Aller au contenu
← Retour au blog
Conformité

RGPD pour les TPE/PME : par où commencer

· 6 min de lecture · par GEITS

Le RGPD encadre la façon dont vous collectez et utilisez les données personnelles de vos clients, prospects et salariés. Inutile d'être une multinationale : toute entreprise qui détient un fichier clients est concernée. Bonne nouvelle, l'essentiel est accessible.

Pensez « cycle de vie de la donnée »

La conformité consiste à maîtriser chaque étape de la vie d'une donnée personnelle :

CollecteUtilisationConservationSuppression
Une donnée se collecte avec une finalité, s'utilise pour cette finalité, se conserve un temps limité, puis se supprime.

Une démarche en 5 actions

  1. Cartographiez vos données : quelles données, où, pourquoi, combien de temps ?
  2. Minimisez : ne collectez que le strict nécessaire.
  3. Informez : mentions claires sur vos formulaires, politique de confidentialité accessible.
  4. Sécurisez : sauvegarde, chiffrement, accès restreints (le RGPD impose une obligation de sécurité).
  5. Documentez : tenez un registre des traitements et gérez les demandes d'accès/suppression.

À retenir. Le droit d'accès, de rectification et de suppression doit pouvoir être exercé simplement par vos contacts. Prévoyez une adresse dédiée et un délai de réponse.

Astuce. La sécurité technique (sauvegarde, mises à jour, mots de passe) fait partie intégrante du RGPD. Améliorer votre sécurité, c'est avancer sur votre conformité.

Le registre des traitements : la pièce maîtresse

Le registre des traitements est le document de référence de votre conformité, et il est obligatoire pour la quasi-totalité des entreprises. Il recense, pour chaque traitement de données, sa finalité (à quoi sert la collecte), les catégories de personnes et de données concernées, les destinataires, la durée de conservation et les mesures de sécurité associées. Concrètement, un seul fichier peut suffire pour une TPE : la gestion de la paie, le fichier clients, la liste de prospects et la vidéosurveillance constituent par exemple quatre traitements distincts à inscrire.

Ce n'est pas un document figé : il se met à jour à chaque nouveau service, changement d'outil ou évolution d'une finalité. La CNIL met d'ailleurs à disposition un modèle de registre simplifié, au format tableur, pensé spécifiquement pour les petites structures. Le tenir sérieusement, c'est non seulement remplir une obligation, mais surtout disposer d'une vision claire de l'ensemble de vos données - ce qui rend tout le reste (réponses aux demandes, durées de conservation, sécurité) beaucoup plus simple.

  • 1 moisdélai pour répondre à une demande d'exercice de droit
  • 72 hpour notifier une violation de données à la CNIL
  • 20 M€ou 4 % du CA mondial : plafond des sanctions

Choisir la bonne base légale

Aucun traitement de données personnelles n'est licite sans une base légale clairement identifiée. Le RGPD en prévoit six ; pour une TPE/PME, quatre reviennent en permanence :

  • Le consentement : la personne accepte de façon libre, éclairée et univoque (typiquement, l'inscription à une newsletter). Il doit pouvoir être retiré aussi facilement qu'il a été donné.
  • Le contrat : le traitement est nécessaire à l'exécution d'un contrat ou de mesures précontractuelles (gérer une commande, livrer un produit).
  • L'obligation légale : la loi vous impose de conserver certaines données (bulletins de paie, factures comptables).
  • L'intérêt légitime : un intérêt réel et raisonnable de l'entreprise, mis en balance avec les droits des personnes (la prospection vers des clients existants, par exemple).

Le point clé : la base légale se choisit avant de collecter, et elle conditionne les droits des personnes. Le droit à l'effacement, par exemple, ne s'applique pas de la même manière à une donnée conservée au titre d'une obligation légale qu'à une donnée recueillie sur la base du consentement.

Droits des personnes et durées de conservation

Toute personne dont vous détenez les données dispose de droits que vous devez pouvoir honorer : accès (savoir quelles données vous détenez), rectification (corriger une erreur), effacement (le « droit à l'oubli »), opposition (refuser un traitement, notamment la prospection) et portabilité (récupérer ses données dans un format réutilisable). Vous disposez d'un mois pour répondre, délai prolongeable de deux mois pour les demandes complexes, à condition d'en informer la personne. Prévoir une adresse dédiée et une procédure interne simple évite de se retrouver pris de court.

Côté conservation, la règle est qu'aucune donnée ne se garde « pour toujours ». Chaque finalité a sa durée : un CV de candidat non retenu se conserve usuellement jusqu'à deux ans, les données de prospection commerciale environ trois ans après le dernier contact, les pièces comptables dix ans au titre du Code de commerce. Une fois la durée écoulée, la donnée doit être supprimée ou archivée/anonymisée. C'est précisément l'étape « Suppression » du cycle de vie présenté plus haut, trop souvent oubliée.

Violation de données. En cas de fuite, vol ou perte de données personnelles, vous disposez de 72 heures pour notifier la CNIL, et devez informer les personnes concernées lorsque le risque est élevé. D'où l'importance d'une journalisation et d'une procédure d'incident prêtes à l'emploi.

DPO, AIPD et cookies : les cas particuliers à connaître

Trois sujets reviennent souvent et méritent d'être clarifiés pour une petite structure :

  • Le DPO (délégué à la protection des données) n'est obligatoire que dans des cas précis : suivi à grande échelle et systématique des personnes, ou traitement à grande échelle de données sensibles. La majorité des TPE/PME n'y est pas tenue, mais désigner un référent RGPD en interne reste une bonne pratique.
  • L'AIPD (analyse d'impact relative à la protection des données) devient obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits des personnes : vidéosurveillance étendue, profilage, données de santé. La CNIL publie une liste des traitements qui y sont soumis et un logiciel libre et gratuit (PIA) pour la mener.
  • Les cookies et traceurs : ceux qui ne sont pas strictement nécessaires au fonctionnement du site (mesure d'audience publicitaire, réseaux sociaux) exigent un consentement préalable. Le bandeau doit permettre d'accepter ou de refuser aussi facilement, et conserver une trace du choix.

Sur chacun de ces points, la CNIL publie des guides pratiques gratuits dédiés aux TPE/PME, ainsi que des modèles directement réutilisables. Inutile de partir d'une feuille blanche : ces ressources couvrent l'essentiel des situations rencontrées par une petite entreprise.

Nous vous aidons à mettre en place les mesures techniques (sécurité, sauvegarde, accès) au cœur de la conformité RGPD.

Faisons le point sur vos traitements.

À lire aussi

L'expertise GEITS

On en parle pour votre entreprise ?

Sécurité, sauvegarde et bonnes pratiques : nous vous aidons à avancer concrètement sur votre conformité RGPD.