TPE PME : comment gérer les données personnelles, conformément au RGPD ?

Dossier | Publié le 23 mars 2021 | Mis à jour le 17 octobre 2024

Le Règlement général sur la protection des données (RGPD) a renforcé les droits des personnes sur leurs données personnelles : droit d’information, de rectification, d’effacement, d’accès, de portabilité et en consacré de nouveaux tels que les droits à la limitation du traitement, le droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage, le droit à la portabilité. Quels sont ces droits ? Comment les faire respecter ? Quelques éléments de réponses.

Photo illustrative
Mohamed Hassan - Pixabay License

A noter : les textes juridiques ont pu faire l’objet de modifications postérieurement à la publication de cet article [mis à jour le 1er décembre 2022]. C’est pourquoi, nous vous conseillons de regarder la date de la publication et de vérifier si les informations qui figurent dans l’article sont toujours d’actualité.

Pourquoi l’entreprise doit-elle se mettre en conformité avec le RGPD ?

Le Règlement européen sur la protection des données personnelles (RGPD) s’applique depuis 2018 à l’ensemble des entreprises, quelle que soit leur taille, dès lors qu’elles « traitent » (collectent, enregistrent, conservent...) des données personnelles.

Néanmoins, les obligations sont généralement moindres pour les plus petites entreprises, sous réserve que les traitements de données mis en œuvre ne constituent pas un volet de leur activité.

Le RGPD s’applique indépendamment du  mode de traitement mis en œuvre (fichier tenu manuellement ou automatisé). Tout dépend de la façon dont les données sont traitées et des objectifs poursuivis.

Le RGPD concerne notamment la relation de l’entreprise :

  • avec ses salariés et candidats à l’embauche (ex : données RH, badgeage...) ;
  • avec ses clients et prospects (ex : coordonnées, préférences, historiques d’achats, cartes de fidélité...) ;
  • avec ses sous-traitants  et fournisseurs (exemple : hébergeur, éditeur de logiciel...).

Quels sont les avantages du RGPD pour votre entreprise ?

Au-delà de la contrainte juridique, le RGPD constitue une opportunité pour votre entreprise sur le plan économique. Mieux gérer les données personnelles est une démarche vertueuse qui contribue, selon une étude de la Cnil, à :

  • améliorer la perception de l'entreprise vis-à-vis des tiers (clients , fournisseurs et partenaires) : la conformité est un argument commercial ;
  • améliorer l'expérience client et la confiance des clients : amélioration globale de l’expérience client avec à la clef moins de réclamations ;
  • favoriser un meilleur ciblage du marketing et de la communication et du marketing en direction des clients (et donc une plus grande efficacité) ;
  • renforcer la sécurité des systèmes d’information par la prise en compte de la sécurité des données personnelles ;
  •  améliorer la gestion des processus métiers, la conception des solutions numériques, 
  • favoriser le numérique durable par une réduction de la masse des données traitées ;

C'est pourquoi, la conformité RGPD est aussi une opportunité de communiquer vers l’extérieur (clients, partenaires, écosystème) pour valoriser son entreprise

Les 6 étapes pour respecter les droits des utilisateurs issus du RGPD ?

Afin de respecter les droits des utilisateurs, l’entreprise doit suivre une procédure bien précise prévue par le RGPD. De manière générale, l’entreprise devra :

1 - Prévoir l’exercice des droits des utilisateurs dans son organisation interne

L’entreprise doit être en mesure de répondre techniquement aux demandes des utilisateurs dans les meilleurs délais (pouvoir envoyer des listes de données, retrouver les données pointées par l’utilisateur s’il demande à les rectifier ou effacer…). Pour cela, elle doit avant même de commencer les traitements de données construire un registre des traitements.

Le registre des traitements doit permettre d’identifier avec précision :

  • les parties prenantes intervenant dans le traitement des données ;
  • les catégories de données traitées ;
  • à quoi servent ces données ;
  • qui y accède et à qui elles sont communiquées ;
  • combien de temps elles sont conservées ;
  • comment elles sont sécurisées.

L’obligation de ternir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Les entreprises de moins de 250 salariés bénéficient toutefois de quelques dérogations. La tenue de registre de traitements, bien qu’obligatoire, est plus légère et moins exigeante et porte en particulier sur les traitements suivants :

  • les traitements occasionnels (gestion des clients, gestion de la paie, …) ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance …) ;
  • les traitements portant sur les données sensibles (données de santé, infractions…).

La mise en place d’un registre constitue aussi un outil d’aide à la gestion des données. Bien géré, c’est un outil d’aide à la décision qui participe à la valorisation de l’entreprise.

Dans tous les cas, la mise en place d’un registre des traitements de données, en amont de la conception de vos outils, est essentielle. L’intégration des fonctionnalités prévues par le RGPD au cahier des charges de votre futur outil garantira le respect des droits des utilisateurs (et de la loi !) et vous prémunira de difficultés a posteriori.

Pour en savoir plus :

2 - Désigner la personne responsable de la gestion des demandes relatives aux données personnelles sur le site de l’entreprise

Certains cas d’utilisations de données personnelles (Cnil.fr) exigent d’indiquer les coordonnées du Délégué à la protection des données (DPO) que vous aurez dû désigner.

Dans d’autres cas il s’agit du responsable de traitement, c’est-à-dire de la personne que vous désignez comme responsable de la gestion des affaires en rapport avec les données personnelles.

Pour en savoir plus :

3 - Indiquer les coordonnées de la personne responsable de façon claire et accessible à tous les utilisateurs

Ces informations doivent figurer dans l’onglet « mentions légales » ou « politique de confidentialité ». Cette exigence fait partie de l’obligation d’information que vous devez respecter vis-à-vis des utilisateurs.

Pour en savoir plus :

4 - Donner la possibilité à l’utilisateur de déposer simplement sa demande d’exercice d’un ou de plusieurs de ses droits sur ses données

L’entreprise peut prévoir sur son site un formulaire de demande ou donner une adresse postale. Généralement, les entreprises créent une adresse mail spécifique à toute demande portant sur les données personnelles.

Dans le cas du droit de la portabilité des données,  si le site internet est doté d’un espace client, il est préférable de créer un bouton de téléchargement de ces données.

5 - L’entreprise doit satisfaire à la demande de l’utilisateur

La réponse à l’utilisateur doit être faite dans les meilleurs délais. Quel que soit le délai applicable au cas d’espèce, il est primordial de tenir informée la personne concernée des démarches mises en œuvre et ce, dans un délai d’un mois maximum. Quant au délai de traitement et de réponse, l’entreprise dispose :

  • d’un mois maximum si la demande est simple ;
  • de 8 jours maximum si la demande est particulière (santé) ;
  • de 3 mois maximum si la demande est complexe.

Le terme « réponse » se comprend à la fois comme la réponse faite à l’utilisateur mais également la satisfaction de sa demande par des actes qui varient selon le droit exercé (envoie des données demandées, suppression ou rectification de données…).

A noter : par principe aucun paiement ne peut être exigé pour répondre aux demandes des utilisateurs qui veulent exercer leurs droits. Par exception, il est possible de demander des « frais raisonnables basés sur les coûts administratifs supportés » si les demandes sont excessives ou infondées notamment par leur
caractère répétitif. Il conviendra toutefois de justifier cette décision.

6 - S’il y a un retard dans la réponse, il est nécessaire d’informer la personne concernée

Un utilisateur qui n’obtient pas de réponse ou une réponse incomplète peut déposer une plainte à la CNIL. Toutefois, l’entreprise peut également refuser de donner suite à la demande dans des conditions précises et doit les indiquer à l’utilisateur.

C’est pourquoi, il est important de garder une trace matérielle de ces échanges avec les utilisateurs. En cas de contentieux ou contrôle de la CNIL, l’entreprise qui traite des données personnelles pourrait être dans l’obligation de prouver qu’elle a effectivement répondu aux demandes adressées.

Connaître la base légale du traitement de données personnelles

A noter que les droits des utilisateurs varient selon la base légale de traitement des données. Il faut donc distinguer les différents traitements de données que vous effectuez selon leur base légale.

Le consentement

Dans la plupart des cas, le traitement de données personnelles aura pour fondement le consentement des utilisateurs. Il s’agit par exemple des cas où vous récoltez des données via des cookies sur l’identité des utilisateurs ou sur leurs préférences, afin de mieux connaître vos potentiels clients ou dans le cas de prospections commerciales. Dans tous les cas, le consentement de l’utilisateur doit être libre, spécifique, éclairé, équivoque et conforme au RGPD.

A noter que dans le cas où le traitement a pour fondement le consentement de l’utilisateur, ce dernier doit être en mesure de pouvoir le retirer à tout moment et de manière simple. Il est donc nécessaire de l’en informer au préalable et de lui donner la possibilité de le faire.

Par exemple, si un utilisateur donne son consentement pour l’utilisation de cookies de personnalisation, il peut retirer ce consentement. L’entreprise devra cesser les activités de traitement en question et supprimer les données collectées, si leur traitement n’est pas justifié par une autre base légale.

Des relations entre entreprises (B2B) affranchies du consentement explicite

S’il est nécessaire d’obtenir le consentement des particuliers pour avoir le droit de leur envoyer des emails commerciaux, cela n’est pas le cas dans les relations BtoB.

À l’inverse, le consentement est implicite : vous pouvez utiliser votre fichier prospects et clients pour envoyer des emails commerciaux sans autorisation du destinataire.

Il vous faut cependant l’informer de l’usage commercial qui sera fait de ses coordonnées et de la durée de conservation des données que vous avez collectées à son sujet (réponses données à un formulaire, par exemple).

En savoir plus :

RGPD en pratique : maîtrisez votre relation client

Démarchage B2B et RGPD : fiche pratique pour être en conformité

Comment rendre le fichier client conforme au RGPD ? Mode d’emploi

Le contrat

Il est également possible que votre traitement soit nécessaire à l’exécution ou à la préparation d’un contrat. Dans ce cas, la personne dont vous traitez les données est votre cocontractant.

C’est par exemple le cas si vous êtes une entreprise de e-commerce. Un client procède à des achats en ligne, paie par carte bancaire et souhaite se faire livrer les produits qu’il a achetés. Vous recevez donc des données personnelles relatives à son identité, son adresse de livraison, mais aussi des données bancaires et des informations sur ses achats. Le traitement de ces données vise uniquement l’exécution du contrat de vente conclu avec la personne concernée et a pour base légale le contrat.

Les autres bases légales

Dans d’autres cas, la base légale d’un traitement peut également être : l’obligation légale, la mission d’intérêt public, l’intérêt légitime ou encore la sauvegarde des intérêts vitaux.

Pour plus d’informations, vous pouvez consulter les ressources de la CNIL :

Respecter les règles spécifiques relatives à chacun des droits des utilisateurs

Voici quelques règles spécifiques relatives à chacun des droits des utilisateurs :

Droit d’information

Les utilisateurs doivent recevoir un certain nombre d’informations. Ces informations doivent être accessibles et font parties des mentions légales qui sont obligatoirement présentes sur votre site internet. Les informations doivent également être concises et lisibles afin qu’elles puissent être comprises par tous.

Le site internet doit fournir l’ensemble des informations relatives au traitement des données personnelles :

  • les données collectées ;
  • la base légale ;
  • les finalités de la collecte ;
  • l’existence ou non de transferts de données ;
  • les destinataires des données.

L’utilisateur doit être correctement informé des droits qu’il a sur ses données. Comme expliqué ci-dessus, l’entreprise doit lui permettre d’exercer ces droits en désignant la personne qui s’occupe des demandes liées à la protection des données (généralement le responsable de traitement ou le DPO de l’entreprise) et en indiquant la manière dont il est possible de la contacter.

Pour en savoir plus :

Droit d’accès aux données

Le droit d’accès est le droit de l’utilisateur de demander à l’entreprise de lui faire communication, dans un format compréhensible, de l’ensemble des données qu’elle a collecté sur lui.

Exercer ce droit permet à l’utilisateur de savoir quelles données personnelles sont traitées par l’entreprise, de quelle manière, et d’en contrôler l’exactitude. Si besoin, il pourra les rectifier ou demander à ce que l’entreprise les efface.

Les données concernées

Lorsqu’une demande de droit d’accès est formulée, l’entreprise envoie les données personnelles de la personne qui les demande, ainsi que les informations suivantes :

  • les finalités du traitement ;
  • les catégories de données concernées ;
  • les destinataires ou catégories de destinataires des données ;
  • la durée de conservation des données, lorsque cela est possible ;
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données, mais aussi une limitation ou l’opposition au traitement ;
  • la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ;
  • l’existence ou non d’une prise de décision automatisée (profilage) ;
  • l’existence ou non d’un transfert hors UE et les garanties apportées.

Pour plus d’informations :

Droit de rectification

Un utilisateur peut demander la rectification des informations inexactes ou incomplètes.

Cette demande de rectification peut intervenir par exemple quand l’utilisateur se rend compte d’une erreur lorsqu’il a transmis ses données à l’entreprise, ou à la suite de l’exercice de son droit d’accès.

Le responsable de traitement doit notifier à chaque destinataire auquel les données personnelles ont été communiquées toute rectification des données.

Pour plus d’informations :

Droit de portabilité

Le droit de la portabilité est le droit des utilisateurs de récupérer une partie de ses données dans un format lisible par une machine, et de les réutiliser à d’autres fins.

La portabilité permet aux utilisateurs de réutiliser des données qu’ils ont déjà fournis à un opérateur/ une entreprise généralement pour les transmettre à un autre organisme. Cela lui évite de redonner toutes les informations à nouveau. L’utilisateur peut également demander ces données pour un usage strictement personnel.

Quelles données sont concernées ?

L’exercice de ce droit porte uniquement sur les données dont la base légale est le consentement ou le contrat. Il peut s’agir des données qu’un utilisateur a transmis (coordonnées…), mais également des données issues de son activité (historique d’achat, préférences et personnalisation de services…).

En revanche, la portabilité ne s’applique pas aux données dont le traitement se fonde sur une autre base légale.

Quel format de données ?

Les données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ». Donc, il s’agit d’un format lisible, de préférence ouvert et interopérable (qui peut être lu par un autre système). Il s’agit par exemple des formats JSON (.json) ou CSV (.csv).

Pour plus d’informations :

Droit d’opposition au traitement de données

Le droit d’opposition permet aux personnes concernées de s’opposer à un traitement précis de données personnelles.

A noter : c’est un droit qui peut être difficile à exercer par les utilisateurs car il ne s’applique pas à toutes les données personnelles collectées par l’entreprise et doit être justifié par des raisons « tenant à sa situation particulière », sauf lorsque celui-ci porte sur de la prospection commerciale.

Quelles données sont concernées ?

Le droit d’opposition ne peut pas être exercé pour tous les traitements de données personnelles. La demande d’opposition concerne généralement la prospection commerciale.

Dans les cas où les données collectées ont pour base légale consentement, l’utilisateur doit retirer son consentement pour le traitement en cause et non s’opposer au traitement des données.

Vous pouvez refuser une demande d’opposition dans les situations suivantes :

  • les données collectées ont pour base légale un contrat. L’utilisateur devra attendre la rupture du contrat qui est à l’origine du traitement de ses données personnelles ;
  • il existe des motifs légitimes et impérieux à traiter ces données (intérêt légitime) ;
  • le traitement a pour fondement une mission d’intérêt public, une obligation légale ou la sauvegarde des intérêts vitaux.

Pour plus d’informations :

Droit à la limitation du traitement

Les utilisateurs peuvent demander de geler temporairement l’utilisation de certaines données personnelles. L’exercice de ce droit peut s’avérer particulièrement utile lorsque l’utilisateur conteste l’exactitude des données ou s’oppose au traitement.

Dans ce cas, il peut demander de geler temporairement l’utilisation des données, dans l’attente d’une réponse à sa demande. Donc, l’entreprise pourra conserver ces données mais ne pourra  pas réaliser de traitements sur ces données gelées.  

Les limites du droit de limitation de traitement

Les données gelées peuvent toutefois être utilisées dans les situations suivantes :

  • l’utilisateur a donné son consentement au traitement. Dans ce cas, il doit retirer son consentement et non pas demander la limitation du traitement
  • pour la constatation, l’exercice ou la défense de droits en justice ;
  • pour la protection des droits d’une personne physique ou morale ;
  • pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.

Pour plus d’informations :

Droit d’effacement des données

Il s’agit du droit d’un utilisateur à demander l’effacement de données qui le concernent. Il peut l'exercer lorsque :

  • ses données sont utilisées à des fins de prospection commerciale ;
  • ses données ne sont plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • l’utilisateur retire son consentement dans le cas où le base légale est le  consentement ;
  • l’utilisateur considère que les données font l’objet d’un traitement illicite ou elles ont été collectées alors qu’il était mineur ;
  • les données doivent être effacées pour respecter une obligation légale ;
  • l’utilisateur s’est opposé au traitement des données et qu’il a pu exercer cette demande.

Limites au droit à l’effacement

Vous pouvez écarter le droit à l’effacement lorsqu’il va à l’encontre de :

  • l’exercice du droit à la liberté d’expression et d’information ;
  • du respect d’une obligation légale ;
  • de l’utilisation de vos données s’il y a intérêt public à conserver les données (par exemple dans le domaine de santé) ;
  • de leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • de la constatation, de l’exercice ou de la défense de droits en justice.

Pour plus d’informations :

Des questions ? Consultez la Foire aux questions (FAQ) de la CNIL

L'autorité répond aux questions les plus posées et propose des conseils pratiques pour assurer une bonne conformité :

Le RGPD s’applique-t-il à toutes les entreprises ?

Comment la CNIL accompagne-t-elle les entreprises ?

Le RGPD s’applique-t-il également aux fichiers papier ?

Le registre de traitements est-il indispensable ?

Comment assurer le respect des droits des personnes ?

Un sous-traitant doit-il également respecter le RGPD et la loi ?

Comment savoir quelles mesures de sécurité prendre ?

Les entreprises sont-elles informées à l’avance d’un contrôle ?

Que se passe-t-il après un contrôle ?

Est-il possible de traiter des données sensibles ?

Appliquer le RGPD dans une TPE ou PME : les questions/réponses de la CNIL (cnil.fr)

Les questions/réponses de la CNIL

Être conforme au RGPD : diagnostics et accompagnements

Respecter la vie privée, par où commencer ? La check-list pour les TPE / PME

Pour savoir où vous en êtes en matière de respect des données personnelles, complétez cette check-list de 4 pages, créée spécialement pour les TPE / PME.

Évaluer sa conformité au RGPD

Un certain nombre de diagnostics en ligne existent pour vous aider à identifier d'éventuels problèmes de conformité au RGPD :

Passer à l'action

La Cnil fait le point sur les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données :

Être accompagné

Le Conseil nationale des Barreaux, propose un annuaire qui permet de trouver un avocat spécialisé dans le domaine de la protection des données.

Votre Chambre de Commerce et d’industrie (CCI) ou votre Chambre de métiers et de l’artisanat (CMA) sont des interlocuteurs pertinents. Vous pouvez consulter l’annuaire des conseillers locaux des CCI (cci.fr) ou consulter l’annuaire des conseillers locaux des CMA.

France Num propose sur son site, un annuaire d'experts du numérique publics et privés, les Activateurs France Num qui peuvent vous accompagner. Un certain nombre d'entre eux sont spécialisés en gestion des données personnelles.

Rechercher un expert

Elisa Sobczyk | Licence etalab-2.0

Dans la même thématique

Cette page vous a-t-elle été utile ?

Suivez-nous sur les réseaux sociaux et Abonnez-vous à notre lettre d’information