Demander un diagnostic
Accueil/ Actualités/ RGPD dans une TPE : ce qu'il faut vraiment…

RGPD dans une TPE : ce qu'il faut vraiment faire

Publié le 8 octobre 2025

Le RGPD dans une TPE : dédramatiser sans se dérober

Dès qu'on prononce le mot « RGPD », on voit passer deux réactions opposées chez les dirigeants de TPE et de PME. Les uns paniquent, persuadés qu'il faudrait embaucher un juriste, remplir des dizaines de formulaires et vivre sous la menace permanente d'un contrôle. Les autres haussent les épaules : « le règlement sur les données, c'est pour les grands groupes, pas pour un artisan de Saint-Rémy-de-Provence ou un commerce de Châteaurenard ». Les deux ont tort, et c'est précisément ce déséquilibre que cet article veut corriger.

La vérité est plus rassurante et plus exigeante à la fois. Le règlement général sur la protection des données s'applique bien à votre entreprise, quelle que soit sa taille, dès lors que vous traitez des données personnelles : un fichier clients, une liste de salariés, des adresses e-mail de prospects, des images de vidéosurveillance. Mais l'immense majorité de ce qu'il demande à une petite structure tient en une poignée de réflexes de bon sens, pas en un chantier de plusieurs mois. Il ne s'agit pas de tout faire d'un coup, il s'agit de faire les bonnes choses, dans le bon ordre.

Avant d'entrer dans le détail, une précision importante et que nous ne répéterons qu'une fois : cet article a une vocation d'information et de pédagogie, il ne constitue pas un conseil juridique. Chaque situation est particulière, le droit évolue, et pour qualifier précisément vos obligations ou traiter un cas sensible, seul un avocat ou un juriste spécialisé pourra vous répondre. Notre rôle, chez ELS Conseil, est de vous aider à comprendre le sujet et à sécuriser la partie technique et organisationnelle. Pour tous les modèles officiels et les documents de référence, l'autorité compétente reste la Commission nationale de l'informatique et des libertés, dont le site cnil.fr fait foi.

Voyons maintenant, point par point, ce qui s'applique vraiment à une TPE, et comment s'y prendre concrètement.

Le registre des traitements : la colonne vertébrale de votre conformité

S'il ne fallait retenir qu'un seul document, ce serait celui-là. Le registre des activités de traitement est le point de départ de toute démarche de conformité, et c'est aussi le premier document qu'une autorité de contrôle demandera à voir. Bonne nouvelle : pour une petite entreprise, il n'a rien d'effrayant. C'est un inventaire, ni plus ni moins.

Le principe est le même que celui de l'inventaire des accès que nous décrivons dans notre article sur la reprise en main des accès au départ d'un salarié : on ne peut protéger et maîtriser que ce que l'on a d'abord recensé. Le registre liste, pour chaque usage que vous faites de données personnelles, quelques informations simples.

Concrètement, pour chaque « traitement » (comprenez : chaque grande finalité pour laquelle vous manipulez des données), vous notez :

  • La finalité : à quoi ça sert ? Gérer la paie, tenir le fichier clients, envoyer une newsletter, filmer l'entrée du magasin.
  • Les catégories de données concernées : nom, adresse, e-mail, numéro de téléphone, données bancaires, éléments de santé le cas échéant.
  • Les personnes concernées : clients, prospects, salariés, fournisseurs, visiteurs.
  • Qui a accès à ces données et à qui elles sont éventuellement transmises (comptable, éditeur de logiciel, prestataire).
  • La durée de conservation prévue pour chaque catégorie.
  • Les mesures de sécurité mises en place pour les protéger.

La plupart des TPE découvrent en le remplissant qu'elles mènent, sans y penser, une dizaine de traitements différents. La CNIL met à disposition sur cnil.fr un modèle de registre simplifié, pensé pour les petites structures, que nous vous recommandons d'utiliser comme base plutôt que de partir d'une feuille blanche. Ce registre n'est pas un document que l'on remplit une fois pour l'oublier : il vit, il se met à jour à chaque nouveau logiciel, chaque nouveau service, chaque évolution de votre activité.

Base légale et minimisation : collecter juste, collecter utile

Deux principes gouvernent la façon dont vous avez le droit de récupérer et de garder des données. Ils sont au cœur du règlement, et pourtant ce sont ceux que l'on oublie le plus souvent dans le feu de l'activité.

Chaque traitement doit reposer sur une base légale

Vous ne pouvez pas collecter des données « au cas où ». Il faut, pour chaque traitement, un fondement juridique clair. Sans entrer dans une leçon de droit, retenez les grandes familles que l'on croise dans une TPE : l'exécution d'un contrat (gérer une commande, facturer un client), le respect d'une obligation légale (conserver les pièces comptables, établir la paie), l'intérêt légitime de l'entreprise (prospecter des professionnels, sécuriser ses locaux) et le consentement de la personne (s'inscrire à une newsletter, déposer certains cookies).

Le tableau ci-dessous illustre, sur des cas très concrets, comment un même petit commerce peut s'appuyer sur des bases différentes selon l'usage.

Ce que vous faitesBase légale la plus couranteCe que cela implique
Facturer et livrer un clientExécution du contratPas besoin de consentement, mais données strictement nécessaires
Établir les bulletins de paieObligation légaleConservation encadrée par la loi, accès restreint
Envoyer une newsletter commercialeConsentementCase à cocher non pré-cochée, désinscription facile
Filmer l'entrée du magasinIntérêt légitimeInformation visible, durée de conservation courte, zones limitées

La minimisation : le moins possible, pas le plus possible

Le second principe est celui de la minimisation des données. Vous ne devez collecter que ce qui est réellement nécessaire à votre finalité, et rien de plus. Un formulaire de contact sur votre site n'a pas besoin de la date de naissance du visiteur. Une carte de fidélité n'exige pas de connaître la profession du client. À chaque champ que vous demandez, posez-vous une seule question : en ai-je vraiment besoin pour ce que je veux faire ? Si la réponse est non, on ne le demande pas. Moins vous détenez de données, moins vous avez à protéger, et moins vous êtes exposé le jour d'un incident. La minimisation est autant une règle de conformité qu'une règle de bon sens sécuritaire.

Durée de conservation : rien ne se garde éternellement

« On garde tout, on ne sait jamais. » Cette phrase, si répandue, est exactement contraire à l'esprit du règlement. Les données personnelles ne doivent pas être conservées indéfiniment : une fois la finalité atteinte, elles doivent être supprimées, ou à défaut archivées de façon restreinte lorsqu'une obligation légale l'impose.

Concrètement, la durée dépend du type de donnée et de la raison pour laquelle vous la détenez. Les pièces comptables et les éléments liés à la paie obéissent à des durées légales précises que vous retrouverez sur cnil.fr et auprès de votre expert-comptable. Les données de prospects qui ne donnent jamais suite n'ont pas à rester dans votre base des années. Les CV de candidats non retenus ne se conservent pas sans limite. L'important est de définir, dans votre registre, une durée pour chaque catégorie, puis de s'y tenir en faisant réellement le ménage.

Ce nettoyage régulier a un double bénéfice. Il vous met en conformité, bien sûr, mais il allège aussi vos systèmes et clarifie vos fichiers. Un fichier clients purgé des contacts morts depuis longtemps est plus efficace pour votre activité commerciale. Là encore, conformité et bonne gestion avancent main dans la main. Et parce que supprimer ne veut pas dire perdre, cette réflexion doit se mener en parallèle de votre politique de sauvegarde, sujet que nous détaillons dans notre article sur la règle de sauvegarde 3-2-1 : on garde ce qui doit l'être, en sécurité, et on efface le reste en connaissance de cause.

Informer les personnes et respecter leurs droits

Le règlement repose sur une idée simple : les personnes dont vous détenez les données ont le droit de savoir ce que vous en faites, et de reprendre la main dessus. Cela se traduit par deux obligations concrètes pour une TPE.

Informer, en toute transparence

Chaque fois que vous collectez des données, la personne doit être informée de qui vous êtes, de la finalité de la collecte, de la durée de conservation et de ses droits. C'est le rôle des mentions d'information sur un formulaire, une carte de fidélité, un contrat de travail ou une page « politique de confidentialité » sur votre site. Ces mentions doivent être claires et lisibles, pas noyées dans un charabia juridique. La CNIL propose des modèles de mentions sur cnil.fr, que vous pouvez adapter à votre situation.

Répondre aux demandes d'accès et d'effacement

Toute personne peut vous demander quelles données vous détenez sur elle (droit d'accès), les faire corriger si elles sont fausses (droit de rectification), ou en demander la suppression (droit à l'effacement, parfois appelé « droit à l'oubli»). Elle peut aussi s'opposer à recevoir votre prospection. Vous avez l'obligation de répondre à ces demandes dans un délai encadré, et gratuitement dans la plupart des cas.

Pour une petite entreprise, l'enjeu n'est pas d'anticiper des centaines de demandes, mais de savoir quoi faire le jour où l'une arrive. Désignez une personne référente, sachez où sont stockées les données pour pouvoir les retrouver, et gardez une trace écrite de la demande et de votre réponse. Un client qui vous écrit « supprimez-moi de votre fichier » exerce un droit : le traiter proprement est à la fois une obligation et une marque de sérieux qui renforce la confiance.

Sécuriser les données : là où la conformité rejoint la cybersécurité

Le règlement vous impose de protéger les données personnelles par des mesures de sécurité « appropriées ». Cette exigence, souvent perçue comme abstraite, se traduit en réalité par les mêmes réflexes que ceux de la cybersécurité au quotidien. Autrement dit, si vous protégez déjà correctement votre entreprise contre les cybermenaces, vous êtes largement sur la bonne voie côté RGPD.

Les mesures attendues d'une TPE relèvent du bon sens robuste : des mots de passe solides et une double authentification sur les comptes sensibles, un antivirus à jour, des accès limités aux seules personnes qui en ont besoin, des sauvegardes régulières et testées, un réseau correctement configuré et un chiffrement des supports mobiles. Nous détaillons ces fondamentaux à travers nos prestations de réseaux, serveurs et sécurité informatique, car la protection des données personnelles ne se décrète pas, elle s'installe dans l'infrastructure.

La sécurité concerne aussi le papier et l'organisation : un dossier du personnel ne traîne pas sur un bureau ouvert à tous, un ordinateur portable se verrouille en cas d'absence, et l'on réfléchit à deux fois avant d'envoyer un tableau plein de données personnelles en pièce jointe d'un e-mail. La conformité, ici, n'est pas une contrainte supplémentaire : c'est le prolongement naturel d'une informatique bien tenue.

Vos sous-traitants vous engagent : la question des clauses

Voici un point que beaucoup de dirigeants ignorent, et qui pourtant les concerne directement. Dès que vous confiez des données personnelles à un prestataire extérieur qui les traite pour votre compte, ce prestataire est ce que le règlement appelle un « sous-traitant », et vous restez responsable de ce qu'il en fait.

Qui sont ces sous-traitants dans une TPE ? Ils sont bien plus nombreux qu'on ne le croit : l'éditeur de votre logiciel de gestion ou de votre solution de caisse, votre hébergeur web, votre prestataire de messagerie dans le cloud, votre expert-comptable, l'outil d'envoi de vos newsletters, le service de paie externalisé. Tous manipulent, à un titre ou à un autre, des données dont vous êtes responsable.

Le règlement demande que la relation avec chacun de ces sous-traitants soit encadrée par un contrat comportant des clauses de protection des données, précisant notamment que le prestataire n'utilise vos données que pour la mission confiée, qu'il les sécurise et qu'il vous aide en cas d'incident. Dans la pratique, les prestataires sérieux proposent déjà ces clauses ou un « accord de traitement des données ». Votre travail consiste à vérifier que chacun de vos partenaires en propose, et à privilégier ceux qui hébergent et traitent les données de façon transparente. C'est un critère de choix à part entière au moment de sélectionner un logiciel de gestion : un bon éditeur vous accompagne sur la conformité, il ne vous laisse pas seul face au sujet.

Violation de données : les 72 heures qui comptent

Malgré toutes les précautions, un incident peut survenir : un ordinateur volé, un fichier client exposé, une boîte e-mail piratée, une attaque par rançongiciel qui expose vos données. Le règlement prévoit une obligation précise dans ce cas, et c'est l'une des rares où le temps est compté.

En cas de violation de données personnelles présentant un risque pour les personnes concernées, vous devez la notifier à la CNIL dans les 72 heures après en avoir pris connaissance. Si la violation présente un risque élevé pour les personnes, vous devez en outre les informer directement. La CNIL met à disposition sur cnil.fr un téléservice pour effectuer cette notification. Ce délai court est précisément la raison pour laquelle il faut savoir, à froid, qui fait quoi en cas d'incident : constater, documenter, évaluer le risque, notifier.

Cette obligation rejoint directement la gestion de crise cyber. Une attaque informatique n'est pas seulement un problème technique de restauration : c'est aussi, très souvent, une violation de données à qualifier et potentiellement à déclarer. Anticiper cette double dimension fait partie d'une bonne préparation, au même titre que le plan de reprise et les sauvegardes. Documenter l'incident, garder une trace horodatée des faits et des décisions prises est ici essentiel, à la fois pour la CNIL et pour votre propre défense.

Faut-il un DPO ? Le mythe du délégué obligatoire, et autres idées reçues

C'est probablement la plus tenace des légendes autour du RGPD : « il faut désigner un délégué à la protection des données ». Beaucoup de dirigeants de TPE le croient obligatoire pour tout le monde. C'est faux, et il est important de rétablir les faits.

La désignation d'un délégué à la protection des données, le fameux DPO, n'est obligatoire que dans des cas précis : pour les organismes publics, pour les organismes dont l'activité de base consiste en un suivi régulier et systématique des personnes à grande échelle, ou en un traitement à grande échelle de données dites sensibles. Pour l'écrasante majorité des TPE et PME, cette désignation n'est pas une obligation. Vous pouvez tout à fait désigner un référent en interne pour piloter le sujet, ce qui est même une excellente pratique, mais c'est un choix d'organisation, pas une contrainte réglementaire.

Puisque nous démontons les idées reçues, corrigeons-en une autre, très courante et pourtant lourde de conséquences : le numéro de déclaration à la CNIL n'existe plus. Avant l'entrée en application du règlement, les entreprises devaient déclarer leurs fichiers à la CNIL et recevaient un numéro. Ce système a été supprimé : on ne « déclare » plus, on tient son registre et l'on assume sa responsabilité. Or de nombreux sites affichent encore, en bas de leurs mentions légales, un « déclaration CNIL n° … ». C'est aujourd'hui une mention obsolète, qui trahit des mentions légales qui n'ont pas été mises à jour. Si votre site en affiche une, retirez-la : elle ne vous protège pas, elle signale au contraire un site resté à l'ancien régime.

Idée reçueLa réalité
« Le RGPD, c'est pour les grands groupes »Il s'applique dès qu'on traite des données personnelles, quelle que soit la taille
« Il faut un DPO obligatoirement »Obligatoire seulement dans des cas précis ; facultatif pour la plupart des TPE
« On doit déclarer ses fichiers à la CNIL »La déclaration et le numéro CNIL n'existent plus depuis l'application du règlement
« On garde les données au cas où »Chaque donnée a une durée de conservation limitée à définir
« Un bandeau cookies suffit »Le consentement doit être libre, éclairé et aussi facile à refuser qu'à accepter

Cookies et consentement : le cas particulier de votre site web

Si votre entreprise a un site internet, un volet spécifique vous concerne : celui des cookies et des traceurs. Dès que votre site dépose des cookies qui ne sont pas strictement nécessaires à son fonctionnement, par exemple des cookies de mesure d'audience non exemptés ou des traceurs publicitaires, vous devez recueillir le consentement du visiteur avant de les activer.

Le principe posé par la CNIL est clair : refuser les cookies doit être aussi simple que les accepter. Un bandeau qui propose un gros bouton « Tout accepter » sans offrir de façon aussi visible la possibilité de tout refuser n'est pas conforme. Le consentement doit être libre, spécifique, éclairé et donné par un acte positif : pas de cases pré-cochées, pas de consentement supposé au simple fait de continuer à naviguer. Tant que le visiteur n'a pas choisi, les traceurs non essentiels ne doivent pas se déclencher.

C'est un point qui, en plus d'être une obligation, participe de la confiance que votre site inspire. Un internaute qui se sent respecté dans ses choix est un internaute plus enclin à vous contacter. Profitez d'ailleurs de cette mise en conformité pour revoir globalement vos mentions légales et votre politique de confidentialité, y retirer l'éventuel numéro CNIL obsolète évoqué plus haut, et vérifier que les mentions d'information sont à jour. Là encore, cnil.fr propose des recommandations détaillées et des exemples pour paramétrer correctement votre bandeau et vos traceurs.

Avancer par étapes, sans se noyer

Le RGPD n'est pas une montagne réservée aux grandes entreprises, ni une formalité qu'on peut balayer d'un revers de main. C'est une démarche de bon sens qui, pour une TPE, tient en quelques chantiers accessibles : tenir un registre des traitements, s'assurer que chaque collecte repose sur une base légale et se limite au nécessaire, fixer des durées de conservation et s'y tenir, informer les personnes et savoir répondre à leurs demandes, sécuriser les données, encadrer ses sous-traitants, savoir réagir en 72 heures en cas de violation, et mettre son site web en règle sur les cookies. Rien d'insurmontable, à condition de procéder par étapes plutôt que de vouloir tout régler en une journée.

La bonne façon d'aborder ce sujet rejoint celle que nous recommandons pour toute évolution de votre informatique, y compris pour des chantiers plus modernes comme l'introduction de l'intelligence artificielle dans une PME : commencer petit, avancer méthodiquement, et s'appuyer sur les bons outils et les bons partenaires. La conformité n'est pas un état que l'on atteint une fois pour toutes, c'est une hygiène que l'on entretient.

Chez ELS Conseil, à Saint-Rémy-de-Provence, nous accompagnons les entreprises des Alpilles, d'Avignon, d'Arles, de Cavaillon et de Châteaurenard sur la partie technique et organisationnelle de cette mise en conformité : sécurité des données, sauvegardes, gestion des accès, choix de logiciels respectueux du règlement, paramétrage de votre site. Pour les questions purement juridiques, nous vous orientons vers les professionnels du droit et vers les ressources officielles de la CNIL. Si le sujet vous semble flou et que vous ne savez pas par quel bout le prendre, faisons le point ensemble : contactez-nous pour un premier diagnostic, ou appelez-nous au 04 13 41 85 81. Nous partirons de votre situation réelle, sans jargon, pour transformer une obligation intimidante en une démarche maîtrisée.

Une question sur votre informatique ?

Nos conseils s'appliquent à votre cas. Faisons le point ensemble, sans engagement.

Demander un diagnostic Tous les articles