Guide RGPD

RGPD pour TPE : ce que vous devez vraiment savoir.

Le RGPD s'applique aussi aux entreprise, sans seuil d'exemption. Ce guide fait le point sur les vraies obligations, les mythes à déconstruire et les mesures concrètes à mettre en place.

Publié : 11 avril 2026 Lecture : 8 minutes
À savoir

Ce guide est à visée informative. Il ne constitue pas un conseil juridique. Pour toute question spécifique à votre situation, rapprochez-vous de la CNIL, d'un avocat spécialisé ou d'un Délégué à la Protection des Données (DPO) externe. Ocore Technologies accompagne la sécurisation technique des données, pas la conformité juridique.

Le Règlement Général sur la Protection des Données (RGPD) est entré en application en mai 2018. Depuis, beaucoup de dirigeants de TPE se demandent s'il les concerne vraiment, ce qu'ils doivent faire concrètement, et ce qui relève du mythe ou de la réalité. Ce guide pose les bases sans jargon juridique.

Le RGPD s'applique-t-il vraiment aux TPE ?

Oui, sans exception. Le RGPD ne prévoit pas de seuil d'exemption basé sur la taille de l'entreprise. Un cabinet médical de 2 personnes ou un artisan indépendant sont soumis aux mêmes obligations de fond qu'une multinationale.

Ce qui change, c'est la proportionnalité des obligations. La CNIL applique le principe de mesures raisonnables adaptées aux moyens. Si vous traitez des données personnelles (nom, email, téléphone, adresse IP, numéro de sécurité sociale...), le RGPD s'applique.

Les obligations minimales pour une entreprise

1. Informer les personnes concernées

Toute personne dont vous collectez les données (client, prospect, employé) doit savoir :

  • Qui vous êtes (identité du responsable)
  • Pourquoi vous collectez ces données (la finalité)
  • Combien de temps vous allez les garder
  • Qui y aura accès
  • Quels sont les droits de la personne (accès, rectification, suppression, opposition)
  • Comment exercer ces droits (un email de contact suffit)

Concrètement : une politique de confidentialité sur votre site + un paragraphe d'information sur vos formulaires.

2. Tenir un registre des activités de traitement

Obligatoire en version allégée. Un simple tableur Excel suffit : pour chaque "traitement" (ex. gestion clients, paie, newsletter), vous listez la finalité, les catégories de données, les destinataires et la durée de conservation. La CNIL fournit un modèle gratuit.

3. Sécuriser techniquement vos données

Les mesures techniques minimales à mettre en place :

  • Mots de passe robustes et uniques par service (gestionnaire de mots de passe recommandé)
  • Authentification à deux facteurs (2FA) sur les services sensibles (email, cloud, banque en ligne)
  • Antivirus à jour sur tous les postes de travail
  • Mises à jour de sécurité appliquées régulièrement (recommandations ANSSI)
  • Chiffrement du disque sur les portables (protection en cas de vol)
  • Accès restreints aux données sensibles (seuls ceux qui ont besoin d'y accéder)
  • Un dispositif de sauvegarde des données, à mettre en place sous votre responsabilité (NAS local, service cloud tiers)

4. Gérer les demandes des personnes

Un client ou un employé peut demander l'accès à ses données, leur rectification, leur suppression ou leur portabilité. Vous avez 1 mois pour répondre. Un email dédié du type contact@votreentreprise.fr suffit.

5. Notifier les violations de données

Si une fuite de données survient (vol d'un portable non chiffré, piratage, email envoyé par erreur à une liste), vous avez 72 heures pour notifier la CNIL via son formulaire en ligne. Si la fuite est grave, les personnes concernées doivent aussi être informées. Le site Cybermalveillance.gouv.fr accompagne gratuitement les TPE victimes.

Ce qui n'est PAS obligatoire (les mythes)

Beaucoup de TPE paient cher des prestations RGPD qui ne leur sont pas nécessaires. Les 3 idées reçues les plus répandues :

"Je dois obligatoirement avoir un DPO"

Faux pour la majorité des entreprise. Le DPO (Délégué à la Protection des Données) est obligatoire dans 3 cas : organismes publics, suivi systématique à grande échelle, traitement à grande échelle de données sensibles. Un artisan, un cabinet médical ou un expert-comptable de moins de 250 salariés n'en ont pas besoin.

"Je dois faire réaliser un audit RGPD à 5 000 €"

Pas forcément. La CNIL fournit gratuitement modèles, guides, lettres-types et simulateur. Les prestations payantes ne se justifient que pour des cas complexes (secteurs très encadrés, grands volumes, traitements sensibles).

"Je dois chiffrer toutes mes données"

Non. L'obligation est proportionnée au risque. Chiffrer les portables qui sortent du bureau est une bonne pratique recommandée. Chiffrer chaque fichier Excel interne est excessif et contreproductif.

Les sanctions concrètes

Les amendes record (20 M€ ou 4 % du CA) concernent principalement les gros acteurs. Pour les entreprise, les sanctions observées sont plutôt de l'ordre de quelques centaines à quelques milliers d'euros, souvent précédées d'avertissements formels.

Les cas les plus fréquents de sanction TPE :

  • Collecte excessive de données sans justification
  • Manquement grave à la sécurité (mot de passe par défaut non changé, absence de mise à jour)
  • Non-réponse aux demandes des personnes concernées

Mais la vraie sanction, pour une entreprise, c'est surtout la perte de confiance du client ou du partenaire en cas d'incident rendu public.

Comment s'y prendre concrètement

Pour une entreprise qui part de zéro, voici une feuille de route raisonnable :

  1. Identifier quels types de données personnelles vous collectez et pourquoi (clients, prospects, employés, fournisseurs)
  2. Rédiger une politique de confidentialité simple à publier sur votre site et à joindre à vos documents commerciaux
  3. Tenir un registre des traitements en version allégée (tableur)
  4. Mettre en place les mesures de sécurité techniques de base (mots de passe, 2FA, antivirus, mises à jour)
  5. Prévoir une procédure simple pour répondre aux demandes des personnes et notifier une violation si ça arrive
  6. Documenter vos décisions : ce n'est pas la perfection qui compte, c'est de pouvoir prouver que vous avez pris vos obligations au sérieux
Ressources gratuites recommandées

Le site cnil.fr propose des guides sectoriels, des modèles de registre et des outils d'auto-évaluation. Commencez par là avant d'envisager toute prestation payante.

Besoin d'aide sur la partie technique ?

Ocore Technologies ne remplace pas un DPO ni un avocat spécialisé, mais nous assurons la sécurisation technique de vos postes de travail : antivirus supervisé, mises à jour régulières, chiffrement du disque, gestion des accès, supervision continue. C'est la partie la plus concrète et la plus souvent négligée de la conformité RGPD pour une entreprise. Voir notre page maintenance informatique à Castres.

Voir nos forfaits
Articles liés

Continuez la lecture

ServiceMaintenance informatique à Castres
GuideMon PC est lent, que faire ?
GuideMon ordinateur ne démarre plus

Besoin d'aide sur la partie technique ?

Échangeons sur votre situation informatique. Nous évaluons vos besoins et vous proposons une solution adaptée, sans engagement.

06 86 82 04 57 Diagnostic gratuit