RGPD et TPE : les obligations concrètes que personne ne peut ignorer
Depuis mai 2018, le RGPD s'applique à toute entreprise qui traite des données personnelles de résidents européens, quelle que soit sa taille. Les TPE ne sont pas dispensées. Voici ce que vous devez mettre en place concrètement, et ce que vous risquez si vous ne faites rien.
Une donnée personnelle est toute information qui permet d'identifier directement ou indirectement une personne physique. Nom, prénom, email, adresse IP, numéro de téléphone, données de navigation sur votre site, photos, données RH de vos salariés, tout cela constitue des données personnelles soumises au RGPD. Une TPE qui tient un fichier clients par email, qui utilise un CRM ou qui a un formulaire de contact sur son site traite des données personnelles.
Quelles données votre TPE traite-t-elle sans le savoir ?
L'inventaire des traitements de données d'une TPE typique révèle souvent plus de sources que le dirigeant n'en avait conscience : le fichier clients et prospects dans le CRM ou le tableur, les données RH (salaires, arrêts maladie, coordonnées des salariés), les emails professionnels conservés, les données de comptabilité (noms et coordonnées de fournisseurs personnes physiques), les données collectées via le formulaire de contact du site web, les données analytics (Google Analytics collecte des données comportementales liées aux IPs), la liste de diffusion de la newsletter.
Chaque source de données personnelles est un "traitement" au sens du RGPD et doit être documentée dans votre registre des traitements.
Le registre des traitements : votre obligation documentaire principale
Toute entreprise qui traite des données personnelles doit tenir un registre des activités de traitement. Pour les entreprises de moins de 250 salariés, cette obligation est allégée, elle ne concerne que les traitements qui ne sont pas occasionnels, qui portent sur des données sensibles (santé, opinions politiques, données biométriques), ou qui comportent des risques pour les droits des personnes.
En pratique, pour une TPE, cela signifie documenter au minimum : votre fichier clients/prospects, vos données RH salariés, et vos outils de communication (emailing, site web avec formulaire). Pour chaque traitement, le registre précise : la finalité (pourquoi collectez-vous ces données ?), les catégories de données traitées, les personnes concernées, les destinataires des données, la durée de conservation, et les mesures de sécurité en place.
La CNIL propose un modèle de registre des traitements téléchargeable gratuitement sur son site. C'est un tableur qui peut être tenu à jour en quelques heures pour une TPE de taille standard.
Les obligations pratiques incontournables
Si votre site collecte des données (formulaire de contact, newsletter, cookies d'analytics), vous devez afficher une politique de confidentialité accessible. Elle doit indiquer qui traite les données, pourquoi, pour quelle durée, et comment exercer ses droits.
Depuis les nouvelles recommandations CNIL (2020), le bandeau cookies doit permettre de refuser aussi facilement qu'accepter. Un bouton "Tout accepter" sans bouton "Tout refuser" équivalent n'est pas conforme. Les cookies non essentiels (analytics, publicité) nécessitent un consentement préalable.
Les données ne peuvent pas être conservées indéfiniment. Un prospect non actif depuis 3 ans, une candidature reçue il y a 2 ans, les données de navigation de l'année dernière, tout cela doit être purgé ou anonymisé selon les durées que vous avez définies dans votre registre.
Des mesures techniques de sécurité appropriées doivent être en place : mots de passe robustes, accès limité aux seules personnes qui en ont besoin, chiffrement des données sensibles, sauvegardes régulières. En cas de violation de données (fuite, piratage), vous devez notifier la CNIL dans les 72 heures.
Respecter les droits des personnes concernées
Toute personne dont vous détenez les données a des droits : droit d'accès (obtenir une copie de ses données), droit de rectification (corriger des données inexactes), droit à l'effacement (demander la suppression sous certaines conditions), droit à la portabilité (recevoir ses données dans un format réutilisable), droit d'opposition (s'opposer au traitement pour des motifs légitimes).
Vous devez être en mesure de répondre à ces demandes dans un délai d'un mois. Pour une TPE, cela se traduit concrètement par : avoir une adresse email de contact dédiée ou identifiable pour ces demandes, savoir retrouver dans quels systèmes vous stockez les données d'une personne donnée, et être capable de les exporter ou de les supprimer.
Sanctions CNIL : ce que risquent réellement les TPE
Les sanctions théoriques (20 millions d'euros ou 4 % du CA mondial) concernent les grandes entreprises qui ont commis des violations graves. Pour les TPE, les sanctions prononcées par la CNIL restent plus proportionnées, mais elles existent. La CNIL a sanctionné des entreprises de moins de 50 salariés à des montants allant de quelques milliers à plusieurs dizaines de milliers d'euros pour des manquements répétés ou graves (absence totale de sécurisation, revente de données sans consentement, refus de répondre aux plaintes).
Le risque le plus fréquent pour les TPE n'est pas la sanction administrative directe, c'est la plainte d'un client, d'un salarié ou d'un concurrent qui peut déclencher un contrôle CNIL. La mise en conformité minimale (registre des traitements, politique de confidentialité, gestion des cookies) est peu coûteuse en temps et élimine l'essentiel de ce risque.