Skip to content
Idées reçues calendar_today Mis à jour: 6 avril 2026 schedule 4 min de lecture

Idee recue : Le RGPD ne Concerne que les Grandes Entreprises

Une idee recue tenace veut que le RGPD ne s'applique qu'aux grandes entreprises. La verite : le RGPD s'applique a toute organisation qui traite des donnees personnelles, quelle que soit sa taille.

summarize Points clés
  • check_circle Le RGPD s'applique a toute organisation qui traite des donnees personnelles, du freelance a la multinationale
  • check_circle Meme si vous n'avez que 2 employes et une liste de 50 clients, vous etes concerne par le RGPD
  • check_circle Il existe quelques allegements pour les petites organisations, comme l'absence d'obligation de nommer un DPO, mais les obligations de base s'appliquent a tous
  • check_circle Le traitement de donnees personnelles est plus large qu'on ne le pense : une liste d'e-mails, un dossier du personnel ou un fichier clients compte deja

L’idee recue

“Le RGPD, c’est uniquement pour les grandes entreprises tech, non ? On n’est que cinq, ca ne nous concerne pas.”

C’est peut-etre l’idee recue la plus repandue sur le RGPD. Et on comprend comment elle est nee : les actualites parlent toujours d’amendes pour Google, Meta ou Amazon. De la, beaucoup d’entrepreneurs concluent que le RGPD est un probleme pour les grands acteurs, pas pour les PME.

Mais le texte de la loi est limpide.

Ce que dit reellement la loi

L’article 2 du RGPD decrit son champ d’application. Le reglement s’applique au traitement de donnees a caractere personnel, automatise en tout ou en partie, ainsi qu’au traitement non automatise de donnees a caractere personnel contenues ou appelees a figurer dans un fichier.

Nulle part il n’est ecrit : “uniquement si vous avez plus de X employes” ou “uniquement si votre chiffre d’affaires depasse Y.”

Toute organisation qui traite des donnees personnelles est soumise au RGPD. Point final.

Qu’est-ce qui compte comme traitement de donnees personnelles ?

Le traitement est un concept large. Il comprend :

  • Collecter des donnees personnelles (un formulaire de contact sur votre site web)
  • Stocker des donnees personnelles (une liste de clients dans Excel ou votre CRM)
  • Utiliser des donnees personnelles (envoyer une newsletter)
  • Partager des donnees personnelles (transmettre des donnees clients a votre comptable)
  • Conserver des donnees personnelles (dossiers du personnel dans votre armoire ou sur votre serveur)

Si vous faites ne serait-ce qu’une de ces choses - et quasiment toute entreprise le fait - vous etes soumis au RGPD.

Que signifie cela concretement pour les petites entreprises ?

Ce que vous DEVEZ faire

Quelle que soit la taille de votre entreprise, vous etes tenu de :

  1. Avoir une base juridique pour chaque traitement de donnees personnelles (consentement, contrat, obligation legale, interet legitime, etc.)
  2. Etre transparent sur ce que vous faites avec les donnees personnelles (politique de confidentialite)
  3. Conclure des contrats de sous-traitance avec les parties qui traitent des donnees pour votre compte
  4. Repondre aux demandes des personnes concernees (acces, suppression, rectification) dans les 30 jours
  5. Signaler les violations de donnees a l’autorite de controle dans les 72 heures s’il y a un risque pour les personnes concernees
  6. Tenir un registre des traitements (en pratique obligatoire pour quasiment toute entreprise)

Ou vous obtenez des allegements

Il existe quelques allegements pour les petites organisations :

  • Vous n’avez pas toujours besoin de nommer un Delegue a la Protection des Donnees (DPO), sauf si votre activite principale consiste a traiter des categories speciales de donnees ou a effectuer un suivi a grande echelle
  • Une Analyse d’Impact relative a la Protection des Donnees (AIPD) n’est obligatoire que pour les traitements a haut risque
  • Les obligations de documentation peuvent etre proportionnelles a la taille de votre entreprise

Mais attention : ces allegements concernent des exigences supplementaires specifiques. Les obligations de base s’appliquent a tous.

Exemples reels

Ce n’est pas de la theorie. Les autorites de controle en Europe sanctionnent activement les petites organisations :

  • Grece (2023) : un petit employeur a recu une amende de 8 000 euros pour l’installation de cameras sans informer adequatement les employes
  • Espagne (2023) : une salle de sport locale a ete sanctionnee de 7 000 euros pour avoir partage les donnees de sante de ses membres sans consentement
  • Italie (2022) : une petite boutique en ligne a recu une amende de 10 000 euros pour ne pas avoir honore une demande de suppression
  • Pologne (2024) : un entrepreneur individuel a recu une amende de 4 500 euros pour l’absence de registre des traitements

Les autorites de controle ont souligne a plusieurs reprises que la taille de l’entreprise ne dispense pas du RGPD.

Pourquoi c’est en fait une opportunite

Au lieu de voir le RGPD comme un fardeau qui ne vous concerne pas, vous pouvez le voir autrement. En tant que petite entreprise, vous avez un avantage : vous traitez probablement moins de donnees personnelles qu’une grande entreprise, ce qui signifie que votre mise en conformite est plus simple.

La plupart des PME peuvent mettre leur base RGPD en ordre en quelques semaines. Pas de projets de plusieurs mois, pas de consultants couteux. Juste bien regler les bases :

1. Cartographiez ce que vous traitez

Faites une liste de toutes les donnees personnelles que vous traitez : clients, employes, fournisseurs, visiteurs du site web. C’est votre registre des traitements.

2. Organisez vos contrats

Concluez des contrats de sous-traitance avec votre comptable, votre fournisseur d’e-mail, votre fournisseur CRM et autres sous-traitants.

3. Informez vos clients et employes

Redigez une politique de confidentialite qui correspond a ce que vous faites reellement. Pas un document copie d’internet, mais une explication claire de vos traitements.

4. Preparez un plan pour les demandes et incidents

Sachez quoi faire quand un client demande l’acces ou la suppression. Sachez quoi faire en cas de violation de donnees.

auto_awesome Voulez-vous savoir ou vous en etes vraiment ?

GDPRWise scanne votre site web et vous donne une image complete de votre statut RGPD. En 15 minutes, vous saurez ce qui est en ordre et ce qu'il reste a faire.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.