RGPD pour les TPE du bâtiment : L’essentiel à faire (et rien de plus)
- Léa Cieslak
- 7 mai
- 8 min de lecture
Vous êtes dirigeant d’une TPE du bâtiment. Entre les chantiers, les devis et la gestion des équipes, le RGPD (Règlement Général sur la Protection des Données) vous semble être une contrainte de plus, réservée aux grandes entreprises ou aux géants du numérique.
Pourtant, le RGPD s’applique à TOUTES les entreprises, y compris la vôtre. Même si vous n’avez que 5 salariés. Même si vous ne vendez pas en ligne. Même si vous pensez ne pas traiter de données sensibles.
La preuve ?
Un artisan plombier a été condamné à 10 000 € d’amende pour avoir conservé les coordonnées de ses clients sans leur accord et sans les sécuriser.
Une petite entreprise de menuiserie a dû payer 15 000 € après une fuite de données (un fichier Excel avec les noms, adresses et numéros de téléphone de ses clients, envoyé par erreur à un mauvais destinataire).
Le pire ? Ces sanctions auraient pu être évitées avec quelques actions simples.
Alors, que devez-vous REELLEMENT faire pour être en conformité avec le RGPD, sans y passer des heures ni dépenser des fortunes ?
1. Le RGPD en 30 secondes : ce qui vous concerne VRAIMENT
Le RGPD, c’est un règlement européen qui encadre la collecte, le stockage et l’utilisation des données personnelles (noms, adresses, emails, numéros de téléphone, etc.) de vos clients, fournisseurs, salariés et prospects.
Dans le bâtiment, les données que vous traitez le plus souvent :
✅ Données clients : noms, adresses, numéros de téléphone, emails, devis, contrats.
✅ Données fournisseurs : coordonnées des sous-traitants, partenaires.
✅ Données salariés : contrats de travail, fiches de paie, adresses.
✅ Données prospects : contacts issus de salons, demandes de devis.
Ce que dit la loi :
Vous devez protéger ces données contre les pertes, vols ou fuites.
Vous devez informer les personnes dont vous collectez les données.
Vous devez respecter leurs droits (accès, rectification, suppression).
Ce que la loi NE vous demande PAS :
❌ Avoir un DPO (Délégué à la Protection des Données) si vous avez moins de 20 salariés (sauf si vous traitez des données sensibles à grande échelle).
❌ Faire certifier votre entreprise par un organisme externe.
❌ Chiffrer toutes vos données (sauf si elles sont très sensibles).
2. Les 4 obligations RGPD incontournables pour une TPE du bâtiment
Obligation n°1 : Savoir QUOI et POURQUOI vous collectez
Pourquoi ?Le RGPD exige que vous documentiez les données que vous traitez et la raison pour laquelle vous les utilisez.
Comment faire ?
Faites l’inventaire des données que vous collectez :
Clients : noms, adresses, emails, numéros de téléphone, devis, factures.
Fournisseurs : coordonnées des sous-traitants.
Salariés : contrats, fiches de paie, adresses.
Prospects : contacts issus de salons, demandes de devis.
Classez-les par catégorie :
Données clients → Pour la gestion commerciale et la facturation.
Données fournisseurs → Pour la gestion des achats.
Données salariés → Pour la paie et la gestion du personnel.
Notez le but pour chaque catégorie :
Exemple : "Les données clients sont utilisées pour établir des devis, envoyer des factures et assurer le suivi des chantiers."
Outils simples :
Un tableau Excel ou un document Word suffisent.
Exemple :
Catégorie de données | Types de données | Finalité | Durée de conservation |
Clients | Nom, adresse, email, téléphone | Gestion commerciale, facturation | 5 ans (durée légale pour les factures) |
Fournisseurs | Nom, SIRET, coordonnées | Gestion des achats | Durée du contrat + 5 ans |
Salariés | Nom, adresse, contrat, fiche de paie | Gestion du personnel | Durée du contrat + 10 ans |
À retenir :
Ne collectez que ce dont vous avez besoin.
Exemple : si vous n’utilisez pas les numéros de téléphone de vos clients, ne les demandez pas.
Obligation n°2 : Informer vos clients, fournisseurs et salariés
Pourquoi ?Le RGPD impose que vous informiez les personnes dont vous collectez les données de la manière dont vous les utilisez.
Comment faire ?
Ajoutez une mention RGPD dans :
Vos devis et contrats.
Votre site web.
Vos emails de prospection.
Que doit contenir cette mention ?
Qui collecte les données ? (Votre entreprise)
Quelles données sont collectées ? (Nom, adresse, email, etc.)
Pourquoi ? (Gestion commerciale, facturation, suivi de chantier)
Combien de temps sont-elles conservées ? (Ex. : 5 ans pour les factures)
Quels sont leurs droits ? (Accès, rectification, suppression)
Comment exercer ces droits ? (Email ou adresse postale)
Exemple de mention RGPD pour un devis :
"Conformément au RGPD, vos données personnelles (nom, adresse, email, téléphone) sont collectées par [NOM DE VOTRE ENTREPRISE] pour la gestion de votre demande de devis et le suivi commercial. Elles seront conservées pendant 5 ans. Vous disposez d’un droit d’accès, de rectification et de suppression de vos données. Pour l’exercer, contactez-nous à [EMAIL] ou [ADRESSE POSTALE]."
Outils simples :
Utilisez un modèle de mention RGPD (disponible gratuitement sur le site de la CNIL).
Copiez-collez cette mention dans tous vos documents commerciaux.
À retenir :
Pas besoin de faire un document complexe. Une phrase claire et précise suffit.
Obligation n°3 : Sécuriser les données (même sans budget IT)
Pourquoi ?Le RGPD exige que vous protégiez les données contre les pertes, vols ou fuites.
Comment faire ? (Solutions simples et peu coûteuses)
Protégez vos fichiers :
Verrouillez votre ordinateur avec un mot de passe.
Utilisez un mot de passe fort (au moins 12 caractères, avec majuscules, chiffres et symboles).
Ne stockez pas les données sur un disque dur non sécurisé (ex. : clé USB non chiffrée).
Sécurisez vos emails :
Ne envoyez pas de données sensibles par email non chiffré (ex. : fichiers Excel avec des coordonnées clients).
Utilisez des outils sécurisés pour les transferts de fichiers :
WeTransfer (version gratuite avec chiffrement).
Google Drive ou Dropbox (avec partage sécurisé).
Un logiciel de gestion commerciale (ex. : Ciel, QuickBooks, ou un CRM comme HubSpot).
Limitez l’accès aux données :
Seuls les salariés qui en ont besoin doivent y avoir accès.
Ne partagez pas les mots de passe (chaque collaborateur doit avoir le sien).
Sauvegardez vos données :
Faites des sauvegardes régulières (sur un disque dur externe ou dans le cloud).
Testez la restauration pour être sûr que ça fonctionne.
À retenir :
Pas besoin d’un système ultra-sécurisé. Des mesures basiques suffisent pour une TPE.
Évitez les fuites accidentelles (ex. : envoyer un email à la mauvaise personne).
Obligation n°4 : Respecter les droits des personnes (accès, rectification, suppression)
Pourquoi ?Le RGPD donne aux personnes des droits sur leurs données. Vous devez les respecter.
Quels sont ces droits ?
Droit | Ce que ça signifie | Comment le gérer ? |
Droit d’accès | La personne peut vous demander quelles données vous avez sur elle. | Répondez sous 1 mois avec une copie de ses données. |
Droit de rectification | La personne peut vous demander de corriger ses données (ex. : une adresse erronée). | Corrigez sans délai. |
Droit à l’oubli | La personne peut vous demander de supprimer ses données. | Supprimez-les sauf si vous êtes obligé de les conserver (ex. : pour une facture). |
Droit d’opposition | La personne peut refuser que ses données soient utilisées pour du marketing. | Respectez son choix. |
Comment gérer ces demandes ?
Désignez un responsable dans votre entreprise pour traiter ces demandes (même si c’est vous).
Répondez sous 1 mois (délai légal).
Conservez une trace des demandes et de vos réponses.
Exemple de processus :
Un client vous envoie un email : "Je souhaite savoir quelles données vous avez sur moi."
Vous lui répondez sous 1 mois avec :
Une copie de ses données (nom, adresse, emails échangés, devis, factures).
Un rappel de ses droits (rectification, suppression, opposition).
À retenir :
Ne paniquez pas si un client exerce ses droits. Répondez simplement et rapidement.
Conservez les données obligatoires (ex. : factures pour la comptabilité) même si le client demande leur suppression.
3. Les 3 erreurs RGPD les plus fréquentes (et comment les éviter)
Erreur | Risque | Solution |
Ne pas informer les clients (pas de mention RGPD dans les devis/contrats). | Sanction jusqu’à 4% du CA annuel. | Ajoutez une mention RGPD standard dans tous vos documents. |
Conserver des données trop longtemps (ex. : garder les coordonnées de prospects qui n’ont jamais répondu). | Sanction pour non-respect des durées de conservation. | Supprimez les données inutiles (ex. : prospects non convertis après 3 ans). |
Ne pas sécuriser les données (fichiers Excel non protégés, mots de passe faibles). | Risque de fuite de données → Sanction + perte de confiance. | Verrouillez vos fichiers et utilisez des mots de passe forts. |
4. Que faire en cas de fuite de données ?
Scénario :Vous réalisez que vous avez envoyé un fichier Excel avec les coordonnées de 50 clients à la mauvaise personne. Que faire ?
Agissez vite :
Récupérez le fichier si possible (demandez au destinataire de le supprimer).
Changez les mots de passe si le fichier contenait des identifiants.
Documentez l’incident :
Notez ce qui s’est passé, quand, et quelles données étaient concernées.
Évaluez le risque :
Si la fuite concerne des données sensibles (ex. : numéros de sécurité sociale, données bancaires), vous devez déclarer l’incident à la CNIL sous 72h.
Si la fuite concerne des données non sensibles (noms, adresses, emails), une déclaration n’est pas obligatoire, mais il est conseillé d’informer les personnes concernées.
Informez les personnes concernées (si nécessaire) :
Envoyez un email transparent :
"Nous avons constaté une erreur dans l’envoi d’un fichier contenant vos coordonnées. Nous avons pris les mesures nécessaires pour limiter l’impact et nous vous prions de nous excuser pour ce désagrément."
À retenir :
Ne cachez pas l’incident. La CNIL sanctionne plus sévèrement les entreprises qui mentent.
Un incident bien géré peut limiter les dégâts (sanctions et perte de confiance).
5. Les outils gratuits ou peu coûteux pour vous aider
Besoin | Solution | Coût |
Modèle de mention RGPD | Gratuit | |
Stockage sécurisé des fichiers | Google Drive, Dropbox | Gratuit (version basique) |
Transferts de fichiers sécurisés | WeTransfer | Gratuit |
Gestion des contacts clients | CRM gratuit (HubSpot, Zoho) | Gratuit (version basique) |
Sauvegarde automatique | Google Drive, OneDrive | Gratuit (version basique) |
Ce que peu de dirigeants savent :
Le RGPD n’est pas une contrainte, mais une opportunité.
En sécurisant vos données, vous protégez votre réputation et évitez les amendes.
En informant vos clients, vous renforcez leur confiance en votre entreprise.
Les sanctions RGPD sont rares pour les TPE… mais elles existent.
La CNIL cible d’abord les grandes entreprises, mais les TPE ne sont pas épargnées en cas de négligence grave (ex. : fuite de données non déclarée).
Conclusion : Le RGPD pour une TPE du bâtiment, c’est simple comme bonjour
Récapitulons ce que vous devez REELLEMENT faire :
Faites l’inventaire de vos données (clients, fournisseurs, salariés).
Ajoutez une mention RGPD dans vos devis, contrats et emails.
Sécurisez vos données (mots de passe, sauvegardes, accès limités).
Respectez les droits de vos clients (accès, rectification, suppression).
Et c’est tout.
Pas besoin de :
Un DPO (sauf si vous traitez des données sensibles à grande échelle).
Un audit coûteux.
Des logiciels complexes.
Le RGPD pour une TPE, c’est avant tout du bon sens :
Ne collectez que ce dont vous avez besoin.
Protégez ce que vous collectez.
Soyez transparent avec vos clients.
En résumé :Le RGPD, c'est surtout une question d’organisation et de rigueur. Et une fois que c’est en place, vous n’y penserez même plus… jusqu’à ce qu’un client vous demande ce que vous faites de ses données. Et là, vous pourrez répondre avec sérénité.
Et si vous vouliez aller plus loin ?
Un audit RGPD personnalisé peut vous aider à :
Identifier les risques spécifiques à votre activité.
Mettre en place des processus simples pour rester conforme.
Éviter les sanctions et gagner la confiance de vos clients.
Demandez votre audit RGPD gratuit avec Govva et assurez-vous que votre entreprise est 100% conforme sans y passer des heures.
Commentaires