Le RGPD fait peur, surtout aux petites structures qui imaginent une montagne de paperasse. La réalité est plus simple : pour une TPE, se mettre en conformité, c'est avant tout adopter quelques réflexes de bon sens autour des données de vos clients. On vous explique tout.
1. Le RGPD, c'est quoi au juste ?
Le RGPD (Règlement Général sur la Protection des Données) est une loi européenne entrée en vigueur en 2018. Son but : protéger les données personnelles des individus, c'est-à-dire toute information permettant d'identifier une personne — nom, e-mail, téléphone, adresse, photo, etc.
En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui veille à son application. Le principe de fond est simple : les données de vos clients leur appartiennent. Vous pouvez les utiliser, mais de façon transparente, sécurisée, et seulement pour ce qui est nécessaire.
Le RGPD ne vous interdit pas de collecter des données. Il vous demande de le faire proprement : savoir ce que vous avez, pourquoi, où c'est rangé, et respecter les droits des personnes concernées.
2. Suis-je concerné ? (Spoiler : oui)
Beaucoup d'artisans pensent que le RGPD ne vise que les grandes entreprises. C'est faux. Dès que vous gérez ne serait-ce qu'un fichier clients, vous êtes concerné — qu'il s'agisse d'un cahier papier, d'un tableur Excel ou d'un logiciel.
Un toiletteur qui note les coordonnées de ses clients, un plombier qui envoie des devis par e-mail, un commerçant avec une liste de fidélité : tous traitent des données personnelles. La taille de l'entreprise ne change rien à l'obligation — elle change juste l'ampleur des mesures à prendre.
3. Quelles données je collecte sans m'en rendre compte
On sous-estime presque toujours la quantité de données qu'on manipule. Voici un exemple typique pour une petite activité de service :
| Donnée collectée | D'où elle vient | Pourquoi |
|---|---|---|
| Nom, prénom | Fiche client, RDV | Identification, contact |
| Téléphone | Appel, formulaire | Confirmations, rappels SMS |
| Formulaire contact, devis | Échanges, factures | |
| Adresse postale | Devis, facture | Facturation, livraison |
| Photos (personne visible) | Réseaux sociaux, site | Communication |
| Données de navigation | Site web (cookies) | Statistiques, publicité |
Faites la liste de tout ce que vous collectez et où c'est stocké (carnet, ordinateur, logiciel, cloud). Cette simple liste, c'est déjà l'ébauche de votre registre des traitements — le premier document que la CNIL attend d'une petite structure.
4. Les 5 obligations essentielles
Pour une TPE, l'essentiel tient en cinq principes. Pas besoin d'un juriste à plein temps : juste de la rigueur.
Tenir un registre
Lister ce que vous collectez, pourquoi, combien de temps vous le gardez et où c'est stocké. Un simple tableau suffit pour une petite activité.
Informer les personnes
Dire clairement à vos clients quelles données vous prenez et pourquoi, et leur indiquer comment exercer leurs droits.
Limiter la collecte
Ne demandez que ce qui est utile. Pas besoin de la date de naissance d'un client pour lui envoyer un devis.
Sécuriser les données
Mot de passe sur l'ordinateur, sauvegardes, accès limité. Ne pas laisser traîner un fichier clients accessible à tous.
Respecter les droits
Pouvoir, sur demande, montrer, corriger ou supprimer les données d'une personne. C'est un droit, pas une faveur.
5. Cas du site web : cookies et formulaires
Si vous avez un site, deux points méritent une attention particulière.
Les cookies et la mesure d'audience
Si votre site utilise un outil de statistiques (Google Analytics, Matomo…) ou des cookies publicitaires, vous devez en principe recueillir le consentement du visiteur avant de le suivre. Concrètement : pas de traceur qui se déclenche avant que la personne ait cliqué « Accepter ».
Afficher un bandeau cookies mais tracker quand même dès l'arrivée sur le site, ou écrire dans sa politique « nous n'utilisons aucun outil de mesure » alors qu'un outil tourne en arrière-plan. Cette incohérence entre ce qu'on annonce et ce qu'on fait est l'une des erreurs les plus fréquentes — et l'une des plus simples à corriger.
Les formulaires de contact
Tout formulaire qui collecte des données doit indiquer, à proximité, une mention expliquant l'usage qui sera fait des informations et les droits de la personne. Une phrase suffit, par exemple :
« Les informations recueillies servent uniquement à traiter votre demande. Conformément au RGPD, vous disposez d'un droit d'accès, de rectification et de suppression de vos données en nous contactant à [votre e-mail]. »
Si votre site n'a aucun formulaire et que les contacts passent par téléphone, e-mail direct ou messagerie, vous ne collectez quasiment rien côté site. Votre conformité s'en trouve grandement simplifiée — il ne reste souvent qu'à régler la question de la mesure d'audience.
6. Les droits de vos clients
Le RGPD donne aux personnes plusieurs droits sur leurs données. Vous devez être en mesure d'y répondre :
- Droit d'accès : savoir quelles données vous détenez sur elles.
- Droit de rectification : corriger une information erronée.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de leurs données.
- Droit d'opposition : refuser, par exemple, de recevoir vos e-mails commerciaux.
En pratique, pour une petite structure, il suffit de désigner un point de contact (souvent vous) et de traiter ces demandes dans un délai raisonnable (un mois maximum).
7. Que risque-t-on vraiment ?
Les amendes RGPD qui font les gros titres (plusieurs millions d'euros) concernent les géants du numérique, pas le coiffeur du coin. Pour une TPE, la CNIL privilégie d'abord l'accompagnement et la mise en demeure : on vous demande de corriger avant de sanctionner.
Le vrai risque, pour une petite entreprise, est souvent ailleurs : une fuite de données (fichier clients piraté), une plainte d'un client mécontent, ou une atteinte à la réputation. La conformité, c'est surtout une protection — pour vos clients et pour vous.
Ne voyez pas le RGPD comme une contrainte administrative, mais comme un gage de sérieux. Un client rassuré sur le traitement de ses données est un client en confiance. C'est un argument commercial, pas seulement une obligation.
8. Les questions qu'on se pose
Non, pas pour une TPE classique. Le DPO n'est obligatoire que dans certains cas (organismes publics, traitement de données à grande échelle…). Vous pouvez désigner un référent en interne, ce qui suffit largement.
Oui. Le RGPD s'applique aux données, quel que soit le support — papier ou numérique. Un carnet de rendez-vous est un traitement de données personnelles.
Le temps nécessaire à la finalité, plus les délais légaux (par exemple la durée de conservation des factures). Au-delà, les données doivent être supprimées ou archivées. Définir une durée pour chaque type de donnée fait partie du registre.
Pour une petite activité, oui dans la plupart des cas, surtout avec les guides gratuits de la CNIL. Un accompagnement reste utile pour faire un point complet, sécuriser un site, ou si votre activité traite des données sensibles.
Un doute sur la conformité de votre activité ?
AlonePc réalise des audits RGPD pour les TPE, artisans et indépendants : site web, formulaires, cookies, registre des traitements. Un accompagnement clair, à votre échelle.