Cybersecurite TPE
RGPD en TPE : checklist de conformite minimale sans jargon
Le RGPD peut sembler disproportionne pour une TPE. Pourtant, les bases sont tres concretes : savoir quelles donnees personnelles tu collectes, pourquoi, ou elles sont stockees, qui y accede, combien de temps tu les gardes et comment tu reagis en cas de probleme. Cette checklist ne remplace pas un accompagnement juridique. Elle sert a poser un socle operationnel pour eviter le flou : fichiers clients disperses, formulaires sans information, anciens prospects conserves sans limite, acces prestataires non controles.
Le RGPD peut sembler disproportionne pour une TPE. Pourtant, les bases sont tres concretes : savoir quelles donnees personnelles tu collectes, pourquoi, ou elles sont stockees, qui y accede, combien de temps tu les gardes et comment tu reagis en cas de probleme. Cette checklist ne remplace pas un accompagnement juridique. Elle sert a poser un socle operationnel pour eviter le flou : fichiers clients disperses, formulaires sans information, anciens prospects conserves sans limite, acces prestataires non controles.
1. Cartographie simple des donnees
Liste les endroits ou des donnees personnelles existent : CRM, logiciel de facturation, boite mail, agenda, formulaire de contact, newsletter, outil support, Drive, tableurs, outil de paiement. Pour chaque endroit, note le type de donnees : nom, email, telephone, adresse, fonction, historique client, donnees de paiement, documents contractuels. Ne cherche pas la perfection au premier passage. L objectif est d obtenir une vue utile. Une TPE decouvre souvent des fichiers oublies : ancien export prospect, liste evenement, tableur partage, dossier candidat. Ces fichiers doivent etre justifies, nettoyes ou supprimes.
- Outil ou dossier.
- Type de donnees.
- Finalite.
- Personnes ayant acces.
- Duree de conservation.
2. Finalite et information
Pour chaque collecte, ecris pourquoi tu collectes la donnee. Exemple : repondre a une demande de contact, etablir un devis, facturer, gerer une relation client, envoyer une newsletter a des abonnes. Une donnee sans finalite claire doit etre questionnee. Informe les personnes de facon simple. Sur un formulaire, indique l usage des donnees, le responsable, les droits, la duree indicative et un contact. Dans une proposition ou un contrat, renvoie vers ta politique de confidentialite si elle existe.
3. Droits des personnes
Une personne peut demander l acces, la rectification, l effacement dans certains cas, l opposition ou la limitation. Pour une TPE, la bonne pratique est d avoir une adresse de contact et une procedure simple pour repondre sans improviser. Prepare un modele interne : date de demande, identite, donnees concernees, action prise, date de reponse. Ne laisse pas ces demandes se perdre dans une boite mail. Meme si elles sont rares, elles doivent etre traitables.
4. Conservation et nettoyage
Le RGPD pousse a ne pas garder indefiniment. Definis des durees simples : prospects non actifs, clients actifs, anciens clients, factures, candidatures, inscriptions newsletter. Les obligations comptables peuvent imposer des durees longues pour certaines pieces, mais cela ne justifie pas de tout garder partout. Une fois par trimestre, supprime ou archive ce qui n a plus de raison d etre dans les espaces actifs. Nettoie les exports, anciens fichiers et listes non utilisees. Le menage de donnees est aussi une mesure de securite.
- Prospects inactifs.
- Anciens exports.
- Acces prestataires.
- Documents candidats.
- Listes marketing sans consentement clair.
5. Incident et violation de donnees
Un incident RGPD peut etre une fuite, une perte, un acces non autorise, un envoi au mauvais destinataire ou un compte compromis. La question n est pas seulement technique. Il faut evaluer quelles donnees sont concernees, combien de personnes, quel risque, et quelles actions sont prises. Prepare une fiche incident : date, description, donnees concernees, cause probable, mesures immediates, personnes informees, decision sur notification. La CNIL propose des ressources pour comprendre les obligations de notification selon les cas.
Controle de fin de mois
A la fin du mois, reprends le sujet en dix minutes. Verifie ce qui a ete applique, ce qui reste bloque, qui est responsable et quelle decision doit etre prise. Une mesure cyber non suivie finit souvent par disparaitre dans le quotidien. Le controle mensuel sert a garder une trace simple : fait, a faire, bloque, inutile.
Note aussi les exceptions. Si une personne ne peut pas appliquer une regle, documente pourquoi et fixe une date de correction. Une exception temporaire peut etre acceptable. Une exception oubliee devient une faiblesse durable.
Exemple concret
Une TPE de conseil collecte des donnees via un formulaire de contact, un outil de newsletter, un CRM, un logiciel de facturation et des dossiers clients dans le cloud. Le dirigeant commence par remplir un tableau simple : outil, donnees, finalite, base de conservation, personnes ayant acces, duree. Il decouvre alors un ancien fichier de prospects issu d un salon, jamais utilise depuis deux ans. Ce fichier n a plus de finalite claire : il doit etre supprime ou justifie autrement.
Le meme exercice montre que trois prestataires ont encore acces au Drive alors que deux missions sont terminees. La correction RGPD rejoint donc la securite : retirer les acces inutiles, limiter les exports et documenter les usages.
Erreurs a eviter
Ne copie pas une politique de confidentialite generique sans regarder tes vrais outils. Le RGPD porte sur tes traitements reels, pas sur un texte de facade. Ne promets pas non plus des durees de conservation que tu ne respectes pas. Si tu ecris que les prospects sont supprimes apres trois ans, prevois une routine pour le faire.
Evite de melanger toutes les donnees dans les memes dossiers. Les factures, les prospects, les candidatures et les dossiers clients n ont pas les memes finalites ni les memes durees. Un classement simple facilite la suppression et la reponse aux demandes.
Plan 30 minutes
Liste tes cinq principaux outils. Pour chacun, note les donnees personnelles et les personnes qui y accedent. Choisis ensuite une action immediate : supprimer un ancien export, retirer un prestataire, ajouter une mention sur un formulaire ou creer une adresse de contact. Le RGPD avance mieux par petites corrections tenues que par gros chantier reporte.
Indicateurs a suivre
Garde quelques indicateurs simples : nombre d outils contenant des donnees personnelles, date du dernier nettoyage des exports, nombre de prestataires ayant acces aux dossiers, demandes de droits recues, incidents ou erreurs d envoi. Ces indicateurs ne sont pas la conformite a eux seuls, mais ils obligent a regarder le sujet regulierement. Une TPE conforme sur le papier mais incapable de savoir ou sont ses donnees reste fragile.
Ajoute enfin une date de prochaine revue. Sans date, le nettoyage RGPD reste une bonne intention. Avec une date, tu peux verifier les formulaires, les acces, les exports et les anciennes listes avant qu ils ne deviennent trop difficiles a reprendre. Cette discipline simple rend le sujet moins abstrait pour une petite equipe.
FAQ
Une TPE doit-elle avoir un registre ?
Selon les traitements, tenir une cartographie ou un registre simplifie est une bonne pratique et parfois necessaire. La CNIL propose des ressources adaptees.
Dois-je supprimer tous les anciens clients ?
Non. Certaines donnees doivent etre conservees pour des raisons comptables ou contractuelles. Le point est de definir quoi garder, ou et combien de temps.
Le RGPD concerne-t-il les donnees B2B ?
Oui si les donnees identifient une personne physique, par exemple un contact professionnel nominatifs avec email direct.
CTA Devisignes
Pour mettre ces controles en place sans repartir de zero, utilise la checklist cyber TPE. Elle sert a suivre les comptes, les sauvegardes, les mises a jour et les actions prioritaires sans transformer la securite en projet interminable.
Sources
- https://www.cnil.fr/fr/rgpd-par-ou-commencer
- https://www.cnil.fr/fr/les-bons-reflexes-pour-proteger-les-donnees-personnelles
- https://www.cnil.fr/fr/violations-de-donnees-personnelles
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.