RGPD fichier clients : dès qu’une TPE collecte, stocke ou utilise des données clients ou prospects dans un CRM, un tableur ou un logiciel de facturation, elle entre dans le champ du RGPD.
Quand on parle de RGPD dans une petite entreprise, beaucoup pensent d’abord à la bannière cookies, à la politique de confidentialité du site ou à un vague “texte légal” à ajouter en pied de page. Pourtant, dans la vraie vie d’une TPE, le premier sujet sensible est souvent ailleurs : le fichier clients, le tableur prospects, le CRM, le logiciel de devis/factures, la liste d’emails, les notes commerciales, l’historique d’achats ou les données de prise de rendez-vous. Dès qu’une entreprise collecte, stocke, utilise ou transmet des informations sur une personne physique identifiée ou identifiable dans le cadre de sa relation commerciale, elle traite des données personnelles et entre dans le champ du RGPD. La CNIL rappelle d’ailleurs que la gestion des clients et prospects impose au minimum d’informer les personnes, de limiter la collecte au nécessaire, de prévoir des mesures de sécurité adaptées, de définir une durée de conservation et d’inscrire le traitement dans le registre des activités de traitement.
Le RGPD fichier clients concerne toutes les TPE qui conservent des coordonnées, des devis, des factures ou un historique commercial dans un outil numérique ou un simple tableur.
Autrement dit, un simple fichier Excel contenant des noms, des emails, des téléphones, des devis et des notes commerciales est déjà un sujet RGPD. Le support importe moins que l’usage réel. Que tu travailles avec un tableur, un outil maison, un agenda connecté ou un vrai CRM, la logique reste la même : tu dois être capable d’expliquer pourquoi tu collectes ces données, à quoi elles servent, combien de temps tu les gardes, qui y accède, comment tu les sécurises et comment la personne peut exercer ses droits.
Et c’est justement là que beaucoup de TPE se compliquent la vie. Elles accumulent des contacts sans segmentation, gardent des prospects inactifs pendant des années, ajoutent des notes inutiles dans les fiches clients, relancent sans vraie logique de consentement ou d’opposition, puis finissent par ne plus savoir ce qu’elles ont le droit de faire. Si tu veux en parallèle mieux structurer ton suivi commercial, tu peux déjà consulter le comparatif Outilios des meilleurs CRM pour TPE, notre guide CRM pour TPE : pipeline, relances, scoring, ou encore la rubrique CRM & relation client, qui sont très complémentaires avec ce sujet.
Pour aller plus loin sur le cadre officiel, tu peux consulter les ressources de la CNIL sur l’information des personnes, sur la gestion des clients et prospects et sur la relation client en pratique. Ces pages permettent de vérifier les obligations de base avant même de choisir un outil ou d’organiser son CRM.
RGPD fichier clients : ce qu’une TPE doit comprendre dès le départ
Un fichier clients ou un CRM ne désigne pas seulement un gros logiciel commercial. En pratique, pour le RGPD, cela peut être un tableur partagé, un fichier exporté depuis un formulaire, une base de contacts dans un outil d’emailing, un logiciel de facturation avec fiches clients, une application de rendez-vous, une caisse avec historique d’achats, un carnet d’adresses enrichi, un outil de support ou un CRM complet. Ce qui compte, ce n’est pas la taille du logiciel. Ce qui compte, c’est le fait que tu traites des données personnelles pour une finalité déterminée, par exemple répondre à une demande, établir un devis, envoyer une facture, suivre une vente, relancer un prospect, gérer un abonnement ou fidéliser un client.
La première erreur des petites structures consiste à croire que “CRM” est un sujet de PME ou d’équipes commerciales. C’est faux. Une coiffeuse qui conserve les coordonnées de ses clientes dans un outil de réservation, un artisan qui suit ses devis sur tableur, un indépendant qui garde les échanges de ses prospects dans sa messagerie ou un e-commerçant qui centralise commandes et relances dans son outil de facturation gèrent déjà des données personnelles dans une logique CRM. Le RGPD ne raisonne pas en fonction du chiffre d’affaires ou du nombre de salariés ; il raisonne en fonction du traitement réellement mis en œuvre.
La deuxième erreur, c’est de croire qu’un petit volume dispense d’organisation. Là encore, c’est une mauvaise lecture. Une TPE n’a pas besoin de construire une “usine à gaz juridique”, mais elle doit être capable de démontrer un minimum de cohérence : ne collecter que ce qui est utile, informer les personnes, respecter les règles de prospection, limiter les durées de conservation, sécuriser les accès et documenter ses traitements. C’est d’ailleurs précisément pour aider sur la partie outil que tu peux aussi orienter les lecteurs vers Comparatifs Outilios et Guides Outilios, puis vers un outil gratuit comme Facture.net : l’outil de facturation 100 % gratuit avec CRM intégré si le besoin est d’abord de sortir d’un tableur bricolé.
RGPD fichier clients : ce qu’on appelle vraiment un CRM en TPE
Sur le terrain, beaucoup de TPE mélangent tout dans un seul bloc “contacts”. Pourtant, en matière de RGPD, la différence entre un client, un prospect, un contact professionnel et une personne qui s’est opposée à la prospection change beaucoup de choses. Elle change la base légale la plus probable, la manière de relancer, la durée de conservation et parfois le canal acceptable. La CNIL rappelle d’ailleurs que les règles de prospection ne sont pas les mêmes selon qu’on s’adresse à un particulier ou à un professionnel, et que les personnes doivent pouvoir s’opposer simplement aux sollicitations.
RGPD fichier clients : différence entre client, prospect et contact
| Statut | Exemple concret | Ce que ça change |
|---|---|---|
| Client | A déjà acheté, signé un devis ou payé une facture | Tu peux gérer l’exécution du contrat, la facturation, le SAV, puis certaines relances commerciales encadrées |
| Prospect | A demandé un devis, un rappel ou un rendez-vous | Tu dois raisonner prospection, information, durée de conservation et canal |
| Contact froid | Coordonnées récupérées via annuaire, salon, réseau pro | Prudence élevée sur la licéité et la manière de recontacter |
| Personne opposée | S’est désinscrite ou a demandé l’arrêt des sollicitations | Tu dois cesser la prospection et conserver l’opposition pour la respecter |
Dans un CRM propre, ces statuts ne devraient jamais être confondus. Une base saine doit au minimum distinguer les clients actifs, les anciens clients, les prospects récents, les prospects inactifs et les personnes opposées à la prospection. Plus cette segmentation est propre, plus la conformité et la performance commerciale deviennent simples. Si tu veux pousser cette logique côté organisation commerciale, le lien interne le plus naturel ici est CRM pour TPE : pipeline, relances, scoring, car un pipeline bien pensé évite justement de transformer un fichier commercial en fourre-tout.
Le RGPD fichier clients s’applique donc aussi bien à un vrai CRM qu’à un fichier Excel utilisé pour suivre prospects, clients et relances.
RGPD fichier clients : quelles données une TPE peut collecter
Le principe de base est la minimisation. La CNIL indique que tu ne dois collecter que les données personnelles qui sont adéquates, pertinentes et nécessaires au regard de la finalité poursuivie. Dit plus simplement : si une donnée ne te sert pas vraiment à répondre à la demande, exécuter le service, facturer, assurer le suivi ou gérer une prospection légitime, il vaut mieux ne pas la demander ou ne pas la conserver.
Le RGPD fichier clients ne consiste pas à collecter le maximum d’informations, mais à conserver uniquement les données réellement utiles à la relation commerciale.
Pour une TPE, les données souvent justifiables sont assez classiques : nom, prénom, coordonnées, société, fonction en B2B, adresse de livraison, adresse de facturation, historique d’achats, devis, commandes, paiements, demandes de support, préférences utiles au service, historique de consentement ou d’opposition, et parfois quelques notes commerciales strictement professionnelles. En revanche, plus tu t’éloignes du besoin réel, plus tu prends de risque. La CNIL donne même un exemple parlant : dans certains cas, il peut être utile de vérifier une pièce d’identité, mais pas forcément d’en conserver la copie ; conserver la trace que la vérification a été faite peut suffire.
| Catégorie de donnée | Souvent justifiable | À manier avec prudence | À éviter sans vrai besoin |
|---|---|---|---|
| Nom, prénom, email, téléphone | Oui | ||
| Société, fonction, SIREN en B2B | Oui | ||
| Adresse de facturation / livraison | Oui | ||
| Historique devis, commandes, paiements | Oui | ||
| Préférences de contact | Oui | ||
| Notes commerciales utiles | Oui, si elles restent professionnelles | ||
| Date de naissance complète | Rarement | Oui | |
| Copie de pièce d’identité | Rarement à conserver | Oui | |
| Données de santé | Non pour une TPE classique | Oui, très fortement | Souvent à proscrire |
| Situation familiale détaillée, opinions, croyances | Non | Oui | Oui |
Le point souvent sous-estimé, ce sont les champs libres dans les CRM. Beaucoup de dirigeants ou commerciaux y déposent n’importe quoi : remarques personnelles, hypothèses sur la vie privée, éléments de santé, jugements de valeur, informations sensibles ou inutiles. Or la minimisation ne concerne pas seulement les champs “officiels” d’un formulaire ; elle concerne aussi les notes internes, l’historique de commentaires et les exports. Un CRM n’est pas un carnet personnel sans règle. Si l’information n’est pas nécessaire à la relation commerciale, elle n’a rien à faire dans la base.
RGPD fichier clients : quelle base légale choisir selon le cas
Le RGPD impose qu’un traitement repose sur une base légale. Dans la relation client, les plus fréquentes sont l’exécution du contrat ou des mesures précontractuelles, l’obligation légale, le consentement et parfois l’intérêt légitime. En clair, tu dois pouvoir expliquer pourquoi tu traites telle donnée pour telle finalité, et pas juste remplir une case dans une politique de confidentialité. La CNIL rappelle d’ailleurs que l’information donnée aux personnes doit mentionner cette base légale.
Concrètement, quand tu crées une fiche client pour établir un devis, envoyer une facture, livrer ou gérer un SAV, la base légale est généralement le contrat ou les mesures précontractuelles à la demande de la personne. Quand tu conserves certaines pièces pour des obligations comptables ou fiscales, tu bascules plutôt sur l’obligation légale. Quand tu veux envoyer de la prospection électronique à des particuliers, le consentement est souvent central. Et quand tu relances un professionnel dans un cadre B2B pertinent, la logique peut relever de l’opt-out et d’un intérêt légitime encadré.
| Finalité | Base légale la plus fréquente | Exemple TPE |
|---|---|---|
| Répondre à une demande de devis | Mesures précontractuelles | Artisan, freelance, prestataire |
| Gérer une commande ou un contrat | Contrat | E-commerce, abonnement, prestation |
| Facturer et conserver les justificatifs | Obligation légale / contrat | Comptabilité, TVA, archive |
| Gérer SAV et support | Contrat / intérêt légitime selon le cas | Service après-vente |
| Envoyer une newsletter B2C | Consentement en principe | Promotions particuliers |
| Prospection email B2B pertinente | Opt-out / intérêt légitime encadré | Offre liée à l’activité pro |
| Gérer les désabonnements | Obligation de respecter les droits / conformité | Liste d’opposition |
La grande erreur consiste à mettre “consentement” partout parce que cela semble plus simple. En réalité, c’est souvent faux. Tu n’as pas besoin du consentement d’un client pour conserver son adresse de facturation si tu exécutes une prestation. En revanche, tu ne peux pas te réfugier derrière un vague “intérêt légitime” pour envoyer des promotions B2C à tout le monde sans cadre. Il faut raisonner finalité par finalité. Pour un lecteur qui cherche ensuite un outil simple pour mieux structurer tout ça, tu peux renvoyer ici vers un CRM léger ou une suite complète ou vers le comparatif des meilleurs CRM pour TPE.
RGPD fichier clients : quelles mentions d’information afficher
La transparence est un principe central du RGPD. La CNIL rappelle que les personnes doivent être informées aussi bien en cas de collecte directe qu’indirecte, et que cette information doit être concise, transparente, compréhensible et facilement accessible. Elle précise aussi les informations minimales à fournir : identité de l’organisme, finalités, base légale, caractère obligatoire ou facultatif de certaines données, destinataires, durée de conservation, droits des personnes et, le cas échéant, transferts hors UE.
Dans la pratique d’une TPE, cela veut dire qu’une simple politique de confidentialité perdue en bas du site ne suffit pas. Il faut aussi des mentions courtes et ciblées au niveau des points de collecte importants : formulaire de contact, demande de devis, inscription à une newsletter, réservation, formulaire de compte client, programme de fidélité, fiche papier en magasin, prise de rendez-vous, etc. La CNIL recommande même d’insérer une rubrique “Protection des données” accessible dans les CGV ou documents équivalents pour la relation client.
Un mini-bloc efficace sous un formulaire de devis peut par exemple préciser que les données sont utilisées pour répondre à la demande et gérer la relation commerciale, qu’elles sont réservées aux personnes habilitées, qu’elles sont conservées selon des durées définies, et qu’un contact permet d’exercer les droits. Ce type de formulation simple rassure l’utilisateur et t’évite une collecte “muette” juridiquement faible. C’est un bon endroit pour intégrer un lien interne vers Guides Outilios ou Comparatifs Outilios si tu veux pousser le lecteur vers d’autres contenus d’aide à la structuration de ses outils.
RGPD fichier clients : les règles de prospection commerciale à connaître
C’est ici que les TPE se trompent le plus souvent. La CNIL rappelle que la prospection commerciale est encadrée selon le canal utilisé et selon que l’on vise un particulier ou un professionnel. Pour l’email, le SMS, le MMS, l’automate d’appel ou le fax vers des particuliers, le principe est celui du consentement préalable. Pour la prospection B2B par email, la logique peut être différente : les personnes doivent être informées et pouvoir s’opposer, sous réserve que la sollicitation soit liée à leur activité professionnelle. Pour le téléphone ou le courrier postal, la logique est celle de l’information et de l’opposition, avec des règles spécifiques pour le démarchage téléphonique et Bloctel.
Le RGPD fichier clients devient particulièrement sensible dès qu’une entreprise envoie des emails commerciaux, relance des prospects ou réutilise d’anciennes bases de contacts.
| Canal | B2C particulier | B2B professionnel | Réflexe TPE |
|---|---|---|---|
| Consentement préalable en principe | Opt-out possible sous conditions | Toujours prévoir un lien de désinscription | |
| SMS / MMS | Consentement préalable | Très prudent, logique proche de l’email | À utiliser avec parcimonie |
| Téléphone | Information + opposition, cadre Bloctel | Opposition + information | Tracer les refus |
| Courrier postal | Information + opposition | Information + opposition | Moins risqué mais doit rester propre |
| Partage à des partenaires | Très encadré | Très encadré | Ne jamais improviser |
La CNIL insiste aussi sur un point que beaucoup de petites structures oublient : ce n’est pas parce qu’une donnée est visible sur internet, dans un annuaire ou sur une carte de visite que tu peux l’utiliser n’importe comment pour démarcher. Elle recommande d’utiliser des fichiers qualifiés, de se méfier des bases de données marketing bon marché, et d’organiser concrètement la prise en compte des oppositions, par exemple avec une liste repoussoir. Elle rappelle aussi que ces règles s’appliquent également à la prospection auprès de ses propres clients.
Pour une TPE, cela signifie qu’un bon CRM ne doit pas seulement suivre les opportunités ; il doit aussi aider à gérer les statuts de prospection, les désabonnements, les oppositions, les préférences de contact et l’historique des sollicitations. C’est précisément pour cela que le lien le plus naturel ici est le comparatif des meilleurs CRM pour TPE et, côté outils gratuits, Facture.net : l’outil de facturation 100 % gratuit avec CRM intégré ou Henrri : logiciel de facturation gratuit pour TPE et freelances, qui peuvent servir de premier niveau de structuration pour éviter les relances faites “à la main” sans suivi.
Si tu veux vérifier les règles officielles sur la prospection commerciale, la meilleure ressource reste la CNIL avec sa page dédiée à la prospection commerciale. Pour une approche plus concrète côté TPE, tu peux aussi lire RGPD en pratique : maîtrisez votre relation client, qui détaille notamment les bons réflexes sur les sollicitations, les fichiers qualifiés, les oppositions et la fidélisation.
RGPD fichier clients : faut-il tenir un registre en TPE ?
Le registre des activités de traitement est prévu par l’article 30 du RGPD. La CNIL le présente comme un document permettant de recenser les traitements de données, d’avoir une vue d’ensemble de ce que fait l’organisme, et de documenter sa conformité. Elle rappelle aussi que, même pour les structures de moins de 250 salariés, les traitements non occasionnels comme la gestion des clients et prospects doivent en pratique être intégrés au registre. Elle propose d’ailleurs un modèle simplifié destiné notamment aux TPE-PME.
En pratique, cela veut dire qu’une TPE qui gère des clients, prospects, devis, prises de rendez-vous, newsletter, facturation ou support ne devrait pas faire l’impasse sur ce registre. Il n’a pas besoin d’être compliqué. Une fiche par activité peut suffire : gestion prospects, gestion clients, facturation, emailing, support, rendez-vous, programme de fidélité, etc. L’important est qu’il reflète la réalité : finalité, catégories de données, personnes concernées, base légale, destinataires, durées, sécurité, sous-traitants, transferts éventuels.
Le registre est aussi un excellent exercice de remise à plat. Si ton entreprise utilise un formulaire WordPress, un CRM, un outil de réservation, un logiciel de facturation, une messagerie et un outil emailing, c’est souvent le registre qui permet enfin de comprendre où passent les données. Pour accompagner cette réflexion côté choix d’outils, il est logique de renvoyer le lecteur vers Guides Outilios, Comparatifs Outilios et la catégorie CRM & relation client.
Pour documenter correctement ton activité, la CNIL met à disposition une page complète sur le registre des activités de traitement. Tu peux aussi consulter sa définition synthétique du registre des activités de traitement, utile pour comprendre rapidement ce qu’il doit contenir dans une TPE.
RGPD fichier clients : combien de temps conserver les données
La CNIL est très claire : les données ne doivent pas être conservées indéfiniment. Il faut définir une durée adaptée à la finalité, avec si besoin une phase active puis une phase d’archivage intermédiaire pour les obligations légales ou la preuve. Elle rappelle aussi que les données utilisées à des fins de prospection doivent être nettoyées. Dans ses recommandations pratiques sur la relation client, elle indique notamment de prévoir la suppression des informations en cas d’inactivité prolongée des clients, avec un repère de 3 ans à compter de la fin de la relation commerciale, et dans sa documentation sur la gestion commerciale, elle reprend aussi le repère de 3 ans pour les prospects à compter de la collecte ou du dernier contact venant du prospect.
Le RGPD fichier clients impose aussi de définir des durées de conservation claires pour éviter de garder des prospects ou d’anciens clients sans raison valable.
| Type de donnée / usage | Repère pratique | Remarque |
|---|---|---|
| Prospect utilisé pour la prospection | 3 ans après collecte ou dernier contact venant du prospect | Puis suppression ou archivage adapté |
| Client utilisé à des fins de prospection | Pendant la relation commerciale puis 3 ans après sa fin | Exemple : après dernier achat ou fin de contrat |
| Pièces comptables / factures | Selon obligations légales applicables | À archiver, pas à garder en base marketing active |
| Oppositions / désabonnements | Conserver les seules données nécessaires pour respecter l’opposition | Utile pour éviter une nouvelle sollicitation |
| Données obsolètes ou sans finalité | À supprimer | Ne pas garder “au cas où” |
Ce sujet est capital parce que beaucoup de TPE gardent tout : prospects morts depuis cinq ans, adresses email obsolètes, doublons, notes inutiles, numéros de téléphone erronés, clients partis depuis longtemps mais encore dans les campagnes marketing. Or une base propre est à la fois plus conforme et plus efficace commercialement. Si ton lecteur a justement besoin d’un outil pour nettoyer et structurer sa base, tu peux ici renvoyer vers un CRM léger ou une suite complète ou vers Facture.net, qui peut servir de point de départ gratuit pour centraliser clients, devis et relances.
Sur les durées de conservation, la ressource la plus utile pour une petite entreprise est RGPD en pratique : maîtrisez votre relation client. La CNIL y rappelle notamment qu’il faut éviter de conserver indéfiniment les données commerciales et qu’une logique de tri, d’archivage et de suppression doit être prévue.
RGPD fichier clients : les règles de sécurité minimales
Le RGPD impose des mesures de sécurité adaptées au risque. La CNIL a mis à jour son guide de la sécurité des données personnelles et rappelle des principes très concrets : authentifier les utilisateurs, gérer les habilitations, sécuriser les postes de travail, anticiper la mobilité, protéger le réseau, sécuriser les serveurs, les sites web et les sauvegardes, et mettre en place des procédures en cas d’incident. En clair, une TPE n’a pas besoin d’un service cybersécurité dédié, mais elle doit faire le minimum sérieusement.
Le RGPD fichier clients implique enfin un minimum de sécurité sur les accès, les exports, les mots de passe et les outils utilisés au quotidien.
Pour une petite structure, cela veut dire au moins : mots de passe robustes et uniques, double authentification quand elle existe, limitation des accès aux personnes qui en ont besoin, suppression des anciens comptes, appareils à jour, sauvegardes, vigilance sur les exports CSV, et attention particulière aux téléphones et ordinateurs portables qui quittent les locaux. La CNIL insiste aussi sur la gestion des habilitations, c’est-à-dire le fait que chacun n’accède qu’aux données dont il a réellement besoin.
| Mesure | Niveau minimum attendu |
|---|---|
| Mot de passe robuste | Oui |
| Double authentification | Oui dès que possible |
| Accès par rôle / habilitations | Oui |
| Sauvegardes régulières | Oui |
| Retrait des anciens accès | Oui |
| Poste de travail à jour | Oui |
| Appareil mobile protégé | Oui |
| Export CSV partagé sans contrôle | À éviter |
| Compte unique partagé par toute l’équipe | À proscrire |
La réalité des incidents en TPE est souvent banale : ordinateur perdu avec un export client local, email envoyé au mauvais destinataire, mot de passe réutilisé et compromis, ancien prestataire qui garde encore l’accès, ou fichier client transféré sur un appareil personnel non protégé. Ce n’est pas “moins grave” parce que l’entreprise est petite. C’est simplement plus fréquent quand l’organisation est floue. Un bon article sur le sujet doit donc rappeler que la conformité commence aussi par des réflexes opérationnels simples.
Pour sécuriser réellement un fichier clients ou un CRM, la CNIL propose un guide de la sécurité des données personnelles, très utile même pour les petites structures. En complément, sa fiche sur la gestion des incidents et des violations aide à comprendre quoi faire en cas de fuite, de perte de données ou d’accès non autorisé.
RGPD fichier clients : sous-traitants, cloud et transferts hors UE
Beaucoup d’outils utilisés par les TPE sont des sous-traitants au sens du RGPD. La CNIL définit le sous-traitant comme la personne physique ou morale qui traite des données pour le compte d’un autre organisme, et elle rappelle que des obligations doivent apparaître dans le contrat, notamment en matière de sécurité, de transparence, de traçabilité et d’assistance. En parallèle, la CNIL rappelle que les transferts de données hors de l’Union européenne et de l’Espace économique européen sont possibles seulement s’ils sont encadrés par des outils juridiques appropriés et offrent un niveau de protection suffisant.
Pour une TPE, cela ne veut pas dire qu’il faut refuser par principe tout outil cloud ou tout logiciel non français. Cela veut dire qu’il faut arrêter de choisir “à l’aveugle”. Avant d’adopter un CRM, un outil emailing, une solution de réservation ou un logiciel de support, il faut au minimum vérifier où vont les données, qui est le sous-traitant, si le fournisseur documente ses mesures de sécurité, si l’export et la suppression sont possibles, comment sont gérées les habilitations, et si des transferts hors UE sont encadrés.
C’est précisément ici que les liens internes vers le comparatif des meilleurs CRM pour TPE, un CRM léger ou une suite complète, CRM pour TPE : pipeline, relances, scoring et Facture.net sont les plus utiles. Le lecteur qui s’interroge sur la conformité d’un fichier clients finit presque toujours par se demander quel outil adopter ou garder.
Avant de choisir un CRM ou un outil cloud, il est utile de vérifier la documentation officielle de la CNIL sur le rôle du sous-traitant et sur les transferts de données hors de l’UE. Pour les cas plus sensibles, la CNIL propose aussi une méthode pratique pour identifier et traiter les transferts hors UE.
Droits des personnes : ce que ta TPE doit pouvoir gérer
La CNIL rappelle qu’il faut donner aux personnes un moyen simple et rapide d’exercer leurs droits, notamment les droits d’accès, de rectification, d’opposition et, selon les cas, d’effacement. Concrètement, cela signifie qu’une TPE doit être capable de répondre à des demandes telles que : “quelles données détenez-vous sur moi ?”, “corrigez mon numéro”, “je ne veux plus recevoir vos emails”, ou “effacez mes données si vous n’avez plus de raison de les garder”.
Plus la base est dispersée entre plusieurs outils, plus ces demandes deviennent compliquées. C’est pourquoi la conformité RGPD rejoint souvent un enjeu d’organisation et de productivité. Une petite entreprise qui centralise mieux ses données gagne à la fois en qualité de service, en temps de traitement et en conformité. C’est encore un bon endroit pour relier le sujet à CRM & relation client ou à Guides Outilios.
Violation de données : que faire si le fichier clients fuit ou disparaît ?
Une violation de données personnelles peut prendre plusieurs formes : perte, destruction, accès non autorisé, divulgation involontaire, altération ou indisponibilité. La CNIL explique qu’il faut se préparer à ces incidents, tenir un registre interne des violations, évaluer le risque pour les personnes, notifier la CNIL dans les 72 heures si la violation présente un risque pour leurs droits et libertés, et informer les personnes concernées en cas de risque élevé, sauf exception prévue par le RGPD.
Pour une TPE, les scénarios les plus fréquents sont très concrets : un ordinateur portable volé contenant des exports clients, un email envoyé au mauvais destinataire avec une pièce jointe, un compte CRM compromis, un smartphone perdu, un fichier partagé publiquement par erreur ou un ancien collaborateur qui conserve un accès. Le bon réflexe n’est pas la panique ; c’est d’avoir une mini-procédure : identifier l’incident, couper l’accès si nécessaire, documenter les faits, évaluer le risque, notifier si besoin et corriger la faille.
La checklist RGPD simple pour une TPE qui gère un fichier clients ou un CRM
Tu peux garder cette checklist telle quelle dans l’article, car elle apporte de la densité pratique et répond bien à l’intention de recherche.
- Liste tous tes points de collecte : contact, devis, commande, rendez-vous, newsletter, caisse, support, téléphone, salon, etc.
- Distingue clients, prospects et personnes opposées dans le CRM ou le fichier.
- Supprime les champs inutiles et les questions “au cas où”.
- Vérifie ta base légale pour chaque grande finalité.
- Ajoute une vraie mention d’information sur chaque formulaire important.
- Prévois un moyen simple d’opposition : lien de désinscription, adresse email, procédure claire.
- Crée une liste repoussoir pour ne plus recontacter ceux qui se sont opposés.
- Fixe des durées de conservation concrètes pour prospects, clients, archives et oppositions.
- Nettoie la base régulièrement : doublons, emails morts, contacts obsolètes. Cette recommandation découle directement du principe de minimisation et de l’exigence de données exactes.
- Formalise une fiche de registre pour la gestion clients/prospects.
- Vérifie qui a accès à quoi dans les outils.
- Active les protections de base : 2FA, mises à jour, sauvegardes, verrouillage des appareils.
- Contrôle tes sous-traitants : CRM, emailing, réservation, facturation, cloud.
- Prépare une procédure pour les droits : qui répond, comment, où chercher.
- Prépare une procédure en cas d’incident : qui alerte, qui coupe, qui documente, faut-il notifier.
Les erreurs les plus fréquentes
La première erreur, c’est de conserver les prospects indéfiniment. La deuxième, c’est de relancer sans vraie logique de consentement ou d’opposition. La troisième, c’est de ne pas distinguer client et prospect. La quatrième, c’est de laisser des accès trop larges dans les outils. La cinquième, c’est d’utiliser le CRM comme un bloc-notes personnel rempli d’informations excessives. Toutes ces erreurs sont en réalité des déclinaisons concrètes des principes rappelés par la CNIL : minimisation, transparence, durée de conservation limitée, sécurité et respect des droits.
La deuxième grande famille d’erreurs concerne le choix d’outil. Beaucoup de petites structures gardent un vieux tableur par habitude, puis finissent avec des doublons, aucun historique propre, aucune gestion d’opposition, des relances manuelles et des exports partagés un peu partout. Dans ce cas, même un outil simple ou gratuit peut déjà améliorer fortement la situation. C’est pourquoi il est pertinent d’intégrer ici des liens vers Facture.net, Henrri, le comparatif des meilleurs CRM pour TPE et la catégorie CRM & relation client.
FAQ
Un simple fichier Excel clients est-il concerné par le RGPD ?
Oui. Le RGPD ne vise pas seulement les gros logiciels. Un tableur ou un fichier partagé contenant des données clients ou prospects constitue déjà un traitement de données personnelles soumis aux règles classiques de transparence, minimisation, sécurité, durée de conservation et respect des droits.
Faut-il encore déclarer son fichier clients à la CNIL ?
Non, pas dans l’ancienne logique de déclaration préalable pour ce type de fichier. En revanche, il faut respecter les obligations RGPD et documenter sa conformité, notamment avec un registre des activités de traitement.
Puis-je garder mes prospects pendant des années “au cas où” ?
Non. La CNIL retient un repère de 3 ans à compter de la collecte ou du dernier contact venant du prospect pour les données utilisées à des fins de prospection. Au-delà, il faut supprimer ou archiver selon le cas.
Et pour les clients ?
Les données clients utilisées à des fins de prospection peuvent être conservées pendant la relation commerciale puis 3 ans après sa fin. Certaines pièces peuvent toutefois être gardées plus longtemps pour la comptabilité, le contentieux ou la preuve, mais dans une logique d’archive.
Puis-je envoyer des emails commerciaux à des professionnels sans consentement ?
Dans de nombreux cas B2B, la logique est celle de l’opt-out plutôt que du consentement préalable, à condition que la sollicitation soit en lien avec l’activité professionnelle et qu’un moyen simple d’opposition soit offert.
Puis-je envoyer des promos par email à des particuliers sans consentement ?
En principe, non, sauf exceptions encadrées liées à une relation client préexistante et à des produits ou services analogues. Hors de ce cadre, la prospection électronique B2C repose en principe sur l’opt-in.
Mon CRM est hébergé hors UE : suis-je forcément hors la loi ?
Non, pas automatiquement. Mais il faut vérifier si les transferts hors UE sont encadrés par les outils juridiques appropriés et si le fournisseur documente correctement son cadre de conformité.
Que faire si quelqu’un veut accéder à ses données ou les faire corriger ?
Il faut avoir un point de contact clair, retrouver les données concernées, répondre dans le cadre prévu par le RGPD et respecter les droits applicables, notamment l’accès, la rectification et l’opposition.
Que faire si ma base fuit ou disparaît ?
Documenter l’incident, évaluer le risque, tenir un registre interne des violations, notifier la CNIL dans les 72 heures si nécessaire, et informer les personnes concernées en cas de risque élevé.
Conclusion
Pour une TPE, le RGPD appliqué au fichier clients et au CRM n’est pas une couche administrative abstraite. C’est surtout une méthode de gestion saine : savoir pourquoi on collecte, éviter les données inutiles, segmenter proprement clients et prospects, respecter les choix de prospection, nettoyer la base, sécuriser les accès, documenter le minimum et choisir des outils un peu sérieux. La CNIL résume d’ailleurs très bien l’esprit du sujet : informer, minimiser, sécuriser, limiter la conservation et respecter les droits.
Le RGPD fichier clients n’est pas seulement une contrainte juridique : c’est aussi une méthode simple pour mieux organiser sa base commerciale et son CRM.
Et pour Outilios, cet article doit naturellement pousser vers un petit cluster très cohérent : le comparatif des meilleurs CRM pour TPE, CRM pour TPE : pipeline, relances, scoring, un CRM léger ou une suite complète, Facture.net : l’outil de facturation 100 % gratuit avec CRM intégré, Henrri : logiciel de facturation gratuit pour TPE, Comparatifs Outilios, Guides Outilios et CRM & relation client. Ça permet de transformer une requête purement informationnelle en navigation interne intelligente, ce qui est très bon pour la profondeur de session et pour ton objectif de renforcer Outilios avant une nouvelle demande AdSense.