RGPD pour artisans et TPE : le minimum à mettre, ce qu'on peut sauter

Le RGPD en 3 phrases

1. Toute donnée personnelle que vous collectez (email, nom, téléphone, adresse IP, etc.) doit être collectée pour une raison claire et stockée correctement.
2. Les personnes ont le droit de savoir ce que vous collectez, demander une copie, et demander suppression.
3. En cas de fuite, vous devez prévenir la CNIL sous 72h.

C'est tout. Le reste, c'est de l'opérationnel.

Le minimum syndical sur votre site

Action 1 — Page mentions légales (obligatoire, 30 min)

Toute entreprise française avec un site web doit afficher des mentions légales. Le minimum :

• Identité de l'éditeur : nom, raison sociale, SIREN
• Adresse du siège
• Email de contact
• Hébergeur (nom, adresse, téléphone)
• Directeur de la publication (en général le dirigeant)

Outils gratuits pour générer une base : tapez "générateur mentions légales" dans Google. Captain Contrat, LegalPlace, ou même un modèle CNIL — peu importe, ce qui compte c'est qu'elles soient là et exactes.

Action 2 — Politique de confidentialité (obligatoire si vous collectez quoi que ce soit, 30 min)

Si vous avez ne serait-ce qu'un formulaire de contact, vous devez avoir une page "Politique de confidentialité" qui dit :

• Qui collecte les données (vous, en tant que responsable de traitement)
• Quelles données (nom, email, téléphone, message, etc.)
• Pourquoi (répondre à la demande, prospect, facturation...)
• Combien de temps elles sont gardées (3 ans pour les prospects, durée du contrat + 5 ans pour les clients)
• Les droits des personnes (accès, rectification, effacement, opposition)
• Comment les exercer (votre email)

Pareil, modèles gratuits partout. La CNIL fournit elle-même des modèles sur son site.

Action 3 — Bandeau cookies (obligatoire SI vous utilisez des trackers, 1h)

Si vous utilisez Google Analytics, Facebook Pixel, ou n'importe quel outil qui dépose un cookie de tracking, vous devez afficher un bandeau cookies conforme. Pas un simple "OK" : un bandeau avec choix Accepter / Refuser / Personnaliser qui doit être visible avant tout dépôt de cookie.

• WordPress : plugins gratuits CookieYes, Complianz, ou Tarteaucitron (français, gratuit, recommandé par la CNIL)
• Shopify : built-in dans Paramètres → Préférences → RGPD
• Wix / Squarespace : intégré dans les Paramètres

Si vous n'utilisez aucun tracking (pas de Google Analytics, pas de pixels), vous n'avez pas besoin de bandeau. Mentionnez-le simplement dans votre politique de confidentialité : "Ce site n'utilise aucun cookie de mesure d'audience ou de tracking tiers."

Action 4 — Mention sur vos formulaires (obligatoire, 5 min par formulaire)

Tout formulaire qui collecte une donnée personnelle doit afficher, près du bouton submit :

"Les informations recueillies sur ce formulaire sont enregistrées par [Votre Société] pour [traiter votre demande / répondre à vos questions]. Elles sont conservées [3 ans] et destinées à [vous-même]. Vous pouvez accéder, rectifier ou supprimer vos données en écrivant à [votre email]."

Une seule ligne suffit, en italique sous le formulaire. C'est le manquement le plus fréquent et l'un des plus simples à corriger.

Action 5 — Registre des traitements (obligatoire, 30 min, à conserver)

Toute entreprise (y compris TPE) doit tenir un registre des traitements. C'est simplement un tableau qui liste :

• Le nom du traitement (ex : "Formulaire de contact site web")
• Sa finalité (ex : "Répondre aux demandes de devis")
• Les données collectées (ex : "Nom, email, téléphone, message")
• La durée de conservation (ex : "3 ans")
• Les destinataires (ex : "Moi-même uniquement")

Modèle gratuit téléchargeable sur le site CNIL. Pour un soloproneur, vous aurez probablement 3-5 lignes : formulaire contact, newsletter, factures clients, fichier prospects, et c'est tout.

Vous ne le publiez pas sur le site — c'est un document interne que vous présentez en cas de contrôle CNIL.

Ce qu'on peut tranquillement sauter (pour une TPE)

Le DPO (Délégué à la Protection des Données)

Pas obligatoire pour les TPE classiques. Le DPO est obligatoire uniquement pour : organismes publics, entreprises traitant des données sensibles à grande échelle (santé, biométrie...), ou faisant de la surveillance systématique. Un artisan, soloproneur, ou TPE qui collecte juste des emails prospects → pas besoin.

L'analyse d'impact (PIA)

Pas obligatoire pour les TPE classiques. Une PIA (Privacy Impact Assessment) est obligatoire pour les traitements à risque élevé. Si vous traitez des données sensibles à grande échelle, oui. Sinon, non.

L'audit RGPD annuel par un cabinet

Pas obligatoire. Beaucoup de cabinets de conseil RGPD vous démarchent pour vendre un audit à 2 000-5 000 €. Pour une TPE basique, c'est surdimensionné. La déclaration de conformité simplifiée CNIL (gratuite, en ligne) suffit.

Les certifications type ISO 27701

Pas obligatoire. Les certifications RGPD sont utiles pour les entreprises qui veulent s'afficher comme exemplaires (B2B, vente à grands comptes). Pour une TPE classique, pas de besoin.

Cas particuliers à connaître

Vous vendez à des particuliers (B2C)

Ajoutez les CGV (Conditions Générales de Vente). Obligation séparée du RGPD mais vérifiée en parallèle. Modèles gratuits sur CCI, LegalPlace, etc.

Vous faites de la prospection email (newsletter, mailings)

Le consentement explicite est obligatoire. Pas de case pré-cochée. Brevo (ex-Sendinblue), Mailerlite, ou Mailchimp gèrent le double opt-in nativement — utilisez-les plutôt que de gérer la liste à la main.

Vous gérez des données sensibles (santé, opinions politiques, religion, données biométriques)

Là, on sort du cadre TPE classique. Consultez un avocat spécialisé. Mais 99 % des artisans ne sont pas concernés.

Vous avez un site multilingue avec des clients hors UE

Si vous traitez des données de personnes en UE, le RGPD s'applique même si vous êtes basé hors UE. Si vous êtes en France et que vos clients sont hors UE, le droit local du client peut aussi s'appliquer (CCPA en Californie, par exemple). Cas rare pour une TPE.

En cas de contrôle CNIL — que se passe-t-il vraiment ?

Le contrôle CNIL peut arriver de 3 manières :

1. Plainte d'un client : le plus fréquent. Quelqu'un n'est pas content de la façon dont vous traitez ses données.
2. Contrôle thématique : la CNIL choisit chaque année des thèmes (cookies, santé, recrutement...) et contrôle des entreprises au hasard dans ces secteurs.
3. Suite à un piratage que vous avez déclaré (obligatoire sous 72h) : la CNIL peut auditer votre conformité antérieure.

Pour une TPE, le scénario typique :

1. Demande écrite : "Pouvez-vous nous fournir vos mentions légales, votre politique RGPD, votre registre des traitements ?"
2. Si tout est en place, ça s'arrête là. Pas d'amende, pas de visite.
3. Si quelque chose manque, mise en demeure : vous avez 1-3 mois pour corriger. Si vous corrigez, ça s'arrête.
4. Si vous ne corrigez pas, ou si la situation est grave (volume, sensibilité), sanction : avertissement public, parfois amende.

L'amende moyenne pour une TPE est entre 1 000 et 5 000 €. Pas la fin du monde, mais évitable avec 2-3h de mise en place initiale.

Questions fréquentes

Ai-je vraiment besoin d'un DPO si je suis artisan seul ?

Non. Un DPO est obligatoire uniquement pour les organismes publics, les entreprises traitant des données sensibles à grande échelle, ou faisant de la surveillance régulière. Un artisan, soloproneur ou TPE classique n'a pas cette obligation.

Combien risque-t-on en cas de contrôle CNIL pour une TPE ?

Pour une TPE de bonne foi, la CNIL est généralement dans une logique d'accompagnement : avertissement public, mise en demeure, parfois une amende symbolique de 1 000-5 000 €. Les amendes lourdes (> 50 000 €) sont rarissimes pour les TPE.

Mon site est juste une vitrine, est-ce que j'ai des obligations RGPD ?

Oui, dès que vous collectez la moindre donnée : formulaire de contact, newsletter, commentaires de blog. Même un simple email collecté est une donnée personnelle. Le minimum : mentions légales + politique de confidentialité + bandeau cookies si analytics.

Ma plateforme (Wix, Shopify, Squarespace) gère-t-elle le RGPD pour moi ?

Partiellement. Les plateformes fournissent les outils techniques (bandeau cookies, modèles de mentions). Mais c'est à vous de remplir les modèles avec votre identité, vos finalités, vos durées. La conformité reste votre responsabilité.

Combien de temps dois-je conserver les emails de prospects ?

3 ans à compter du dernier contact. Au-delà, vous devez supprimer ou anonymiser. Pour les clients actifs, conservation pendant la relation contractuelle + 5 ans pour la facturation.

Dois-je tenir un registre des traitements ?

Oui, c'est obligatoire pour toutes les entreprises, y compris TPE. Mais c'est un simple tableau Excel/Google Sheets qui liste vos traitements. La CNIL fournit un modèle gratuit. Comptez 30 minutes pour le faire.

Une question ? Écrivez à bonjour@kalisecu.fr.