Votre fichier Excel est déjà concerné par le RGPD
Beaucoup de dirigeants de petites entreprises pensent que le RGPD s'applique « aux logiciels » ou « aux sites web ». En réalité, le règlement s'applique à tout traitement de données personnelles : un fichier Excel avec les noms et téléphones de vos clients, un carnet de contacts, une liste de prospects récupérée sur internet — tout cela constitue un traitement au sens du RGPD.
Concrètement, dès que vous enregistrez des informations sur une personne identifiable (nom, email, téléphone, adresse, notes sur ses projets), vous avez des obligations : savoir pourquoi vous les collectez, les protéger, ne pas les garder éternellement, et permettre aux personnes d'exercer leurs droits.
Sur quelle base légale reposent vos données clients ?
Le RGPD exige que chaque donnée collectée repose sur une « base légale ». Pour un fichier clients de TPE, trois cas couvrent l'essentiel des situations :
| Situation | Base légale habituelle |
|---|---|
| Clients actuels (devis, factures, suivi de prestation) | Exécution du contrat |
| Prospection de professionnels (B2B) en lien avec leur activité | Intérêt légitime |
| Prospection de particuliers (B2C) par email/SMS | Consentement préalable |
La distinction la plus importante en pratique : en B2B, vous pouvez prospecter par email un professionnel sans son consentement préalable si le message est en rapport avec sa fonction, à condition de l'informer et de lui permettre de s'opposer facilement (lien ou mention de désinscription). En B2C, le consentement préalable est requis pour la prospection électronique. Dans tous les cas, une personne qui demande à ne plus être contactée doit être retirée de vos relances — définitivement.
Combien de temps pouvez-vous garder les données ?
Le RGPD impose de ne pas conserver les données « plus longtemps que nécessaire ». Pour une petite entreprise, les repères usuels (recommandations CNIL) sont :
- Prospects : 3 ans après le dernier contact de leur part (réponse, clic, appel). Au-delà, supprimez ou réobtenez un contact actif.
- Clients : pendant la relation commerciale, puis archivage limité pour les obligations légales (les factures se conservent 10 ans au titre du droit commercial — mais dans votre comptabilité, pas dans votre fichier de prospection).
- Notes et historique : mêmes durées que le contact auquel ils sont rattachés — et uniquement des informations pertinentes et professionnelles.
Attention aux notes libres : tout ce que vous écrivez dans une fiche client peut être communiqué à la personne si elle exerce son droit d'accès. Une bonne règle : n'écrivez jamais dans une fiche ce que vous ne diriez pas au client en face.
Les droits de vos clients (et comment y répondre)
Toute personne figurant dans votre fichier peut vous demander :
- L'accès — « quelles données avez-vous sur moi ? » : vous devez fournir une copie.
- La rectification — corriger une information inexacte.
- L'effacement — supprimer ses données (hors obligations légales de conservation).
- L'opposition — ne plus recevoir de prospection : à appliquer sans condition.
- La portabilité — récupérer ses données dans un format lisible (un export CSV/Excel suffit).
Vous avez un mois pour répondre. Pour une TPE, le plus simple est d'utiliser un outil qui permet de retrouver, exporter et supprimer une fiche en quelques clics — c'est techniquement trivial dans un CRM, et laborieux dans des fichiers dispersés.
La checklist conformité du fichier clients de TPE
- Je sais où sont stockées mes données clients (un seul outil, pas cinq fichiers dispersés)
- Je ne collecte que les informations utiles à ma relation commerciale
- Mes emails de prospection contiennent un moyen simple de se désinscrire
- Je supprime les prospects inactifs depuis plus de 3 ans
- Je peux exporter ou supprimer les données d'une personne sur demande, sous un mois
- Mon outil est protégé par mot de passe et mes données sont hébergées dans l'Union européenne
- J'ai mentionné mes traitements dans une politique de confidentialité accessible
Registre des traitements, DPO : qu'est-ce qui s'applique à une TPE ?
Deux obligations font souvent peur aux petites structures — à tort :
- Le registre des traitements. Oui, il est en principe requis, mais pour une TPE c'est un document simple : un tableau qui liste vos traitements (fichier clients, paie, prospection), leur finalité, les données concernées et leur durée de conservation. La CNIL fournit un modèle gratuit adapté aux petites entreprises — comptez une heure pour le remplir la première fois.
- Le délégué à la protection des données (DPO). Il n'est obligatoire que dans des cas précis (organismes publics, suivi régulier à grande échelle, données sensibles à grande échelle). Une TPE qui gère un fichier clients classique n'a pas à désigner de DPO — mais doit quand même savoir qui, en interne, répond aux demandes des clients.
En pratique pour une TPE : un registre simple tenu à jour, une mention claire de vos traitements sur votre site, un outil sécurisé hébergé en Europe et la capacité de répondre aux demandes en un mois — voilà l'essentiel d'une conformité raisonnable. Le RGPD demande de la rigueur, pas une armée de juristes.
Le choix de l'outil compte (beaucoup)
Un fichier Excel qui circule par email, copié sur trois ordinateurs et une clé USB, est difficile à sécuriser et impossible à purger proprement. C'est l'un des arguments les plus solides en faveur d'un CRM — au-delà du gain commercial que nous détaillons dans notre comparatif CRM vs Excel :
- Un seul emplacement pour toutes les données — l'effacement d'une fiche est réel et complet
- Hébergement européen et chiffrement — chez pylotIA, les données sont hébergées en Europe (Supabase, région AWS UE) avec une isolation stricte par compte
- Export en un clic pour répondre à une demande de portabilité
- Accès protégé par authentification — pas de fichier qui traîne dans une boîte mail
Le détail de nos engagements (sous-traitants, bases légales, transferts, droits) est public dans notre politique de confidentialité — c'est aussi un bon modèle de ce que votre propre entreprise doit savoir présenter à ses clients. Pour choisir un outil adapté à votre structure, consultez notre guide du CRM pour PME françaises.
Un fichier clients propre, sécurisé et conforme
pylotIA héberge vos données en Europe, avec export et suppression à tout moment. Gratuit pour démarrer.
Créer mon compte gratuit →Cet article fournit une information générale destinée aux petites entreprises et ne constitue pas un conseil juridique. Pour une situation spécifique (données sensibles, volumétrie importante, secteur réglementé), rapprochez-vous d'un professionnel du droit ou consultez les ressources de la CNIL (cnil.fr).