Cybersecurite TPE
RGPD pour TPE : 5 actions concretes a faire cette semaine
Le RGPD concerne aussi les TPE. Voici 5 actions concretes et faisables cette semaine pour etre en conformite de base.
Le RGPD s'applique a toutes les entreprises qui traitent des donnees personnelles, quelle que soit leur taille. En TPE, ca veut dire : des que tu as un fichier client, une base email ou un formulaire de contact, tu es concerne.
La bonne nouvelle : la conformite de base ne demande pas un avocat. Elle demande 5 actions concretes.
Action 1 — Lister tes traitements de donnees
Quelles donnees personnelles collectes-tu, ou les stockes-tu, et pourquoi ?
Exemples courants en TPE :
- fichier clients (nom, email, telephone, adresse) ;
- liste de prospects ;
- formulaire de contact sur ton site ;
- base d'emailing ;
- contrats signes avec des donnees personnelles ;
- factures (nom, adresse, SIRET).
Cree un tableau simple :
| Donnee | Ou stockee | Pourquoi | Qui y a acces | Duree de conservation |
|---|---|---|---|---|
| Emails clients | Google Sheet | Suivi commercial | Moi seul | 3 ans apres dernier contact |
| Formulaire contact | devisignes.fr | Repondre aux demandes | Moi seul | 1 an |
Ce tableau s'appelle un "registre des traitements". La CNIL le recommande meme pour les TPE.
Action 2 — Mettre a jour ta politique de confidentialite
Si tu as un site web, tu dois avoir une page de politique de confidentialite. Elle doit expliquer :
- quelles donnees tu collectes ;
- pourquoi ;
- combien de temps tu les gardes ;
- les droits de la personne (acces, rectification, suppression) ;
- comment exercer ces droits (email de contact).
Pas besoin d'un texte juridique de 10 pages. Un texte clair de 1-2 pages suffit.
Action 3 — Verifier les consentements
Pour l'emailing : les personnes dans ta liste ont-elles donne leur accord explicite pour recevoir tes emails ? Si tu les as ajoutees sans consentement, tu es en infraction.
Pour les cookies : si ton site utilise des cookies non essentiels (analytics, publicite), tu dois demander le consentement avant de les activer. Un bandeau "en continuant vous acceptez" ne suffit pas — il faut un vrai choix (accepter / refuser).
Action 4 — Securiser les donnees
Le RGPD exige des "mesures techniques et organisationnelles appropriees". En TPE, ca veut dire :
- mots de passe uniques et gestionnaire (voir gestionnaire de mots de passe TPE) ;
- authentification multifacteur sur les services critiques ;
- sauvegardes regulieres ;
- chiffrement du disque ;
- suppression des acces des anciens collaborateurs.
Tout est dans la checklist cybersecurite TPE.
Action 5 — Prevoir la procedure en cas d'incident
Si tu subis une violation de donnees (vol de base client, piratage de compte), tu as 72 heures pour notifier la CNIL si l'incident presente un risque pour les personnes concernees.
Prepare maintenant :
- l'email de la CNIL pour les notifications (notifications@cnil.fr) ;
- un modele de message d'alerte pour tes clients ;
- la liste des services a verifier en priorite.
Tu n'auras pas le temps de chercher tout ca pendant l'incident.
Ce que le RGPD ne demande PAS a une TPE
- Un DPO (delegue a la protection des donnees) : pas obligatoire pour les TPE dont ce n'est pas l'activite principale.
- Une analyse d'impact : pas obligatoire sauf si tu traites des donnees sensibles a grande echelle.
- Un audit externe : recommande mais pas obligatoire.
CTA
Pour securiser les donnees de ta TPE, commence par la checklist cybersecurite TPE. Les 10 actions couvrent aussi les exigences techniques du RGPD.
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Pour le RGPD, verifie les sources officielles CNIL et demande un avis adapte si necessaire.