Guide complet · pillar

RGPD pour artisans et TPE : guide pratique 2026

Vous êtes artisan, soloproneur, libéral ou dirigeant de TPE. Vous entendez parler du RGPD depuis 2018, ça vous angoisse vaguement. Vous avez peut-être lu 3 articles incompréhensibles. Voici la version courte, pratique, sans jargon. Ce qu'il faut faire, ce qu'on peut ignorer, et où ça coûte.

Mise à jour : mai 2026 · Par Mehdi Rahmani

Le RGPD en 30 secondes

Si vous collectez la moindre donnée personnelle (un email, un nom, un téléphone, une adresse IP), vous tombez sous le RGPD. Vos obligations principales :

Dire ce que vous collectez, pourquoi, combien de temps (politique de confidentialité)
Permettre l'accès / suppression sur demande des personnes concernées
Stocker correctement (mot de passe, sauvegarde, accès limité)
Prévenir la CNIL sous 72h en cas de fuite

C'est tout. Le reste, c'est de l'opérationnel.

Pour qui ce guide ?

Ce guide est pour vous si :

Vous êtes soloproneur, artisan, profession libérale, dirigeant TPE
Vous avez un site web (vitrine, e-commerce, plateforme) qui collecte des données (formulaire contact, newsletter, comptes clients)
Vous n'avez pas le budget d'un avocat RGPD à 200 €/h ni d'un cabinet de conseil à 5 000 €
Vous voulez être en conformité raisonnable, pas exemplaire

Ce guide n'est pas pour vous si :

Vous traitez des données sensibles à grande échelle (santé, finance, mineurs)
Vous avez une obligation réglementaire spécifique (assureur cyber, certification sectorielle)
Vous êtes une ETI ou grand groupe (consultez un avocat ou un DPO externe)

Le minimum syndical RGPD pour TPE

Voici ce qu'il faut mettre en place. Comptez 2-3 heures total pour les 5 actions ci-dessous. Détail dans l'article :

📖 RGPD pour artisans et TPE : le minimum à mettre, ce qu'on peut sauter

Action 1 — Mentions légales (obligatoire, 30 min)
Action 2 — Politique de confidentialité (obligatoire si vous collectez, 30 min)
Action 3 — Bandeau cookies (obligatoire SI vous trackez, 1h)
Action 4 — Mention RGPD sur les formulaires (obligatoire, 5 min/formulaire)
Action 5 — Registre des traitements (obligatoire, 30 min, document interne)

Ce qu'on peut tranquillement sauter

Beaucoup de cabinets vous vendront ces "obligations". Ce ne sont PAS obligatoires pour une TPE classique :

Embaucher ou nommer un DPO (Délégué à la Protection des Données)
Faire une analyse d'impact (PIA) sur chaque traitement
Audit annuel par un cabinet à 2 000-5 000 €
Certification ISO 27701

Détail dans l'article ci-dessus.

Les outils gratuits qu'on recommande

Tarteaucitron (français, gratuit, recommandé CNIL) — gestionnaire de cookies open source
CookieYes (gratuit jusqu'à 25k pages vues/mois) — bandeau cookies plus moderne
Modèles CNIL sur cnil.fr — registre des traitements, modèle politique de confidentialité
LegalPlace, Captain Contrat, Bonjour-Idée — générateurs gratuits de mentions légales et CGV (versions de base)
Brevo (ex-Sendinblue), Mailerlite — gestionnaires de newsletters avec double opt-in natif

Le RGPD est aussi une question de sécurité technique

Beaucoup oublient que le RGPD impose une "obligation de sécurité" sur les données personnelles. Concrètement :

Mots de passe robustes sur les comptes admin de votre site
HTTPS obligatoire dès qu'il y a un formulaire
Sauvegardes régulières testées
Accès limité aux données sensibles (pas tout le monde dans l'équipe a accès au fichier client)
Pas de données stockées sur des serveurs hors UE sans encadrement

Si vous voulez vérifier ces points en plus du RGPD documentaire, voir notre guide complet sécurité site web TPE.

En cas de contrôle CNIL

Le scénario typique pour une TPE :

Demande écrite de la CNIL : "Pouvez-vous nous fournir vos mentions légales, votre politique RGPD, votre registre des traitements ?"
Si tout est en place → ça s'arrête là, pas d'amende
Si quelque chose manque → mise en demeure : 1-3 mois pour corriger. Si vous corrigez, ça s'arrête
Si vous ne corrigez pas → sanction : avertissement public, parfois amende symbolique 1 000-5 000 €

Les amendes lourdes (50 000 € et +) sont rarissimes pour les TPE. Elles concernent surtout les manquements répétés, volontaires, ou les secteurs sensibles.

Si une fuite arrive

Vous découvrez qu'une base email a été compromise, ou qu'un fichier client a fuité. Procédure :

Sous 72h : déclaration en ligne sur cnil.fr (formulaire dédié, gratuit)
Si risque élevé pour les personnes : information directe des personnes concernées (email)
Documenter : nature de la faille, données impactées, actions correctives

La déclaration en elle-même ne déclenche pas automatiquement une enquête. La CNIL accompagne plutôt qu'elle ne sanctionne, surtout si vous montrez bonne foi et action rapide.

Voir : Coût d'un piratage pour une TPE pour le détail des conséquences financières.

Si vous voulez qu'on vérifie votre conformité RGPD

L'offre Veille à 49 €/mois inclut l'audit RGPD du site mensuel : on regarde votre bandeau cookies, vos mentions légales, vos formulaires, vos sous-domaines. Si on trouve un manquement, on vous le dit en français normal avec ce qu'il faut corriger.

Voir l'offre Veille · 49 €/mois Faire d'abord la check-list gratuite

Tous les articles RGPD

RGPD pour artisans et TPE : le minimum à mettre, ce qu'on peut sauter
Le minimum syndical : sécuriser votre site en 30 min, gratuitement (inclut bandeau cookies + mentions légales)
Combien coûte un piratage TPE (inclut sanction CNIL)

Une question RGPD ? Écrivez à bonjour@kalisecu.fr. On répond personnellement, en français, sous 48h ouvrées.

Mis à jour le 4 mai 2026 — Guide maintenu en continu