RGPD en TPE : par où commencer pour être en conformité.

Le Règlement Général sur la Protection des Données s’applique à toutes les entreprises qui traitent des données personnelles, quelle que soit leur taille. En tant que TPE, vous collectez probablement des données clients, des coordonnées de fournisseurs, des informations sur vos employés. Vous êtes donc concerné, même si vos volumes sont modestes.

La bonne nouvelle : la mise en conformité n’exige pas d’être juriste. Elle demande de la méthode, quelques heures de travail, et des réflexes simples à ancrer dans votre quotidien.

Voici par où commencer.

Pourquoi dresser un registre des traitements en premier ?

Le registre des traitements est le socle de votre conformité RGPD. Il vous oblige à lister, pour chaque usage de données personnelles : pourquoi vous les collectez, quelles données exactement, qui y a accès, combien de temps vous les conservez et sur quelle base légale vous agissez.

En pratique, votre registre peut être un simple tableur. Pour une TPE, les traitements courants ressemblent à ceci :

• Gestion de la relation client (nom, email, historique d’achats)
• Facturation et comptabilité (coordonnées, données de paiement)
• Gestion du personnel (contrats, paie, congés)
• Prospection commerciale (emails de démarchage, newsletter)
• Gestion du site web (formulaires, cookies, analytics)

Commencez par là : listez vos traitements, même imparfaitement. Un registre incomplet mais à jour vaut mieux qu’aucun registre.

Pour aller plus loin sur la protection des données dans votre activité, notre cas d’usage dédié à la conformité RGPD détaille les situations les plus fréquentes en TPE.

Sur quelle base légale reposent vos traitements ?

Chaque traitement de données doit reposer sur l’une des six bases légales du RGPD. En TPE, vous en utiliserez principalement trois :

Le contrat : vous traitez les données parce qu’elles sont nécessaires à l’exécution d’un contrat. Exemple : l’adresse de livraison d’un client.

L’obligation légale : vous devez traiter certaines données pour respecter la loi. Exemple : les données de paie conservées pour l’administration fiscale.

L’intérêt légitime : vous traitez des données pour un objectif justifié, à condition que cela ne porte pas atteinte aux droits des personnes. Exemple : envoyer une offre à un ancien client.

Le consentement : vous demandez une autorisation explicite, librement donnée, avant de traiter. Exemple : l’inscription à une newsletter.

Pour chaque traitement de votre registre, inscrivez la base légale retenue. C’est elle qui détermine vos obligations concrètes (formulaire de consentement, droit de retrait, etc.).

Quelles mentions légales et quel consentement mettre en place ?

Si vous avez un site web, deux obligations s’appliquent immédiatement.

Les mentions d’information doivent apparaître partout où vous collectez des données : formulaire de contact, inscription à une newsletter, commande en ligne. Ces mentions précisent qui vous êtes, pourquoi vous collectez les données, combien de temps vous les gardez et comment exercer ses droits.

Le consentement aux cookies s’obtient via un bandeau qui s’affiche dès la première visite. Il doit être aussi facile de refuser que d’accepter : un bouton “Tout refuser” visible dès le premier écran, sans défilement obligatoire.

Si vous envoyez des emails commerciaux à des particuliers, le consentement préalable est obligatoire. Pour les professionnels (BtoB), vous pouvez vous appuyer sur l’intérêt légitime à condition que les emails soient pertinents pour leur activité et que vous proposiez un lien de désinscription.

Comment sécuriser les données concrètement ?

La sécurité des données fait partie intégrante du RGPD. Pas besoin d’un système complexe en TPE : quelques mesures de base suffisent pour réduire fortement le risque.

Les mots de passe : chaque compte professionnel doit être protégé par un mot de passe fort et unique. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) et activez la double authentification sur la messagerie, le CRM, la comptabilité et tout outil contenant des données clients.

Les sauvegardes : appliquez la règle 3-2-1. Trois copies de vos données, sur deux supports différents, dont une hors site (cloud ou disque externe stocké ailleurs). Notre article sur la sauvegarde 3-2-1 vous guide pas à pas. Une sauvegarde non testée n’est pas une sauvegarde.

Les accès : limitez l’accès aux données personnelles aux seules personnes qui en ont besoin pour leur travail. Un stagiaire n’a pas à accéder à toute votre base clients. Révoquez les accès dès qu’un collaborateur quitte l’entreprise.

Les appareils : chiffrez les disques durs de vos ordinateurs portables et activez le verrouillage automatique de session. Un ordinateur volé ne doit pas exposer vos données.

Comment gérer vos sous-traitants ?

Tout prestataire qui traite des données personnelles pour votre compte est un sous-traitant au sens du RGPD : votre hébergeur, votre logiciel de facturation en SaaS, votre outil d’emailing, votre comptable s’il accède à vos données de paie.

Vous devez conclure avec chacun d’eux un accord de traitement des données (DPA, Data Processing Agreement). La plupart des grands éditeurs (Microsoft, Google, Mailchimp, etc.) proposent ce document en ligne dans leurs conditions d’utilisation. Pour les prestataires locaux, demandez-le explicitement.

Vérifiez aussi où vos données sont hébergées. Un hébergement en Union Européenne simplifie la conformité et réduit les risques de transferts hors UE.

Comment répondre aux droits des personnes ?

Vos clients, prospects et employés disposent de droits sur leurs données : accès, rectification, effacement, portabilité, opposition. Ils peuvent vous les exercer à tout moment, par email ou courrier.

Vous avez en général un mois pour répondre. Désignez en interne une personne responsable de ces demandes (souvent vous-même en TPE) et conservez une trace des demandes reçues et des réponses apportées.

Si une violation de données se produit (piratage, perte d’un ordinateur, envoi accidentel à un mauvais destinataire), vous avez 72 heures pour notifier la CNIL si la violation est susceptible d’engendrer un risque pour les personnes concernées. Notre page cybersécurité et conseil explique comment réagir en cas d’incident.

Quand faire appel à un expert ?

La grande majorité des TPE peuvent s’en sortir seules pour les fondamentaux : registre, mentions, mots de passe, sauvegardes, DPA fournisseurs. Ces étapes demandent du temps et de l’organisation, pas des compétences juridiques avancées.

Faites appel à un expert dans ces situations :

• Vous traitez des données sensibles (santé, opinions politiques, données biométriques)
• Vous subissez ou craignez une violation de données
• Vous recevez une mise en demeure de la CNIL
• Vous lancez un nouveau service impliquant un traitement de données à grande échelle
• Vous avez un doute sur une base légale ou un transfert hors UE

Un expert peut aussi réaliser un audit rapide pour pointer les priorités et vous faire gagner un temps précieux.

---

La conformité RGPD n’est pas un projet que l’on termine une fois pour toutes. C’est une pratique continue, que l’on intègre peu à peu dans ses habitudes. Commencez par le registre, sécurisez vos accès, informez vos contacts. Le reste peut venir progressivement.

Nos experts iokoo accompagnent les TPE sur ces sujets : audit de conformité, sécurisation des accès, réponse aux incidents. Créez un compte pour démarrer ou poser vos questions.