Vous pensiez être trop petit pour être contrôlé ? La CNIL pense autrement. Entre 2023 et 2024, les contrôles sur les petites structures ont bondi de 300%. Pire encore, en 2024, 8 sanctions sur 10 prononcées par la CNIL visaient des TPE et des PME. Vous avez bien lu : ce ne sont plus seulement les géants du numérique qui trinquent. Votre cabinet comptable, votre boutique en ligne, votre petite agence ou votre restaurant avec réservation en ligne, tous sont dans le viseur.
La conformité RGPD n’est pas une option ni un luxe réservé aux grandes entreprises. C’est une obligation légale, quelle que soit votre taille. Nous vous proposons une check-list concrète, actionnée, loin des guides théoriques qui prennent la poussière. De quoi passer à l’action avant que la CNIL ne débarque chez vous.
Pourquoi les TPE et PME sont désormais dans le viseur de la CNIL
Les chiffres parlent d’eux-mêmes. En 2023, la CNIL a prononcé 42 sanctions. En 2024, ce nombre a plus que doublé pour atteindre 87 sanctions, avec 180 mises en demeure et 64 rappels aux obligations. Sur ces 87 sanctions, 69 ont été prononcées via la procédure simplifiée, un mécanisme créé en 2022 pour accélérer le traitement des dossiers concernant les petites structures. Cette évolution montre une volonté claire de la CNIL : personne n’échappe plus à la surveillance.
Beaucoup de dirigeants pensaient passer sous les radars. Pas de site web compliqué, quelques fichiers Excel avec les coordonnées des clients, des CV stockés dans un tiroir, un fichier de paie géré sur un logiciel basique. Vous croyez que ça ne compte pas ? Détrompez-vous. Dès que vous collectez des données personnelles, même sur papier, même sans outil numérique sophistiqué, le RGPD s’applique. Cette erreur de perception coûte cher. Très cher. L’époque où l’on pouvait jouer à l’autruche est révolue.
Le registre des traitements : votre premier chantier obligatoire
Le registre des traitements est obligatoire dès le premier salarié. Même sans salarié, si votre entreprise traite des données personnelles, vous devez en tenir un. Pourtant, selon le Baromètre France Num 2025, seules 41% des TPE et PME tiennent un registre conforme. Autant dire que la majorité des petites structures sont hors-la-loi sans même le savoir.
Ce registre n’est pas qu’une formalité administrative pour faire plaisir à l’administration. C’est votre cartographie réelle des données que vous traitez. Il recense les parties prenantes, les catégories de données collectées, les finalités de chaque traitement, qui y accède, combien de temps vous conservez ces informations, et quelles mesures de sécurité vous avez mises en place. La CNIL met à disposition un modèle gratuit au format tableur, téléchargeable sur son site.
Commencez par recenser toutes les données que vous manipulez : collaborateurs, clients, fournisseurs, outils CRM, documents papier. Listez tout. Vous serez surpris de découvrir l’ampleur de ce que vous traitez réellement.
| Élément obligatoire | Description | Exemple concret |
|---|---|---|
| Parties prenantes | Nom et coordonnées du responsable de traitement, DPO si désigné | SAS Dupont, 12 rue du Commerce, DPO : Jean Martin |
| Finalités du traitement | Objectif précis de la collecte de données | Gestion de la paie, prospection commerciale, gestion des commandes |
| Catégories de données | Types de données collectées | Nom, prénom, adresse email, numéro de téléphone, RIB |
| Destinataires des données | Qui a accès aux données | Service comptabilité, prestataire emailing, logiciel CRM hébergé |
| Durée de conservation | Combien de temps les données sont gardées | 3 ans après dernier contact pour prospects, 5 ans pour documents RH |
| Mesures de sécurité | Protections mises en place | Chiffrement des données, accès par mot de passe fort, sauvegardes régulières |
Les données que vous collectez (et celles que vous ignorez collecter)
Fichiers clients, contrats de travail, CV de candidats non retenus, annuaires internes, emails de prospection, numéros de téléphone dans votre smartphone professionnel, CRM en ligne, logiciels de caisse qui enregistrent noms et prénoms, espaces d’authentification de votre site web. La liste s’allonge vite, très vite. N’oubliez pas les documents papier : ils entrent aussi dans le champ du RGPD. Un dossier client rangé dans une armoire, c’est un traitement de données personnelles.
Beaucoup de dirigeants découvrent qu’ils traitent bien plus de données qu’ils ne le pensaient. Vous pensiez juste avoir un fichier Excel avec vos clients ? Vous avez aussi leur historique d’achat, leurs préférences, peut-être même des données de santé si vous vendez des produits spécifiques. L’ignorance n’est pas une excuse légale devant la CNIL. Vos sous-traitants, ceux qui gèrent vos campagnes d’emailing, votre logiciel de caisse, votre CRM hébergé dans le cloud, doivent tous être conformes au RGPD. Leur défaillance devient la vôtre.
Voici les types de données souvent oubliés, mais qui comptent tout autant :
- Données fournisseurs avec contacts nominatifs : noms, emails, numéros directs de vos interlocuteurs chez vos partenaires
- Historiques de navigation sur votre site web : cookies, pages visitées, temps passé
- Logs de connexion à vos outils internes : qui s’est connecté, quand, depuis quelle adresse IP
- Données de géolocalisation : si vous utilisez des applications mobiles ou des véhicules équipés de GPS
- Données biométriques : empreintes digitales pour accéder aux locaux, reconnaissance faciale
- Vidéosurveillance : images capturées dans vos locaux ou aux abords
Consentement et information : les deux piliers non négociables
Le consentement doit être libre, éclairé, spécifique et univoque. Les cases pré-cochées sur vos formulaires ? Interdites. La Cour de Justice de l’Union Européenne l’a martelé : une case cochée par défaut ne vaut pas consentement. Vous devez offrir une option de retrait simple, aussi facile que l’acceptation initiale. Si vos formulaires comportent des cases pré-cochées, vous êtes déjà hors-la-loi. Point final.
L’obligation d’information va de pair avec le consentement. Les personnes dont vous collectez les données doivent être informées des traitements, des modalités de collecte, de leurs droits, des durées de conservation, et de l’identité du responsable de traitement. Cette information doit être claire, accessible, dans un langage compréhensible. Pas de jargon juridique incompréhensible planqué dans des CGU de 50 pages que personne ne lit.
Le défaut d’information et le manquement au recueil du consentement figurent parmi les causes les plus fréquentes de sanction par la CNIL. Vous ne pouvez plus vous permettre de négliger ces bases. Les personnes doivent savoir ce que vous faites de leurs données, et elles doivent pouvoir exercer leurs droits facilement.
Respecter les droits des personnes : mode d’emploi
Le RGPD confère aux personnes sept droits fondamentaux sur leurs données. Vous disposez d’un délai d’un mois pour répondre à une demande d’exercice de ces droits, prolongeable de deux mois en cas de complexité. Ce n’est pas négociable. Certains droits ne s’appliquent pas selon la base légale du traitement : impossible de s’opposer à un traitement fondé sur une obligation légale, par exemple la conservation de vos factures pour le fisc.
Beaucoup d’entreprises paniquent face à une demande d’accès aux données. Pourtant, avec un registre à jour, c’est prévisible et gérable. Le retrait de consentement doit être traité immédiatement : si quelqu’un retire son accord pour recevoir vos newsletters, vous devez cesser l’envoi sans délai.
Voici les sept droits que vous devez respecter :
- Droit d’accès : toute personne peut vous demander quelles données vous détenez sur elle et en obtenir une copie
- Droit de rectification : si les données sont inexactes ou incomplètes, la personne peut exiger leur correction
- Droit à l’effacement (droit à l’oubli) : sous certaines conditions, la personne peut demander la suppression de ses données
- Droit à la limitation du traitement : la personne peut demander le gel de ses données pendant la vérification d’une contestation
- Droit à la portabilité : la personne peut récupérer ses données dans un format structuré et les transmettre à un autre responsable
- Droit d’opposition : la personne peut s’opposer au traitement de ses données pour des raisons tenant à sa situation particulière
- Droit à l’intervention humaine : en cas de décision automatisée (profilage, scoring), la personne peut demander une révision humaine
Sécuriser vos données : au-delà du mot de passe basique
Vous devez garantir un niveau de sécurité adapté au risque que représentent vos traitements. Le RGPD impose des mesures techniques et organisationnelles pour assurer la pseudonymisation, le chiffrement, la confidentialité, l’intégrité, la disponibilité et la résilience de vos systèmes. Traduction concrète : protégez vos données contre le piratage, la perte, la destruction accidentelle ou malveillante.
Les accès aux logiciels sensibles, comme ceux de paie ou de gestion RH, doivent être très restreints. Seules les personnes habilitées doivent y avoir accès, avec des identifiants uniques et des mots de passe robustes. Le chiffrement est une protection essentielle : en cas de vol ou de piratage, des données chiffrées restent illisibles pour les intrus. Vous devez aussi prévoir des moyens de restauration rapide en cas d’incident, avec des sauvegardes régulières et testées.
Un mot de passe « 123456 » ou « azerty » n’est pas une mesure de sécurité. C’est une invitation au piratage. Imposez des mots de passe forts, avec au minimum 12 caractères, mélangeant majuscules, minuscules, chiffres et caractères spéciaux. Mieux encore, activez l’authentification à deux facteurs partout où c’est possible. Vos sous-traitants doivent appliquer les mêmes standards de sécurité que vous.
Les sous-traitants : votre conformité dépend aussi d’eux
Vous faites appel à un prestataire pour gérer vos campagnes d’emailing ? Vous utilisez un logiciel de caisse hébergé dans le cloud ? Votre CRM tourne sur un serveur externe ? Tous ces acteurs sont des sous-traitants au sens du RGPD. Vous devez vérifier leur conformité. Ils doivent eux aussi tenir un registre des traitements qu’ils effectuent pour votre compte.
La responsabilité est partagée : si votre sous-traitant débloque, vous êtes aussi responsable. Trop d’entreprises signent des contrats avec des outils SaaS sans vérifier les clauses RGPD. Grosse erreur. Vous devez exiger un DPA (Data Processing Agreement), un contrat de sous-traitance qui encadre strictement les opérations réalisées sur vos données. Ce document doit préciser les obligations du sous-traitant, les mesures de sécurité appliquées, les conditions de suppression ou de restitution des données à la fin du contrat.
L’absence de DPA expose les deux parties à des sanctions. Ne signez rien sans avoir obtenu ce document. C’est votre bouclier juridique.
Faut-il nommer un DPO (délégué à la protection des données) ?
La désignation d’un DPO est obligatoire dans trois situations : si vous êtes une autorité ou un organisme public, si vous réalisez un suivi régulier et systématique de personnes à grande échelle, ou si vous traitez des données sensibles à grande échelle (santé, origine ethnique, opinions politiques, données génétiques, biométriques, etc.).
Pour les autres structures, désigner un pilote de conformité interne ou externe reste fortement recommandé. Ce référent doit être formé aux obligations du RGPD et capable de conseiller l’entreprise. Même si ce n’est pas obligatoire pour votre structure, avoir un référent identifié évite de jouer à la patate chaude quand la CNIL débarque. Qui répond ? Qui est responsable ? Avec un DPO ou un référent RGPD, la réponse est claire.
Avec ou sans DPO, l’engagement de la direction est indispensable. La conformité RGPD ne peut pas être déléguée à un stagiaire ou à un employé débordé. C’est une démarche stratégique qui engage toute l’entreprise.
Durées de conservation : combien de temps garder vos données
Chaque donnée doit avoir une durée de conservation définie et justifiée. Le RGPD ne fixe pas de durée universelle, mais impose que la conservation soit proportionnée à la finalité. Les données de prospects non clients peuvent être conservées 3 ans à compter de leur collecte ou du dernier contact. Les données de clients actifs : 3 ans après la fin de la relation commerciale. Les données RH : généralement 5 ans après le départ du salarié, sauf obligations légales spécifiques (bulletins de paie conservés jusqu’à la liquidation de la retraite, par exemple).
Vous devez supprimer les données au-delà de la durée prévue. Beaucoup d’entreprises conservent tout « au cas où » et se retrouvent avec des bases de données zombies qui sont des passoires juridiques. Des millions de lignes de données obsolètes, non sécurisées, qui n’ont plus aucune raison d’exister. En cas de contrôle ou de fuite de données, vous serez tenu responsable de ces informations inutilement conservées.
Conseil pratique : faites un nettoyage annuel de vos bases de données. Supprimez les prospects inactifs depuis 3 ans, archivez les dossiers clients clos, effacez les CV des candidats non retenus après 2 ans. Ce ménage régulier réduit vos risques et allège vos systèmes.
L’analyse d’impact (AIPD) : quand et pourquoi la réaliser
L’AIPD (Analyse d’Impact relative à la Protection des Données) est obligatoire pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Cela concerne les traitements de données sensibles, le profilage à grande échelle, la surveillance systématique d’une zone publique, l’utilisation de technologies innovantes avec un impact potentiel sur la vie privée.
L’absence d’AIPD figure parmi les causes fréquentes de sanction. Si vous traitez des données de santé, de géolocalisation, ou si vous installez de la vidéosurveillance sans réaliser d’AIPD, vous jouez à la roulette russe juridique. L’AIPD consiste à évaluer les risques pour les droits et libertés des personnes, puis à définir des mesures pour réduire ces risques à un niveau acceptable.
Vous devez documenter cette analyse et la conserver. En cas de contrôle, la CNIL vous la demandera. Si le risque résiduel reste élevé malgré les mesures prévues, vous devez consulter la CNIL avant de lancer le traitement.
Que risquez-vous concrètement en cas de non-conformité
Les sanctions commencent par une mise en demeure avec un délai de 10 jours à 6 mois pour corriger les manquements. Si vous ne régularisez pas dans les temps, la CNIL peut prononcer une amende administrative pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Même les TPE et PME reçoivent des amendes proportionnelles : plusieurs milliers d’euros, voire dizaines de milliers, selon la gravité.
Les manquements les plus sanctionnés : absence de registre des traitements, défaut d’information des personnes, absence de consentement valide, absence d’AIPD, traitement sans base légale, défaut de sécurité des données. En 2024, 8 sanctions sur 10 ont visé des TPE et PME. Vous n’êtes plus à l’abri.
Les sanctions publiques sont aussi un désastre réputationnel. La CNIL publie les décisions sur son site, avec le nom de l’entreprise. Vos clients, vos partenaires, vos concurrents peuvent consulter ces informations. La perte de confiance qui en résulte peut être bien plus coûteuse que l’amende elle-même. Combien de clients perdus parce que vous avez fait la une pour non-respect du RGPD ? L’amende est une chose, la perte de confiance des clients en est une autre.
La conformité RGPD n’est pas une contrainte administrative, c’est votre assurance-vie numérique. Les entreprises qui l’ont compris ne subissent plus le RGPD, elles l’utilisent comme argument commercial. Les autres attendent juste leur tour dans la file des contrôles.
