Gestion des données : comment le RGPD s’applique aux clients, salariés et partenaires ?

  • entreprises

Depuis 2018, en Europe, le Règlement Général sur la Protection des Données (RGPD) oblige les entreprises quelle que soit leur taille ou leur secteur d’activité à respecter certaines règles en matière de collecte, de traitement et de conservation des données personnelles. De plus, en France, la loi Informatique et Libertés ajoute d’autres obligations. Pourtant, se mettre en conformité peut être simple et même bénéfique. Conseils pratiques et explications.

Principe n°1 : Collectez les informations dont vous avez vraiment besoin

Ne collecter que les informations vraiment nécessaires, c’est le principe de « minimisation des données » posé par le Règlement général sur la protection des données (article 5.1.c). Par exemple, si vous éditez une newsletter pour vos clients et prospects, vous pourrez leur demander leur adresse e-mail et leur nom, mais ni leur adresse postale, ni leur date de naissance. Cela est également valable pour les données qui concernent vos salariés, fournisseurs, etc. Ainsi, vous n’êtes pas autorisé à collecter de données relatives à la situation matrimoniale de vos collaborateurs, sauf si vous êtes en mesure de démontrer que cette information vous est indispensable.

La bonne pratique ? Avant de collecter une information, demandez-vous à quoi elle va vous servir. Par exemple, la date de naissance ne vous sera utile que si vous prévoyez d’adresser à vos clients une offre « anniversaire », ce qui peut être pertinent pour une boutique de prêt-à-porter, mais pas vraiment pour un plombier…

Cette question simple permet d’éviter l’accumulation de données inutiles qui alourdissent vos fichiers et augmentent les risques de non-conformité.

Principe n°2 : Supprimez les données dont vous ne vous servez plus

Bien sûr, vos pratiques sont évolutives. Prenons le cas d’un artisan qui, en 2026, édite une newsletter : il a besoin de l’adresse e-mail de ses clients et prospects. Mais en 2025, il éditait aussi une brochure papier, qu’il a finalement stoppée. Comme il n’a plus besoin de l’adresse postale de ses contacts, il doit supprimer ces données ou les « anonymiser ». C’est le principe de la limitation de la durée de conservation des données (RGPD, article 5 du). Son respect contribue lui aussi à votre sobriété en matière de données, ce qui réduit vos risques de non-conformité.

Principe n°3 : Définissez une durée de conservation raisonnable

Au-delà de vos usages marketing, les données personnelles ne doivent pas être conservées indéfiniment. Le délai légal de conservation dépend de la nature des  données et de votre activité, mais voici quelques repères :

Les données sur les clients (factures, contrats) se conservent généralement de cinq à dix ans, selon les obligations légales.

Les données sur les salariés dépendent des obligations légales, mais il faut savoir que :

  • Les fiches de paie se conservent pendant 50 ans à compter de la fin du contrat de travail
  • Les dossiers individuels (contrats, avenants, sanctions…) se conservent cinq ans après la fin du contrat de travail, sauf contexte juridique particulier.
  • Il faut savoir qu’en France, tout salarié peut demander à consulter son dossier individuel.

Pour plus de détails, la CNIL (Commission nationale de l’informatique et des libertés) propose un guide pratique sur la durée de conservation des données. C’est une ressource précieuse pour vous accompagner sur le sujet..

Principe n°4 : Soyez le plus transparent possible

La transparence et le consentement sont les piliers du RGPD et de la loi française Informatique et Libertés. Vos clients, prospects et autres interlocuteurs doivent savoir quelles données personnelles vous collectez et pour quelles raisons. Quand vous collectez des données, vous pouvez par exemple, apposer une mention telle que « Vos données nous permettent de vous adresser des offres personnalisées. Elles ne seront jamais cédées ou revendues à des tiers. » De même, si vous avez un site web, n’oubliez pas d’y décrire votre politique de confidentialité en matière de données en utilisant un vocabulaire simple, sans jargon juridique.

La transparence implique aussi de préciser la durée de la conservation des données. Par exemple, si vous collectez l’adresse e-mail de vos clients et prospects afin de leur adresser une newsletter électronique, précisez-leur que cette donnée sera conservée tant que la newsletter sera opérationnelle. Et si, plus tard, vous arrêtez votre newsletter mais décidez d’envoyer un catalogue par voie postale, informez-les de la suppression de leur adresse e-mail. Vous pouvez aussi solliciter leur accord explicite pour la conserver à d’autres fins, dans un délai raisonnable.

La loi française Informatique et Libertés est encore plus exigeante que le RGPD, notamment pour les informations sensibles (comme les données de santé). Dans ce cas, le consentement doit être libre, éclairé, univoque et explicite. Par exemple, une case à cocher pré-cochée ne suffit pas : il est nécessaire que l’internaute la coche lui-même. La loi Informatique et Libertés interdit (sauf exceptions) la collecte des données sensibles (raciales, religieuses, politiques, orientations sexuelles…) et encadre de façon très stricte la collecte des données de santé.

 Par ailleurs, des obligations spécifiques s’appliquent aux systèmes de vidéosurveillance dans les lieux ouverts au public. Les enregistrements ne peuvent être conservés plus d’un mois, sauf en cas d’incident. Un panneau visible doit informer de la présence de caméras, de l’identité du responsable et des droits des personnes.

Là encore, il s’agit de pratiques vertueuses, car la transparence favorise la confiance

Principe n°5 : Respectez les demandes de vos clients

Le RGPD prévoit des droits pour les personnes sur leurs données. Son chapitre III  reconnaît un droit d’accès et de rectification, ainsi qu’un droit d’effacement : c’est le fameux « droit à l’oubli ». Concrètement, lorsqu’une personne vous demande de rectifier ou de supprimer ses données, vous devez le faire et lui confirmer, par écrit, que vous avez respecté sa demande. La loi française précise que la rectification ou la suppression doit intervenir dans un délai d’un mois. 

Principe n°6 : Protégez vos données

La sécurité des données est une obligation légale, mais aussi une question de bon sens. Même les petites entreprises peuvent être la cible de vols ou de pertes de fichiers. Pour vous prémunir de ce genre de désagrément, prenez des mesures simples et efficaces :

  • Pensez à utiliser des coffres-forts digitaux sécurisés pour protéger et centraliser vos documents sensibles. Protégez vos documents électroniques à l’aide de mots de passe robustes et d’antivirus, et faites des sauvegardes régulières.
  • Si vous utilisez un logiciel de caisse, vérifiez qu’il propose un chiffrement des données.
  • Sensibilisez vos équipes et transmettez-leur les bons gestes, par exemple :

Ne jamais laisser un ordinateur non verrouillé dans un bureau ouvert

Ne jamais oublier un document sensible sur un photocopieur

Détruire les impressions de documents sensibles.

Nommer un « référent sécurité des données » peut être une bonne idée. Cette personne sera chargée de documenter le sujet et de diffuser de bonnes pratiques au sein de l’entreprise.

Principe n°7 : Regardez aussi du côté de vos partenaires

Vos données ne sont pas toujours entre vos mains. Si vous travaillez avec des prestataires (expert-comptable, éditeur de logiciel, sous-traitant), vous devez vous assurer qu’ils respectent eux aussi le cadre légal. Pour ce faire, vous pouvez leur poser des questions simples :

  • où sont stockées les données ?
  • qui y a accès ?
  • quelle est leur politique de confidentialité ?
  • etc.

La sécurité des données est une chaîne… Si l’un des maillons est défaillant, c’est le système qui peut le devenir.

Il faut savoir que la CNIL peut effectuer des contrôles inopinés, sur place ou en ligne, et infliger des sanctions (allant du simple avertissement à la sanction pénale) en cas de manquement. 

Solutions associées

Les escroqueries par téléphone et autres

Fraude

Par téléphone, la fraude est un réel problème qui peut toucher n'importe quel internaute. Voici quelques conseils pour éviter les pièges !

Les escroqueries par e-mail et SMS

Fraude

Par e-mail et SMS, la fraude est un réel problème qui peut toucher n'importe quel internaute. Voici quelques conseils pour éviter les pièges !

Protégez votre activité avec la Garantie « Homme-Clé »

Motivez, protégez et assurez

En tant que dirigeant, vous avez à cœur de sécuriser votre activité en cas d’indisponibilité temporaire ou définitive de votre part ou de celle d’un de vos collaborateurs essentiel, pensez à la garantie « Homme-Clé » !

À lire également

Voir toutes les actualités associées

Thématiques : :

rse

RSE : les bons réflexes à adopter quand on dirige une petite entreprise

Date de publication: :

Lire l'article

Thématiques : :

auto-entrepreneurs

Auto-entrepreneurs, êtes-vous bien assurés ?

Date de publication: :

Lire l'article

Thématiques : :

entreprises

La transmission d’entreprise aux salariés au centre des débats

Date de publication: :

Lire l'article