L'intelligence artificielle pour les TPE/PME : par où commencer
L'IA n'est pas réservée aux grands groupes. Cas d'usage concrets, points de vigilance et premiers pas pour une petite entreprise.
· 6 min de lecture · par GEITS
Le RGPD encadre la façon dont vous collectez et utilisez les données personnelles de vos clients, prospects et salariés. Inutile d'être une multinationale : toute entreprise qui détient un fichier clients est concernée. Bonne nouvelle, l'essentiel est accessible.
La conformité consiste à maîtriser chaque étape de la vie d'une donnée personnelle :
À retenir. Le droit d'accès, de rectification et de suppression doit pouvoir être exercé simplement par vos contacts. Prévoyez une adresse dédiée et un délai de réponse.
Astuce. La sécurité technique (sauvegarde, mises à jour, mots de passe) fait partie intégrante du RGPD. Améliorer votre sécurité, c'est avancer sur votre conformité.
Le registre des traitements est le document de référence de votre conformité, et il est obligatoire pour la quasi-totalité des entreprises. Il recense, pour chaque traitement de données, sa finalité (à quoi sert la collecte), les catégories de personnes et de données concernées, les destinataires, la durée de conservation et les mesures de sécurité associées. Concrètement, un seul fichier peut suffire pour une TPE : la gestion de la paie, le fichier clients, la liste de prospects et la vidéosurveillance constituent par exemple quatre traitements distincts à inscrire.
Ce n'est pas un document figé : il se met à jour à chaque nouveau service, changement d'outil ou évolution d'une finalité. La CNIL met d'ailleurs à disposition un modèle de registre simplifié, au format tableur, pensé spécifiquement pour les petites structures. Le tenir sérieusement, c'est non seulement remplir une obligation, mais surtout disposer d'une vision claire de l'ensemble de vos données - ce qui rend tout le reste (réponses aux demandes, durées de conservation, sécurité) beaucoup plus simple.
Aucun traitement de données personnelles n'est licite sans une base légale clairement identifiée. Le RGPD en prévoit six ; pour une TPE/PME, quatre reviennent en permanence :
Le point clé : la base légale se choisit avant de collecter, et elle conditionne les droits des personnes. Le droit à l'effacement, par exemple, ne s'applique pas de la même manière à une donnée conservée au titre d'une obligation légale qu'à une donnée recueillie sur la base du consentement.
Toute personne dont vous détenez les données dispose de droits que vous devez pouvoir honorer : accès (savoir quelles données vous détenez), rectification (corriger une erreur), effacement (le « droit à l'oubli »), opposition (refuser un traitement, notamment la prospection) et portabilité (récupérer ses données dans un format réutilisable). Vous disposez d'un mois pour répondre, délai prolongeable de deux mois pour les demandes complexes, à condition d'en informer la personne. Prévoir une adresse dédiée et une procédure interne simple évite de se retrouver pris de court.
Côté conservation, la règle est qu'aucune donnée ne se garde « pour toujours ». Chaque finalité a sa durée : un CV de candidat non retenu se conserve usuellement jusqu'à deux ans, les données de prospection commerciale environ trois ans après le dernier contact, les pièces comptables dix ans au titre du Code de commerce. Une fois la durée écoulée, la donnée doit être supprimée ou archivée/anonymisée. C'est précisément l'étape « Suppression » du cycle de vie présenté plus haut, trop souvent oubliée.
Violation de données. En cas de fuite, vol ou perte de données personnelles, vous disposez de 72 heures pour notifier la CNIL, et devez informer les personnes concernées lorsque le risque est élevé. D'où l'importance d'une journalisation et d'une procédure d'incident prêtes à l'emploi.
Trois sujets reviennent souvent et méritent d'être clarifiés pour une petite structure :
Sur chacun de ces points, la CNIL publie des guides pratiques gratuits dédiés aux TPE/PME, ainsi que des modèles directement réutilisables. Inutile de partir d'une feuille blanche : ces ressources couvrent l'essentiel des situations rencontrées par une petite entreprise.
Nous vous aidons à mettre en place les mesures techniques (sécurité, sauvegarde, accès) au cœur de la conformité RGPD.
L'IA n'est pas réservée aux grands groupes. Cas d'usage concrets, points de vigilance et premiers pas pour une petite entreprise.
Le ransomware reste la première menace pour les TPE/PME. Voici les 4 lignes de défense qui, combinées, réduisent drastiquement le risque.
Cloud, serveur local ou solution hybride ? Les critères concrets pour décider, selon vos besoins de coût, de contrôle et de sécurité.
Sécurité, sauvegarde et bonnes pratiques : nous vous aidons à avancer concrètement sur votre conformité RGPD.