Conformité RGPD pour les TPE, indépendants et micro-entrepreneurs
Le RGPD s'applique dès votre premier fichier client. Contrairement à une idée répandue, il n'existe pas de seuil qui exonérerait une petite structure. Voici vos obligations, à votre échelle, et le diagnostic pensé pour les petites structures.
Cette page constitue une information juridique au sens de la loi n°71-1130 du 31 décembre 1971 et ne constitue pas une consultation juridique personnalisée. Le RGPD (UE 2016/679) et la loi Informatique et Libertés s'appliquent ; la CNIL est l'autorité de contrôle.
Petite structure ne veut pas dire hors du RGPD
Dès que vous enregistrez le nom, l'email ou le téléphone d'un client ou d'un prospect, vous traitez des données personnelles. Le RGPD ne prévoit aucun seuil de taille ou de chiffre d'affaires en deçà duquel il ne s'appliquerait pas. Un consultant, un artisan, un commerçant ou un micro-entrepreneur sont donc soumis aux mêmes principes que les grandes entreprises.
La bonne nouvelle : pour une activité dont le cœur de métier n'est pas le traitement de données, les obligations sont allégées. L'analyse d'impact et la désignation d'un DPO restent rares, et une politique de confidentialité courte mais fidèle à votre réalité vaut mieux qu'un document générique copié ailleurs.
Vos obligations concrètes
Quatre piliers, à votre échelle, puis à tenir à jour.
Registre des traitements
Même court, le registre est obligatoire (article 30 RGPD). Pour un indépendant : fichier clients, prospection, comptabilité, site et cookies. C'est le premier document attendu en cas de contrôle.
Information et consentement
Mentions d'information sur vos formulaires, devis et site. Consentement pour la prospection B2C et les cookies non essentiels. En B2B, information et droit d'opposition suffisent dans les conditions prévues par la loi.
Sécurité des données
Mots de passe robustes, sauvegardes, accès limité, prudence avec les outils et sous-traitants (CRM, emailing, hébergement). Une violation de données doit être notifiée à la CNIL sous 72 heures.
Durées de conservation
Limiter la conservation à la durée nécessaire. La CNIL publie des durées de référence, par exemple trois ans après le dernier contact pour un prospect. Au-delà, supprimer ou anonymiser.
Entrepreneur individuel : une responsabilité à titre personnel
Au-delà des sanctions administratives de la CNIL, certains manquements sont des délits pénaux (articles 226-16 et suivants du Code pénal). Pour un entrepreneur individuel ou un micro-entrepreneur, qui est lui-même responsable de traitement, cette responsabilité peut être engagée à titre personnel : la structure ne fait pas toujours écran. Un diagnostic préalable permet d'identifier et de corriger les risques avant tout contrôle.
Quel diagnostic pour votre activité ?
Un indépendant ou une micro-entreprise de moins de cinq traitements peut commencer par le Diagnostic Essentiel à 350 €, pensé pour les petites structures. Une TPE employeuse ou gérant plusieurs fichiers relève plutôt du Diagnostic Standard à 900 €. Pour un volume important ou des données sensibles, le Diagnostic Approfondi est sur devis.
Vous hésitez ? Commencez par l'Audit RGPD Express offert, restitué sous 72 heures, qui oriente vers le forfait adapté.
Questions fréquentes
Suis-je concerné par le RGPD en tant qu'auto-entrepreneur ou TPE ?
Oui. Le RGPD s'applique dès que vous traitez des données personnelles, c'est-à-dire dès le premier fichier de clients ou de prospects contenant un nom, un email ou un téléphone. Il n'existe pas de seuil de taille ou de chiffre d'affaires qui exonérerait une petite structure. Les obligations sont simplement proportionnées à votre activité.
Faut-il un registre des traitements pour une TPE ou un indépendant ?
Oui dans la quasi-totalité des cas. L'article 30 du RGPD impose un registre des activités de traitement à tout organisme. Pour un indépendant, il reste court : fichier clients, prospection, comptabilité, éventuellement gestion d'un site et de cookies. Une dérogation existe pour les structures de moins de 250 salariés, mais elle ne joue que pour les traitements occasionnels, sans données sensibles et sans risque.
Puis-je prospecter par email en B2B sans consentement préalable ?
En B2B, la règle française est plus souple. L'article L.34-5 du Code des postes et des communications électroniques dispense du consentement préalable lorsque le message est adressé à une adresse professionnelle et que son objet est en rapport avec la fonction de la personne. Vous devez toutefois informer la personne et lui permettre de s'opposer facilement. En B2C, le consentement préalable reste la règle.
Une TPE ou un micro-entrepreneur doit-il désigner un DPO ?
Le plus souvent non. La désignation d'un délégué à la protection des données n'est obligatoire que pour les organismes publics, en cas de suivi régulier et systématique de personnes à grande échelle, ou de traitement à grande échelle de données sensibles. La majorité des TPE et des indépendants ne sont donc pas concernés, même si désigner un référent interne reste une bonne pratique.
Quels risques concrets pour un indépendant en cas de non-conformité ?
Au-delà des sanctions administratives de la CNIL, certains manquements sont des délits pénaux (articles 226-16 et suivants du Code pénal). Pour un entrepreneur individuel ou un micro-entrepreneur, qui est lui-même responsable de traitement, cette responsabilité peut être engagée à titre personnel : la structure ne fait pas toujours écran. S'ajoute un enjeu commercial, car de plus en plus de clients et de donneurs d'ordre exigent une preuve de conformité avant de contracter.
Combien de temps conserver les données de mes clients et prospects ?
Une donnée ne se conserve que le temps nécessaire à la finalité pour laquelle elle a été collectée. La CNIL publie des durées de référence : par exemple trois ans à compter du dernier contact pour un prospect, et la durée de la relation commerciale pour un client, avant un archivage limité aux obligations légales. Au-delà, les données doivent être supprimées ou anonymisées.
Quel forfait de diagnostic pour une TPE ou un indépendant ?
Un indépendant ou une micro-entreprise de moins de cinq traitements peut commencer par le Diagnostic Essentiel. Une TPE employeuse ou gérant plusieurs fichiers relève plutôt du Diagnostic Standard. Si vous traitez des données sensibles ou un volume important, le Diagnostic Approfondi, sur devis, est plus adapté. L'Audit RGPD Express offert vous aide à situer votre besoin.
Mettez votre activité en conformité
Commencez par l'Audit RGPD Express offert, ou commandez directement le diagnostic adapté à votre activité.