données
Supprimer après la durée de conservation

Ce que vous ne pouvez pas faire (sans consentement) :

Envoyer des newsletters non sollicitées (B2C)
Revendre les données

Cas 2 : Fichier prospects

Base légale B2B : Intérêt légitime (prospection entre professionnels).

Base légale B2C : Consentement préalable (opt-in).

Durée : 3 ans sans contact actif.

Droits : Opposition simple à tout moment.

Cas 3 : Gestion des salariés

Base légale : Contrat de travail + obligations légales.

Données autorisées :

État civil, coordonnées
Vie professionnelle (poste, évaluations)
Données nécessaires à la paie

Données interdites (sauf exception) :

Opinions politiques
Religion
Orientation sexuelle
Données de santé (sauf médecine du travail)

Durée : 5 ans après départ (documents de paie : jusqu’à retraite).

Cas 4 : Vidéosurveillance

Conditions :

Information préalable (affichage)
Finalité légitime (sécurité)
Pas de surveillance des salariés au travail
Conservation : 1 mois maximum

Déclaration : Préfecture si lieux ouverts au public.

Sanctions et contrôles

Les contrôles CNIL

Types :

Sur place (dans vos locaux)
En ligne (vérification du site web)
Sur pièces (documents demandés)

Déclencheurs :

Plainte d’une personne
Actualité (secteur ciblé)
Aléatoire

Les sanctions

Niveau	Montant	Pour
Avertissement	0€	Manquements mineurs
Mise en demeure	0€	Délai pour se conformer
Amende	Jusqu’à 20M€ ou 4% CA	Manquements graves
Injonction	-	Cesser le traitement

En pratique pour les TPE/PME : Les amendes record concernent les grandes entreprises. Mais les mises en demeure touchent aussi les petites structures.

Se mettre en conformité : plan d’action

Étape 1 : Cartographier (1-2 semaines)

Listez tous vos traitements de données
Identifiez les données collectées
Notez les durées actuelles de conservation

Étape 2 : Prioriser les risques (1 semaine)

Données sensibles ?
Volumes importants ?
Sous-traitants non encadrés ?

Étape 3 : Documenter (2-4 semaines)

Créez votre registre des traitements
Rédigez votre politique de confidentialité
Mettez à jour vos CGV/contrats

Étape 4 : Sécuriser (en continu)

Renforcez les mots de passe
Limitez les accès
Chiffrez les données sensibles
Formez vos collaborateurs

Étape 5 : Organiser les droits (1 semaine)

Procédure pour répondre aux demandes
Point de contact identifié

Aquila et le RGPD

Données traitées par Aquila

Aquila traite vos factures fournisseurs. Ces factures peuvent contenir des données personnelles (nom du fournisseur individuel, coordonnées).

Conformité d’Aquila

Stockage local :

Vos données restent sur votre ordinateur
Pas de transfert vers nos serveurs
Vous gardez le contrôle total

Sécurité :

Chiffrement des données
Accès protégé par mot de passe

Vos obligations :

Intégrer Aquila dans votre registre
Sécuriser l’ordinateur où Aquila est installé
Respecter les durées de conservation

Registre : exemple de fiche pour Aquila

TRAITEMENT : Gestion des factures fournisseurs (Aquila)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Responsable : [Votre entreprise]
Finalité : Enregistrement et archivage des factures d'achat
Base légale : Obligation légale (conservation 10 ans)
Données : Nom fournisseur, coordonnées, montants, dates
Personnes concernées : Fournisseurs (personnes physiques)
Destinataires : Service comptabilité, expert-comptable
Durée : 10 ans
Sécurité : Stockage local chiffré, mot de passe, sauvegarde

Ressources officielles

CNIL

cnil.fr : Guides, modèles, actualités
Registre simplifié : Modèle téléchargeable
Service des plaintes : Pour les particuliers

Textes de référence

RGPD : Règlement (UE) 2016/679
Loi Informatique et Libertés : Version consolidée
Lignes directrices : CEPD (Comité européen)

Protégez les données, protégez votre entreprise

Découvrir Aquila →

Demander une démonstration →