RGPD : les obligations concrètes d’une TPE réunionnaise en 2026

Illustration d'une professionnelle de santé réunionnaise sécurisant les données personnelles de ses patients

Oui, le RGPD s’applique à votre TPE, même sans salarié. Concrètement, quatre obligations structurent l’essentiel : tenir un registre de vos traitements de données, informer vos clients de ce que vous faites de leurs données, recueillir un consentement valable quand il est requis, et sécuriser puis supprimer les données au bout d’une durée définie. Rien d’insurmontable : l’essentiel se met en place en quelques demi-journées.

Fichier clients, devis, newsletters, vidéosurveillance, dossier patients : dès que vous manipulez des informations sur des personnes, vous êtes concerné. Et l’idée reçue « la CNIL ne s’intéresse qu’aux grands groupes » ne tient plus.

Les petites entreprises sont-elles vraiment contrôlées ?

Les chiffres du bilan 2024 de la CNIL sont clairs. L’autorité a reçu 17 772 plaintes, un record, et mené 321 contrôles. Elle a prononcé 87 sanctions pour un montant cumulé de plus de 55 millions d’euros.

Le point qui concerne directement les TPE : sur ces 87 sanctions, 69 ont été prononcées en procédure simplifiée, un dispositif créé pour traiter les dossiers moins complexes, plafonné à 20 000 euros d’amende, et qui vise majoritairement des petites structures. En clair : la CNIL sanctionne désormais couramment des entreprises de la taille de la vôtre.

L’éloignement géographique ne protège pas : les plaintes se déposent en ligne, et un client mécontent de Saint-Denis peut saisir la CNIL aussi facilement qu’un Parisien.

Obligation 1 : le registre des traitements

Le registre est la pièce maîtresse, et la première chose demandée en cas de contrôle. C’est un document simple, souvent un tableur, qui liste ce que vous faites avec des données personnelles :

  • Quelles données ? (noms, coordonnées, données de santé…)
  • Pour quoi faire ? (facturation, prospection, gestion de rendez-vous…)
  • Qui y a accès ? (vous, un salarié, votre logiciel, votre comptable…)
  • Combien de temps les gardez-vous ?

La CNIL publie un modèle de registre gratuit adapté aux petites structures. Comptez une demi-journée pour une TPE type. Le seul fait de le remplir vous fera souvent découvrir des données que vous gardez sans raison.

Un exemple parlant : un institut de beauté de Sainte-Marie tient un fichier de rappel de rendez-vous, une liste d’anniversaires clients et les images de sa caméra. Trois traitements, trois lignes dans le registre, trois durées de conservation à définir. Une fois posé sur le papier, tout devient gérable.

Obligation 2 : comment informer vos clients et recueillir leur consentement ?

Vos clients ont le droit de savoir ce que vous faites de leurs données. Concrètement :

  • Sur votre site web : une politique de confidentialité lisible, et un bandeau cookies conforme si vous utilisez des traceurs — le refus doit être aussi simple que l’acceptation. Si votre site date un peu, notre guide créer ou refondre son site internet inclut ce point dans le cahier des charges.
  • Pour vos e-mails commerciaux : envoyer une newsletter à des particuliers exige leur consentement préalable. Acheter un fichier d’adresses « de contacts réunionnais » sans preuve de consentement vous met en infraction.
  • Sur vos formulaires : ne collectez que le nécessaire. La date de naissance n’est pas utile pour un devis de peinture.

Le principe directeur tient en une phrase : pas de collecte sans raison, pas d’usage sans information.

Obligation 3 : sécuriser les données

Le RGPD impose des mesures de sécurité « appropriées ». En 2024, la CNIL a reçu 5 629 notifications de violations de données, en hausse de 20 % sur un an. Et selon le baromètre France Num 2025, 52 % des dirigeants de TPE/PME se disent inquiets du piratage de leurs données.

Pour une TPE, les mesures de base rejoignent les réflexes de cybersécurité que nous avons détaillés en janvier :

  • Mots de passe robustes et différents par service, avec double authentification.
  • Mises à jour des logiciels et du site web.
  • Sauvegardes régulières, dont une hors du lieu principal.
  • Accès limités : votre saisonnier n’a pas besoin de tout le fichier clients.

En cas de violation (piratage, vol d’ordinateur, envoi massif par erreur), vous avez l’obligation de la notifier à la CNIL sous 72 heures lorsqu’elle présente un risque pour les personnes.

Obligation 4 : ne pas garder les données éternellement

Chaque donnée a une date de péremption. Quelques repères usuels :

  • Prospects qui n’ont jamais répondu : à supprimer après 3 ans sans contact.
  • Clients : les documents comptables ont leurs propres durées légales de conservation, mais le fichier de prospection ne se garde pas indéfiniment.
  • Candidatures reçues : 2 ans maximum sans accord du candidat.
  • Vidéosurveillance : quelques semaines en règle générale.

Un nettoyage annuel de vos fichiers suffit à tenir cette obligation. Bonus : des fichiers plus légers, c’est aussi moins de risque en cas de piratage.

Secteurs sensibles : santé et services à la personne, vigilance renforcée

Certaines activités réunionnaises manipulent des données dites sensibles, au premier rang desquelles les données de santé : professionnels paramédicaux, opticiens, prestataires de services à domicile, salles de sport avec certificats médicaux.

Pour ces données, les exigences montent d’un cran : justification stricte de la collecte, sécurité renforcée, hébergement adapté pour les dossiers de santé numérisés. Si c’est votre cas, ne restez pas seul : la CNIL publie des référentiels par secteur, et un accompagnement ponctuel par un professionnel se justifie pleinement.

Où que vous soyez sur l’île, le premier réflexe reste le même : cartographier ce que vous détenez. On ne protège bien que ce qu’on a identifié.

Ce qu’il faut retenir pour votre TPE/PME

  • Le RGPD s’applique à toutes les entreprises, sans seuil de taille ; la procédure simplifiée de la CNIL (plafond 20 000 €) vise justement les petites structures.
  • Quatre chantiers : registre des traitements, information et consentement, sécurité, durées de conservation.
  • Commencez par le modèle de registre gratuit de la CNIL : une demi-journée suffit pour poser la base.
  • En cas de violation de données présentant un risque, notification à la CNIL sous 72 heures.

FAQ

Je suis seul dans mon entreprise, dois-je désigner un délégué à la protection des données ?

Non, le délégué (DPO) n’est obligatoire que dans des cas précis : organismes publics, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. Une TPE classique n’y est pas tenue, mais rien ne vous empêche de vous faire accompagner ponctuellement.

Mon fichier clients est dans un logiciel en ligne : suis-je quand même responsable ?

Oui. L’éditeur du logiciel est votre sous-traitant, mais vous restez responsable du traitement. Vérifiez que le contrat couvre le RGPD, que les données sont hébergées dans un cadre conforme, et que vous gardez la maîtrise de leur suppression.

Que risque concrètement une TPE qui ne fait rien ?

Une plainte de client ou de salarié peut déclencher un contrôle, généralement précédé de demandes de justification. Les sanctions vont du rappel à l’ordre à l’amende, jusqu’à 20 000 euros en procédure simplifiée. Le plus coûteux reste souvent l’atteinte à la réputation : une sanction, même modeste, se retrouve vite sur les réseaux de l’île.

Vous avez un projet dans le numérique ? Devenez adhérent de Digital Réunion et rejoignez l’écosystème numérique réunionnais.

Table des matières
Partager sur:
Facebook
Twitter
LinkedIn

Autres Actualités