Une newsletter, un fichier Excel avec les coordonnées de vos clients, un formulaire de contact sur votre site, une carte de fidélité papier dans votre boutique. Toutes ces pratiques courantes vous transforment, qu’on le veuille ou non, en « responsable de traitement » au sens du RGPD. Et avec ce statut viennent des obligations concrètes. La bonne nouvelle, c’est que pour une TPE rurale, la mise en conformité tient en quelques principes clairs et accessibles.
Le RGPD ne concerne pas que les grandes entreprises
Beaucoup d’entrepreneurs du Gâtinais pensent que le RGPD, c’est un truc pour les multinationales. Faux. Le règlement européen sur la protection des données s’applique à toute structure qui collecte ou utilise des données personnelles, quelle que soit sa taille. Un artisan qui envoie ses devis par mail, un commerçant qui a un fichier clients, une association qui gère ses adhérents : tous sont concernés.
La CNIL le rappelle régulièrement : la taille de la structure n’exonère pas, elle modifie seulement la proportionnalité des mesures attendues. Une TPE n’aura pas les mêmes obligations qu’un groupe coté, mais elle doit respecter les principes de base.
Ce que dit la loi en deux phrases
Le RGPD repose sur deux idées simples : vous ne collectez que les données dont vous avez réellement besoin, et les personnes concernées doivent savoir ce que vous en faites et garder la main dessus.
À partir de là, tout le reste découle.
Les six obligations concrètes pour une TPE
1. Tenir un registre des traitements
C’est l’obligation la plus structurante, et celle qu’on néglige le plus. Le registre liste l’ensemble des traitements de données que vous effectuez : fichier clients, fichier prospects, gestion RH, vidéosurveillance, newsletter, etc. Pour chaque traitement, vous notez à quoi il sert, quelles données sont collectées, combien de temps vous les gardez, et qui y a accès.
La CNIL met à disposition un modèle gratuit, adapté aux petites structures. C’est un document Word de quelques pages, à mettre à jour quand vous changez vos pratiques. Personne ne viendra le contrôler tous les matins, mais en cas de contrôle ou de plainte, c’est ce document qui démontre que vous avez fait le travail.
2. Recueillir un consentement clair pour la newsletter
Si vous envoyez une newsletter, vous devez obtenir le consentement explicite des destinataires. Concrètement, cela veut dire : une case à cocher non pré-cochée sur votre formulaire d’inscription, une mention claire indiquant la finalité (recevoir les actualités de votre structure), et un lien de désinscription dans chaque envoi.
L’opt-in passif (case déjà cochée par défaut) n’est plus accepté depuis 2018. Et la fameuse pratique consistant à ajouter d’office à sa newsletter les personnes qui ont laissé leur carte de visite est tout simplement illégale.
3. Informer les personnes au moment de la collecte
À chaque fois que vous collectez une donnée, la personne doit savoir pourquoi. Sur un formulaire de contact, cela passe par une mention courte du type : « Les informations recueillies sont utilisées uniquement pour répondre à votre demande et conservées pendant X mois. Vous pouvez à tout moment demander leur suppression. »
Cette mention peut renvoyer à une page « Politique de confidentialité » plus détaillée sur votre site, qui reprend l’ensemble de vos traitements.
4. Permettre l’accès, la rectification et la suppression
Toute personne a le droit de vous demander quelles données vous détenez sur elle, de les faire corriger, ou de demander leur suppression. Vous avez un mois pour répondre. En pratique, pour une TPE, cela signifie qu’il faut :
– une adresse mail dédiée ou un contact clairement identifié
– une procédure simple en interne pour retrouver les données d’une personne
– la capacité de supprimer effectivement ces données dans tous vos outils
5. Sécuriser les données
Le RGPD impose des mesures de sécurité « appropriées au risque ». Pour une TPE qui gère des données de contact basiques, cela veut dire :
– des mots de passe robustes sur les ordinateurs et les comptes pro
– un antivirus à jour
– des sauvegardes régulières
– ne pas laisser de fichiers clients en accès libre sur des ordinateurs partagés
– chiffrer les disques des ordinateurs portables si vous transportez des données
C’est du bon sens, mais ce sont précisément ces points qu’un contrôle CNIL vérifie en premier.
6. Limiter les durées de conservation
Vous ne pouvez pas garder des données indéfiniment. Pour les clients, la durée typique est de 3 ans après le dernier contact commercial. Pour les prospects qui n’ont rien acheté, c’est 3 ans après la collecte. Pour les obligations comptables, c’est 10 ans pour les factures. Au-delà, archivage ou suppression.
Mettre une alerte dans son agenda pour faire le tri chaque année est un réflexe simple et efficace.
Trois pièges fréquents dans le Gâtinais entrepreneurial
La newsletter « interne » qu’on étend. Vous démarrez avec votre liste de clients, et progressivement vous y ajoutez les contacts récupérés sur les salons, les cartes de visite, les inscriptions à un atelier. C’est exactement le cas où il faut requalifier : ces personnes ont-elles explicitement consenti à recevoir votre newsletter ? Si non, soit vous les enlevez, soit vous leur envoyez un mail unique de réinscription opt-in.
Le fichier Excel partagé. Beaucoup de TPE gèrent leurs contacts dans un Excel posé sur un Drive partagé. Tant que les accès sont maîtrisés et le fichier protégé, ça reste acceptable. Mais dès que le fichier circule par mail ou se retrouve sur des clés USB, on perd la traçabilité.
Les photos d’événements. Si vous publiez sur les réseaux sociaux ou sur votre site des photos de clients, partenaires ou participants à un événement, vous avez besoin de leur accord. Pour des événements ouverts au public, une mention à l’entrée suffit le plus souvent, mais pour des portraits identifiables, une autorisation explicite reste la règle.
Par où commencer concrètement
Si tout ça vous paraît dense, voici l’ordre d’attaque pragmatique :
- Téléchargez le modèle de registre de la CNIL et remplissez-le en une heure
- Vérifiez que votre formulaire de newsletter a bien une case opt-in non pré-cochée
- Ajoutez une mention RGPD courte sur votre formulaire de contact
- Faites le tour de vos fichiers et identifiez ceux qui dorment depuis plus de 3 ans
- Mettez une politique de confidentialité simple sur votre site
Vous aurez fait 80 % du chemin. Le reste se construit dans le temps, au fil de vos évolutions.
—————
Sources et ressources utiles
- CNIL — Guide pour les TPE/PME
- CNIL — Modèle de registre simplifié : cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement
- CNIL — Outil PIA (analyse d’impact) : cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
- BPI France — RGPD et TPE/PME : bpifrance.fr
- Service-Public.fr — Obligations RGPD : entreprendre.service-public.fr
