Une TPE est-elle vraiment concernée par le RGPD ?

Oui. Toute entreprise qui traite des données personnelles, même un fichier client Excel ou une simple newsletter, est soumise au RGPD. La taille de l'entreprise n'exempte pas, elle ajuste seulement les obligations (par exemple le registre simplifié).

Faut-il un DPO dans une PME ?

Le DPO n'est obligatoire que si l'activité principale implique un suivi régulier et systématique à grande échelle, ou le traitement de données sensibles à grande échelle. La plupart des TPE/PME peuvent désigner un référent interne ou un DPO mutualisé externe.

Quelles sont les premières actions à mettre en place ?

Tenir le registre des traitements, lister les sous-traitants, mettre à jour la politique de confidentialité du site, sécuriser les accès aux fichiers clients et former les salariés à la gestion des emails clients.

Pour TPE et PME

Audit RGPD pour TPE et PME

98% des TPE/PME françaises traitent des données personnelles, mais moins d'un tiers tiennent un registre des traitements. La CNIL contrôle de plus en plus les petites structures, notamment via les plaintes salariés et clients.

Lancer l'audit gratuit Calculer mon risque

Les 5 risques RGPD spécifiques aux TPE/PME

Registre des traitements absent. Obligatoire dès que vous traitez des données personnelles de manière régulière. La CNIL en demande systématiquement la production en cas de contrôle.
Politique de confidentialité copiée-collée. Une politique générique ne décrit pas vos vrais traitements et expose à une amende pour défaut d'information (art. 13 RGPD).
Sous-traitants sans DPA. Hébergeur, comptable, prestataire emailing, CRM : chacun doit signer un contrat conforme art. 28. Les modèles fournisseurs ne sont pas toujours suffisants.
Fichier clients en clair. Tableur partagé, Drive ouvert à tous, sauvegardes sans chiffrement : les manquements de sécurité représentent près de 40% des sanctions CNIL en TPE/PME.
Durée de conservation indéfinie. Conserver des prospects "au cas où" pendant 10 ans est un manquement classique. Définissez des durées précises et purgez automatiquement.

3 sanctions CNIL réelles dans le secteur PME

2024 — PME e-commerce 8 M€ CA
90 000 €

Cookies déposés avant consentement et registre incomplet, suite à une plainte d'utilisateur.

2023 — Cabinet de conseil 15 salariés
15 000 €

Vidéosurveillance excessive des salariés sans information préalable ni base légale.

2024 — Société de service B2B
40 000 €

Conservation indéfinie des CV de candidats non retenus et défaut de réponse à des demandes d'effacement.

Checklist conformité TPE/PME

Registre des traitements à jour, listant pour chaque traitement la finalité, les données, les durées et les destinataires.
Politique de confidentialité publiée et mise à jour, avec mentions art. 13.
Cookies du site web : bandeau conforme, refus aussi simple que l'acceptation, dépôt après consentement uniquement.
Liste des sous-traitants tenue à jour, avec DPA signés.
Procédure interne de gestion des demandes de droits (accès, effacement) avec délai de réponse 1 mois.
Procédure de notification de violation à la CNIL sous 72 h.
Sécurité : mots de passe forts, MFA sur outils critiques, chiffrement des sauvegardes.
Formation annuelle des salariés au RGPD (basique mais traçable).
Contrôle d'accès aux fichiers RH, séparation logique avec les fichiers commerciaux.
Mentions RGPD dans les contrats de travail et fiches de poste sensibles.

Évaluez votre conformité maintenant

Audit gratuit, 10-15 minutes, sans inscription. Score, risques, plan d'action.

Démarrer l'audit RGPD

Audit RGPD pour TPE et PME

Les 5 risques RGPD spécifiques aux TPE/PME

3 sanctions CNIL réelles dans le secteur PME

Checklist conformité TPE/PME

Évaluez votre conformité maintenant

Pour aller plus loin