Quelles obligations impose le RGPD aux petites entreprises ?
Une TPE de cinq salariés qui collecte des adresses email pour sa newsletter, gère un fichier clients dans un tableur et utilise un logiciel de facturation hébergé en ligne traite des données personnelles au sens du RGPD. Si elle n'a pas de registre des traitements, n'informe pas ses clients de l'usage de leurs données et n'a pas sécurisé l'accès à ses fichiers, elle est en infraction, exactement comme un grand groupe. La CNIL reçoit chaque année des milliers de signalements émanant de particuliers qui se plaignent de petites structures. Ce guide expose les obligations RGPD applicables aux petites entreprises avec un niveau de détail opérationnel, sans se perdre dans la technicité des textes.
Le RGPD s'applique à toute entreprise qui traite des données personnelles
Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, ne contient pas de seuil d'effectif ou de chiffre d'affaires en dessous duquel une entreprise serait exemptée. Dès lors qu'une structure traite des données personnelles (nom, email, numéro de téléphone, adresse IP, données de localisation, données de santé...) de résidents européens, elle est soumise au règlement. Une auto-entreprise, un artisan qui gère ses contacts dans un carnet téléphonique numérique, un médecin libéral, un e-commerçant avec dix commandes par mois : tous sont concernés.
Il existe néanmoins quelques allégements pour les petites structures. Les entreprises de moins de 250 salariés sont dispensées de tenir un registre des traitements pour les activités non régulières, non sensibles et sans risque pour les droits des personnes concernées. En pratique, cette exception est très étroite : dès qu'une petite entreprise gère un fichier client, des données de salariés ou envoie des communications marketing, elle doit tenir un registre. L'exemption ne concerne vraiment que les micro-traitements ponctuels et non répétitifs.
La première obligation : tenir un registre des traitements
Le registre des traitements est le document central de la conformité RGPD. Il recense toutes les activités de traitement de données personnelles réalisées par l'entreprise, sous une forme structurée que l'autorité de contrôle (la CNIL en France) peut consulter à tout moment. Ce n'est pas un document technique : c'est un inventaire clair et honnête de ce que l'entreprise fait avec les données qu'elle collecte.
Pour chaque traitement identifié (gestion des clients, gestion des salariés, newsletter, vidéosurveillance, statistiques de site web...), le registre doit mentionner : la finalité du traitement (pourquoi ces données sont-elles collectées ?), les catégories de données concernées (noms, emails, données bancaires, données de santé...), les catégories de personnes concernées (clients, prospects, salariés...), les destinataires des données (sous-traitants, prestataires, filiales...), la durée de conservation prévue et les mesures de sécurité en place.
Un registre simple peut tenir sur un tableur. La CNIL propose d'ailleurs un modèle téléchargeable sur son site qui convient parfaitement aux petites structures. L'essentiel est d'y consacrer le temps nécessaire pour être exhaustif : oublier un traitement dans le registre peut être interprété comme une absence de bonne foi en cas de contrôle.
| Type de traitement | Finalité | Durée de conservation recommandée |
|---|---|---|
| Fichier clients Obligatoire à recenser | Gestion commerciale, facturation | 3 ans après dernier contact |
| Newsletter / emails marketing | Prospection commerciale | 3 ans après désinscription ou dernier clic |
| Données salariés | Gestion RH, paie | 5 ans après fin contrat |
| Vidéosurveillance | Sécurité des locaux | 1 mois maximum (sauf procédure judiciaire) |
| Données de santé (médecin, kiné...) | Suivi patient | Durée légale spécifique selon profession |
Informer les personnes et recueillir leur consentement
L'obligation d'information est l'une des pierres angulaires du RGPD. Chaque personne dont vous collectez les données doit être informée au moment de la collecte de plusieurs éléments : l'identité du responsable de traitement, la finalité de la collecte, la base légale du traitement, les destinataires éventuels, la durée de conservation et l'existence de ses droits (accès, rectification, suppression, opposition, portabilité).
Dans la pratique, cette information prend la forme d'une politique de confidentialité sur le site internet, d'une mention légale au bas des formulaires de collecte, et d'une clause dans les contrats ou les conditions générales. Ces documents doivent être rédigés dans un langage compréhensible par la personne concernée, sans jargon juridique obscur. La CNIL a durci ses contrôles sur ce point : une politique de confidentialité de dix pages incompréhensible est considérée comme insuffisante.
Le consentement explicite est requis pour certains traitements spécifiques : l'envoi de communications marketing, l'utilisation de cookies non essentiels sur un site web, le traitement de données sensibles (santé, origine ethnique, opinions politiques...). Ce consentement doit être actif (une case pré-cochée n'est pas un consentement valide), documenté (vous devez pouvoir prouver qui a consenti, quand et pour quoi), et révocable à tout moment. Un bouton de désinscription fonctionnel sur chaque email commercial, c'est la base.
Bases légales alternatives au consentement
Le consentement n'est pas la seule base légale du RGPD. Pour vos clients actifs, la base légale est généralement l'exécution du contrat. Pour la gestion comptable et fiscale, c'est l'obligation légale. Pour la prévention de la fraude, c'est l'intérêt légitime. Choisir la bonne base légale pour chaque traitement évite de sur-collecter des consentements inutiles et simplifie la gestion des droits.
Sécuriser les données : une obligation de moyens, pas de résultat
Le RGPD exige que l'entreprise mette en place des mesures de sécurité adaptées au risque de chaque traitement. Cette obligation est une obligation de moyens : vous ne pouvez pas garantir qu'une attaque informatique n'arrivera jamais, mais vous devez pouvoir démontrer que vous avez pris des précautions proportionnées. En pratique, pour une petite entreprise, cela recouvre plusieurs niveaux de protection.
La sécurité des accès est le premier chantier : chaque outil contenant des données personnelles doit être protégé par un mot de passe robuste (12 caractères minimum, alphanumérique), idéalement avec une authentification à deux facteurs. L'accès aux fichiers sensibles doit être limité aux seules personnes qui en ont besoin dans le cadre de leur fonction. Un comptable n'a pas besoin d'accéder aux dossiers médicaux ; un commercial n'a pas besoin de voir les données de paie des salariés.
La sécurité des échanges est le deuxième axe : les données personnelles ne doivent pas circuler en clair par email si leur niveau de sensibilité le justifie. Pour les données bancaires ou médicales, des solutions de partage sécurisé (espace client chiffré, messagerie chiffrée) sont préférables à l'email standard. Le chiffrement des disques durs sur les ordinateurs portables est fortement recommandé pour les structures dont les collaborateurs travaillent en mobilité.
La sécurité des sauvegardes est souvent négligée dans les petites structures. Les données doivent être sauvegardées régulièrement et les sauvegardes doivent être stockées dans un environnement distinct du système principal (idéalement en dehors des locaux ou dans le cloud). En cas de rançongiciel, une sauvegarde récente et propre est souvent la seule alternative au paiement de la rançon.
Gérer les sous-traitants et prestataires informatiques
La plupart des petites entreprises font appel à des prestataires externes qui traitent des données personnelles pour leur compte : hébergeur du site web, logiciel de facturation en SaaS, solution d'emailing, comptable utilisant un logiciel partagé. Ces prestataires sont des sous-traitants au sens du RGPD, et leur utilisation crée des obligations spécifiques.
Vous devez impérativement signer avec chacun d'eux un contrat de traitement de données (ou DPA, Data Processing Agreement) qui définit les obligations respectives en matière de protection des données, la liste des sous-traitants ultérieurs autorisés, les mesures de sécurité en place et les conditions de restitution ou de destruction des données à la fin du contrat. Les principaux fournisseurs de logiciels SaaS proposent généralement ces DPA dans leur espace client ou à la demande. Ne pas les signer parce que la démarche semble fastidieuse est une erreur qui peut se retourner contre vous en cas d'incident.
La notification des violations de données : 72 heures pour agir
Si malgré vos précautions un incident de sécurité survient (piratage, perte d'un ordinateur portable, envoi accidentel d'un email à la mauvaise liste, accès non autorisé à vos fichiers), vous avez l'obligation de notifier la CNIL dans les 72 heures si l'incident est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Ce délai court à partir du moment où vous avez connaissance de la violation, pas à partir de sa survenance réelle.
La notification se fait en ligne sur le site de la CNIL (notifications.cnil.fr) et doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes et de données concernées, les conséquences probables de la violation et les mesures prises pour y remédier. Si le risque pour les personnes est élevé, vous devez également les informer directement sans délai injustifié. Préparer en amont une procédure interne de gestion des incidents (qui prévient qui, comment, avec quelles informations) est bien plus simple que de improviser sous la pression dans un délai de 72 heures.
À retenir
- Le RGPD s'applique à toute entreprise qui traite des données personnelles, quelle que soit sa taille : un registre des traitements est obligatoire dès le premier fichier client.
- L'obligation d'information (politique de confidentialité, mentions sur les formulaires) et le consentement actif pour le marketing sont les deux obligations les plus fréquemment violées par les petites structures.
- La sécurisation des accès, des échanges et des sauvegardes doit être proportionnée au niveau de sensibilité des données traitées.
- En cas de violation de données, vous disposez de 72 heures pour notifier la CNIL : préparez une procédure interne avant qu'un incident ne survienne.
