Le RGPD vous fait peur ? C'est normal. Quand on est plombier à Valence, boulanger en Ardèche ou consultant IT à Valence, on ne pense pas d'abord à la conformité des données. Pourtant, dès que vous collectez un email, un numéro de téléphone ou une adresse, vous êtes soumis au RGPD. Point barre. Pas d'exception de taille, pas d'échappatoire « je suis trop petit ».
La bonne nouvelle ? Se mettre en conformité n'est pas compliqué ni ruineux pour une TPE/PME. Il faut juste connaître les 12 règles essentielles, identifier les pièges courants et utiliser les bons outils. C'est exactement ce que je fais avec mes clients artisans et petits entrepreneurs de Drôme et d'Ardèche depuis 2018. Dans ce guide, je vous partage ma checklist éprouvée sur le terrain.
Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. C'est une loi européenne qui s'applique à toutes les organisations, publiques et privées, sans exception de taille.
Vous pensez être trop petit pour être concerné ? Voici la réalité :
Selon la CNIL (Commission Nationale de l'Informatique et des Libertés), 70 % des TPE/PME ne sont pas en conformité. Les amendes ? Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel pour les violations graves.
Mais rassurez-vous : la plupart des TPE qui se mettent en règle évitent complètement les contrôles. Et ceux qui les reçoivent mais qui ont montré leur bonne volonté s'en tirent avec des avertissements ou des petites amendes.
Ce n'est pas forcément vous, mais quelqu'un dans l'équipe doit être le « point focal » RGPD. Cette personne sera responsable de la conformité, des demandes d'accès des clients et des incidents de sécurité. Dans une TPE, c'est souvent le gérant ou une personne de confiance.
Listez TOUS les endroits où vous collectez ou traitez des données : formulaire web, CRM, email, fichiers Excel, caméra, appels téléphoniques enregistrés, etc. Pour chaque traitement, notez : qui collecte, quoi exactement, comment, où, combien de temps. Un simple tableau Excel suffit pour une TPE.
C'est obligatoire sur votre site web. Elle doit expliquer quelles données vous collectez, pourquoi, comment vous les protégez et combien de temps vous les gardez. Vous pouvez partir d'un modèle (voir section outils) et l'adapter.
Fini les cases pré-cochées. Depuis le RGPD, le consentement doit être actif et explicite. Exemple : sur votre site web, pas de case pré-cochée pour l'inscription à la newsletter. L'utilisateur doit cocher lui-même. Pour un formulaire physique, notez à côté : « J'accepte que mes données soient utilisées pour... ».
Changez vos mots de passe par défaut. Utilisez des mots de passe forts (12+ caractères, majuscules, chiffres, symboles). Activez l'authentification à deux facteurs (2FA) sur vos outils sensibles : email professionnel, CRM, banque en ligne. Chiffrez vos disques externes et clés USB.
Ne donnez pas les identifiants de votre CRM à tout le monde. Créez des comptes avec les droits minima nécessaires. Si quelqu'un quitte l'entreprise, supprimez immédiatement ses accès.
Combien de temps gardez-vous les données des clients ? 3 ans ? 5 ans ? À partir de quand les supprimez-vous ? Documentez ces durées. Exemple : « Les adresses email des clients inactifs sont supprimées après 2 ans d'inactivité ».
Si vous utilisez Mailchimp, Stripe, Google Drive ou un prestataire quelconque, vous devez avoir un « Contrat de Traitement des Données Personnelles » (ou Data Processing Agreement) avec chacun. La plupart proposent des modèles tout prêts. Téléchargez-les et archivez-les.
Écrivez noir sur blanc : comment vous protégez les données, qui peut y accéder, comment vous les sauvegardez, que faites-vous en cas de fuite. C'est votre « registre des mesures ». Rien de complexe : une à deux pages de Word suffisent pour une TPE.
Un client a le droit de demander : « Avez-vous mes données ? Montrez-moi. » ou « Supprimez-moi ». Vous avez 30 jours pour répondre. Préparez un processus : qui traite la demande, comment l'authentifier, où l'archiver ? Une simple procédure écrite aide énormément.
Si vous découvrez une fuite ou un piratage affectant des données personnelles, vous devez informer la CNIL dans les 72 heures. Documentez l'incident : quand, comment, quelles données, quel impact. Si c'est grave, vous devez aussi informer les personnes concernées.
Le RGPD n'est pas un « on le fait une fois et c'est bon ». Les données évoluent, vous changez de prestataires, vous mettez à jour vos outils. Chaque année (idéalement en janvier), regardez votre cartographie et vos contrats. C'est rapide et cela vous épargne des mauvaises surprises.
Faux. J'ai dû aider un artisan à Valence qui avait collecté 500 emails sans consentement explicite. Il a dû relancer chaque personne, supprimer les non-répondants, et réécrire sa politique. Cela lui a pris une journée entière. Une grosse boîte ? Elle aurait eu une amende. Lui, il s'en est tiré, mais c'était limite.
Le RGPD s'applique à vous. Point. N'attendez pas une mise en demeure.
Vous conservez les emails de clients abandonnés depuis 5 ans ? Vous gardez les notes de candidats refusés après 2 ans ? Vous n'avez aucune raison légitime de les avoir. Le RGPD exige la « minimisation des données » : gardez seulement ce dont vous avez besoin, pas plus.
Dans la Drôme et l'Ardèche, j'ai vu des petits commerces avec des fichiers clients obsolètes depuis 2010. Premiers candidats à une amende en cas de contrôle. Nettoyez vos données régulièrement.
Vous avez une belle politique de confidentialité mais vos mots de passe sont « 123456 » ? Vous sauvegardez les données des clients sur une clé USB rangée au bureau ? Un hacker n'attend que ça. La sécurité n'est pas du RGPD « bonus » : c'est obligatoire. Pas de conformité sans sécurité basique.
Prix : Gratuit (version de base) ou 18 €/an (premium)
Utilité : Iubenda vous guide pour générer une politique de confidentialité RGPD-compliant en quelques minutes. Vous répondez à des questions, et l'outil crée un document lisible et légal que vous ajoutez sur votre site.
Prix : Gratuit pour TPE (version light)
Utilité : Ajoute une banneau « Cookies et consentements » sur votre site web. Collecte le consentement explicite, enregistre qui a accepté quoi et quand. Essentiel si vous avez un site web.
Prix : Gratuit
Utilité : Le site Cybermalveillance.gouv.fr propose des auto-diagnostics gratuits et des listes de bonnes pratiques. L'ANSSI publie aussi des guides de sécurité et de conformité très fiables. À consulter régulièrement.
Prix : Gratuit
Utilité : Utilisez un simple Google Sheet ou un document Notion pour lister vos traitements : nom, données collectées, durée de conservation, responsable, mesures de sécurité. N'ayez pas peur : une TPE a rarement plus de 5-10 traitements différents.
Prix : À partir de 10 €/mois
Utilité : Remplacez Dropbox et Google Drive pour vos fichiers sensibles. Tresorit et Sync.com offrent un chiffrement de bout en bout, qui verrouille vraiment vos données. Moins pratique que Google, mais conforme au RGPD. Idéal pour un petit cabinet ou atelier.
Depuis 2018, j'ai accompagné une cinquantaine de TPE/PME en Drôme et Ardèche pour la mise en conformité RGPD. Voici ce que j'observe :
Cas 1 : Le plombier de Valence
Il avait un listing Excel avec 800 numéros de téléphone de clients. Aucun de ces clients n'avait consenti à être démarché par SMS pour « offres spéciales ». J'ai dû l'aider à envoyer un courrier physique explicatif et à créer un formulaire de consentement. Résultat : il a gardé 200 contacts acceptants et a appris à ne plus jamais acheter des listes sans consentement.
Cas 2 : L'agence web d'Ardèche
Elle stockait les données de ses clients web dans un Google Drive sans authentification à deux facteurs. Un hacker a accédé au compte avec un mot de passe trouvé sur Internet. Heureusement, il n'y avait pas eu de dégâts graves, mais j'ai du aider à activer la 2FA, changer tous les mots de passe et écrire un rapport d'incident. Pas d'amende, mais beaucoup de stress.
Cas 3 : L'indépendant IT de Valence (ironiquement !) 😅
Oui, cela m'est arrivé aussi. J'avais une liste d'anciens clients depuis 3 ans que j'envoyais une newsletter. Certains n'avaient jamais cliqué dessus. Je me suis forcé à nettoyer ma liste, à demander un consentement explicite et à supprimer les inactifs. Plus rigolo, plus conforme.
Le point commun de ces trois cas ? Aucun n'a reçu d'amende. Pourquoi ? Parce qu'ils ont agi dès qu'ils ont été informés, ils ont documenté leurs efforts et ils ont corrigé les problèmes. La CNIL préfère les avertissements aux TPE qui collaborent.
Le RGPD (Règlement Général sur la Protection des Données) est une loi européenne entrée en vigueur le 25 mai 2018. Elle encadre la collecte, le traitement et la conservation des données personnelles pour toutes les entreprises, sans exception de taille. L'objectif : donner aux citoyens le contrôle sur leurs données et imposer aux entreprises une responsabilité.
Oui, absolument. Le RGPD s'applique à TOUTES les entreprises, indépendamment de leur taille, dès qu'elles traitent des données personnelles. Une micro-entreprise solo avec un seul client est soumise au RGPD. Pas d'exception « je suis trop petit ».
La CNIL peut infliger des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations graves (exemple : pas de consentement, fuite de données). Pour les infractions mineures, le montant peut atteindre 10 millions d'euros ou 2 % du CA. En pratique, pour une TPE, les amendes sont rarement au-dessus de quelques milliers d'euros si vous régularisez rapidement.
Non, pas obligatoirement. Un DPO (Data Protection Officer) est obligatoire pour les organismes publics et les entreprises dont l'activité implique un suivi systématique des personnes (exemple : vidéosurveillance de masse). Pour une TPE/PME classique, un responsable RGPD nommé en interne suffit généralement. Vous n'avez pas besoin d'embaucher quelqu'un à temps plein.
J'accompagne les TPE/PME de Drôme et d'Ardèche pour la mise en conformité RGPD, de l'audit initial à la documentation complète.
Me contacter pour un diagnostic