Aller au contenu principal
BS CONCEPTWeb · SaaS · Secrétariat
Guides

RGPD pour TPE : la checklist 2026 pour être 100 % en règle

Vous avez moins de 50 salariés ? Le RGPD vous concerne quand même. Checklist concrète des 10 points à mettre en place pour éviter une amende.

23 juin 2026· 10 min de lecture·BS Concept
⚖️

« Le RGPD c'est pour les grosses boîtes, pas pour moi. » FAUX. Le RGPD s'applique dès que vous traitez des données personnelles d'un résident européen, peu importe votre taille. La CNIL a déjà sanctionné des TPE pour quelques milliers d'euros sur des contrôles aléatoires. Voici la checklist 2026 complète.

Ce que le RGPD considère comme "données personnelles"

Beaucoup plus large qu'on pense :

  • Nom, prénom, e-mail, téléphone, adresse
  • IP address d'un visiteur de votre site
  • ID de cookie analytique
  • Photo, voix, signature
  • Numéro client, immatriculation, NIR
  • Localisation GPS
  • Plaque d'immatriculation
  • Historique de navigation

Dès que vous collectez, stockez, transmettez ou analysez une de ces données = le RGPD s'applique.

1. Mentions légales (obligation légale séparée du RGPD)

Sur votre site, vous devez afficher :

  • Nom de l'entreprise
  • Forme juridique
  • Capital social (si société)
  • Adresse du siège
  • N° SIRET / RCS
  • Téléphone, e-mail
  • N° TVA intracom (si applicable)
  • Directeur de la publication
  • Hébergeur (nom, adresse, téléphone)

Sanction : 75 000 € + 1 an de prison (article 6-III de la LCEN).

2. Politique de confidentialité

Document détaillé qui explique :

  • Qui collecte les données (vous = responsable de traitement)
  • Quelles données sont collectées
  • Pourquoi (finalité du traitement)
  • Sur quelle base légale (consentement, contrat, intérêt légitime, etc.)
  • Combien de temps elles sont conservées
  • Qui y a accès (vous, sous-traitants éventuels)
  • Quels sont vos droits (accès, rectification, suppression, opposition, portabilité)
  • Comment exercer ces droits (e-mail dédié, formulaire)
  • Comment porter réclamation (CNIL : cnil.fr)

3. Bandeau cookies conforme

Depuis 2020, la CNIL est très claire :

  • Avant tout dépôt de cookie non-essentiel : informer + recueillir le consentement
  • Bouton "Refuser tout" aussi visible que "Accepter tout" (mêmes taille, couleur, position)
  • Pas de pré-cochage des cases
  • Continuer à naviguer n'équivaut PAS à accepter
  • Possibilité de retirer le consentement aussi facilement que de l'accorder

⚠️ Les bandeaux qui n'ont qu'un bouton "OK" sont non conformes depuis 2021. Risque d'amende.

4. Consentement explicite des formulaires

Sur chaque formulaire collectant des données :

  • Case à cocher non pré-cochée : "J'accepte que mes données soient utilisées pour..."
  • Finalité claire et précise : pas de "à des fins commerciales" (trop vague)
  • Lien vers la politique de confidentialité

💡 Pour la newsletter, c'est un opt-in séparé (case dédiée, pas "Je m'inscris à la newsletter" mélangé avec autre chose).

5. Registre des traitements

Document interne qui liste TOUS les traitements de données que vous faites :

  • Nom du traitement (ex : "Gestion clients")
  • Finalité
  • Catégories de données
  • Catégories de destinataires
  • Durée de conservation
  • Mesures de sécurité

Modèle gratuit sur le site de la CNIL : cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement.

Obligatoire dès le 1er traitement, même pour TPE.

6. Délais de conservation

Vous ne pouvez pas garder les données indéfiniment. Règles indicatives :

Type de donnéesDurée max
Prospects (devis sans suite)3 ans après le dernier contact
Clients (relation commerciale)Pendant la relation + 3 ans
Factures, comptabilité10 ans (obligation comptable)
Données de paie5 ans
Cookies analytiques13 mois max
Vidéosurveillance1 mois

À l'issue de la durée : suppression OU anonymisation.

7. Droits des utilisateurs

Vos utilisateurs ont 6 droits qu'ils peuvent invoquer à tout moment :

  • Accès : "Quelles données avez-vous sur moi ?" (réponse sous 1 mois)
  • Rectification : "Corrigez cette info"
  • Effacement ("droit à l'oubli") : "Supprimez tout"
  • Limitation : "Arrêtez de traiter ces données"
  • Portabilité : "Donnez-moi mes données dans un format standard"
  • Opposition : "Je refuse ce traitement"

Mettez en place : une adresse e-mail dédiée (ex : rgpd@votresite.fr) + procédure interne de traitement sous 30 jours.

8. Sécurité technique des données

Le RGPD exige des "mesures techniques et organisationnelles appropriées" :

  • Chiffrement des données en transit (HTTPS) et au repos (BDD chiffrée)
  • Mots de passe forts + 2FA pour les accès admin
  • Mises à jour régulières (CMS, plugins, OS)
  • Sauvegardes chiffrées hors-site
  • Logs d'accès aux données sensibles
  • Limitation des accès au strict nécessaire

9. Sous-traitants conformes

Tout prestataire qui traite vos données = "sous-traitant" au sens RGPD :

  • Hébergeur web
  • Service de mailing (Mailchimp, Brevo)
  • Service de paiement (Stripe)
  • Comptable, paie
  • Service cloud (Drive, Dropbox)

Pour chacun, vous devez :

  • Vérifier qu'il est conforme RGPD
  • Signer un DPA (Data Processing Agreement) — souvent fourni automatiquement
  • Vérifier où sont hébergées les données (UE ou pas)

10. Notification de fuite de données (72h)

En cas de violation de données (piratage, fuite, perte) :

  • Notifier la CNIL sous 72h via le formulaire en ligne
  • Notifier les personnes concernées si risque élevé (e-mail explicatif)
  • Documenter l'incident dans votre registre

Ne PAS notifier = aggravant en cas de contrôle.

Risques financiers

Les amendes RGPD peuvent atteindre :

  • 20 millions d'euros OU
  • 4 % du chiffre d'affaires mondial annuel

(le plus élevé des deux)

En pratique pour les TPE françaises, les sanctions observées vont de 500 € à 50 000 € selon la gravité.

📌 Exemples réels : 5 000 € à un cabinet d'avocat pour absence de bandeau cookies, 12 000 € à une PME pour fichier clients sans base légale.

Récap : la checklist en 10 points

#ActionStatut
1Mentions légales complètes et à jour
2Politique de confidentialité accessible
3Bandeau cookies conforme (refus = accept)
4Consentement explicite sur formulaires
5Registre des traitements rédigé
6Délais de conservation définis et respectés
7Procédure d'exercice des droits en place
8Sécurité technique (HTTPS, 2FA, backups)
9Sous-traitants vérifiés + DPA signés
10Procédure de notification fuite (72h)

Si vous cochez les 10 → vous êtes en règle. Si vous en manquez 3+ → risque réel.

Notre approche chez BS Concept

Tous les sites que nous livrons incluent par défaut :

  • ✅ Mentions légales générées à partir de vos infos
  • ✅ Politique de confidentialité personnalisée
  • ✅ CGV (si vente en ligne)
  • ✅ Bandeau cookies 100 % conforme CNIL
  • ✅ Formulaires avec consentement explicite
  • ✅ HTTPS, headers de sécurité stricts
  • ✅ Hébergement français recommandé
  • ✅ Aucun tracker tiers imposé (Google Analytics optionnel et opt-in)

Demandez un devis pour mise en conformité ou parlons-en lors d'un appel découverte.

Tags :
RGPD
Conformité
CNIL
Cookies
Tous les articles

À lire aussi

Guides

Core Web Vitals 2026 : 5 actions concrètes pour booster votre score Google

LCP, INP, CLS : Google les utilise pour classer votre site. On vous explique simplement ces 3 métriques et 5 actions concrètes pour les améliorer.

Guides

Audit SEO gratuit : 12 points à vérifier vous-même sur votre site

Méthode complète pour auditer votre référencement sans payer une agence : 12 contrôles concrets avec les outils gratuits qui font le job.

Démarrons ensemble

Prêt à donner vie à
votre projet digital ?

Discutons de votre besoin. Devis gratuit sous 48h, sans engagement, et conseils personnalisés pour votre activité.

Demander un devis gratuitNous contacter

Réponse garantie sous 24h ouvrées · Aucun engagement