Le RGPD vous fait peur ? Il ne devrait pas.
Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) s'applique à toutes les entreprises, quelle que soit leur taille. Et pourtant, la majorité des TPE et artisans n'ont rien changé à leurs pratiques — soit par peur, soit parce qu'ils ne savent pas par où commencer.
Résultat : en cas de contrôle ou de plainte d'un client, les sanctions peuvent être lourdes. Mais rassurez-vous : pour une petite structure, la conformité n'est pas si compliquée si on sait ce qu'on cherche.
Le RGPD en une phrase
Le RGPD impose aux entreprises de collecter et traiter les données personnelles de leurs clients et employés de façon transparente, sécurisée et limitée à ce qui est nécessaire.
Une "donnée personnelle", c'est n'importe quelle information qui permet d'identifier une personne : nom, adresse email, numéro de téléphone, adresse IP, numéro de client…
Êtes-vous vraiment concerné ?
Oui, si vous :
- Avez un site web avec un formulaire de contact
- Collectez des emails pour envoyer des newsletters ou des devis
- Stockez les coordonnées de vos clients dans un tableur ou un logiciel
- Employez des salariés (leur dossier RH contient des données personnelles)
- Utilisez des caméras de surveillance dans votre local
En résumé : si vous avez une activité commerciale en France, vous êtes concerné.
Ce que vous devez faire concrètement
1. Recensez les données que vous collectez
Faites la liste de toutes les données personnelles que vous avez :
- Données clients (nom, email, téléphone, adresse, historique d'achats)
- Données fournisseurs
- Données salariés
- Données de prospects (newsletter, formulaire web)
Vous pouvez tenir ce registre dans un simple fichier Excel. C'est ce qu'on appelle le registre des traitements.
2. Posez-vous la question : pourquoi collectez-vous ces données ?
Pour chaque type de données, vous devez avoir une raison valable, appelée "base légale" :
- Exécution d'un contrat : vous avez besoin de l'adresse du client pour livrer une commande → légal
- Consentement : vous envoyez une newsletter → le client doit avoir coché une case
- Obligation légale : vous conservez les factures pour le fisc → légal
- Intérêt légitime : vous relancez un prospect → accepté si proportionné
3. Informez vos clients
Vos clients ont le droit de savoir ce que vous faites de leurs données. Vous devez leur fournir une politique de confidentialité (ou "mentions RGPD"). Elle doit mentionner :
- Quelles données vous collectez
- Pourquoi vous les collectez
- Combien de temps vous les conservez
- Avec qui vous les partagez éventuellement
- Comment ils peuvent exercer leurs droits
Pour un site web : cette politique doit être accessible depuis toutes les pages (lien dans le footer).
4. Sécurisez les données
Pas besoin d'être un expert IT. Des mesures simples suffisent :
- Mot de passe fort sur votre messagerie et vos logiciels
- Ordinateur verrouillé quand vous n'êtes pas là
- Sauvegardes régulières
- Pas d'envoi de données sensibles par email non sécurisé
5. Respectez les durées de conservation
Vous ne pouvez pas garder des données indéfiniment. Quelques repères :
- Données clients : 3 ans après le dernier contact
- Factures : 10 ans (obligation fiscale)
- Données salariés : 5 ans après le départ du salarié
- Données de prospects (newsletter sans achat) : 3 ans maximum
6. Gérez les droits des personnes
Vos clients et employés ont des droits sur leurs données :
- Droit d'accès : ils peuvent demander à voir leurs données
- Droit de rectification : ils peuvent demander une correction
- Droit à l'effacement : ils peuvent demander la suppression (sauf si vous avez une obligation légale de conserver)
- Droit d'opposition : ils peuvent s'opposer à certains traitements
Vous devez répondre à ces demandes dans un délai d'un mois.
Les sous-traitants : attention !
Si vous utilisez des outils externes qui traitent des données pour votre compte (logiciel de facturation, newsletter, CRM…), vous devez signer un contrat de sous-traitance avec eux. La plupart des grands éditeurs (Mailchimp, Google, Stripe…) proposent ce document automatiquement. Lisez-le et conservez-le.
Le DPO : obligatoire pour vous ?
Un Délégué à la Protection des Données (DPO) n'est obligatoire que pour les grandes entreprises ou celles qui traitent des données sensibles à grande échelle. Pour une TPE ou un artisan, ce n'est pas obligatoire. Vous pouvez vous en charger vous-même.
Ce qu'il ne faut PAS faire
- Acheter des listes d'emails : illégal sans consentement explicite
- Garder des données indéfiniment "au cas où"
- Partager les données de vos clients avec des partenaires sans leur accord
- Ignorer une demande d'accès d'un client : vous risquez une plainte à la CNIL
En cas de violation de données (fuite, piratage)
Si vous découvrez que des données ont été compromises, vous devez notifier la CNIL dans les 72 heures si le risque est élevé. Et prévenir les personnes concernées si le risque est très élevé.
L'essentiel à retenir pour une TPE
| Obligation | Complexité | Priorité |
|---|---|---|
| Registre des traitements | Facile (tableur) | Haute |
| Politique de confidentialité | Moyenne | Haute |
| Consentement newsletter | Facile | Haute |
| Sécurité basique | Facile | Haute |
| Contrats sous-traitants | Moyenne | Moyenne |
| Réponse aux droits des personnes | Facile | Moyenne |
Mettez-vous en conformité facilement avec JuriFast
Rédiger une politique de confidentialité RGPD correcte, un registre des traitements ou un contrat de sous-traitance prend du temps. JuriFast vous fournit les modèles adaptés à votre activité et répond à vos questions en 48h.
Essayez JuriFast Essentiel à 29€ — un modèle de document RGPD + une réponse juridique à votre question. Ou accédez à tous nos modèles avec JuriFast Pro à 79€/mois.
Votre document personnalisé en quelques minutes
Un juriste JuriFast rédige ou vérifie votre document et répond à votre question sous 48h. Dès 29€, sans engagement.