north_east Deux univers, une même exigence : sur-mesure premium pour projets ambitieux, offre simplifiée pour artisans, TPE et PME.
terminal MA-Digital
arrow_back Blog
site-artisan

RGPD pour artisan : le minimum vital pour ne pas risquer 4 % de CA

19 avril 2026 · 6 min de lecture
RGPD pour artisan : le minimum vital pour ne pas risquer 4 % de CA

Pourquoi un artisan est concerné

Beaucoup d’artisans pensent que le RGPD ne concerne que les grandes entreprises. Faux. Dès que vous :

  • Avez un site web qui collecte un email ou un téléphone via un formulaire.
  • Tenez un fichier client (Excel, papier, ou logiciel).
  • Utilisez Google Analytics ou tout outil de tracking.
  • Envoyez des devis par email avec coordonnées personnelles.

Vous traitez des données personnelles, donc le RGPD s’applique. Sanctions théoriques : jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros, selon le plus élevé.

En pratique, la CNIL ne va pas vous mettre en faillite pour un manquement mineur. Mais une plainte d’un client mécontent peut déclencher un contrôle. Et un contrôle sans aucune mesure prise débouche sur des sanctions disproportionnées au chiffre d’affaires d’une TPE.

Voici le minimum vital : 7 actions concrètes qui vous protègent.

Action 1 : Avoir une politique de confidentialité

Créez une page « Politique de confidentialité » sur votre site qui explique :

  • Quelles données vous collectez (email, téléphone, adresse, contenu du formulaire).
  • Pourquoi vous les collectez (établir un devis, vous recontacter).
  • Combien de temps vous les gardez (par exemple 3 ans après le dernier contact).
  • Avec qui vous les partagez (votre hébergeur, votre fournisseur d’emails).
  • Quels droits ont vos clients (accès, rectification, suppression, portabilité).
  • Comment exercer ces droits (votre email de contact dédié).

Modèle gratuit : la CNIL fournit des modèles utilisables. Adaptez-les à votre activité réelle.

Action 2 : Bandeau cookies conforme

Si votre site utilise Google Analytics, Hotjar, Facebook Pixel, ou tout outil de tracking, vous devez afficher un bandeau cookies conforme.

Règles clés (depuis la mise à jour CNIL 2022) :

  • Le refus doit être aussi facile que l’acceptation (même nombre de clics).
  • Pas de cases pré-cochées par défaut.
  • Le bandeau doit expliquer clairement ce que chaque cookie fait.
  • Tant que l’utilisateur n’a pas cliqué « Accepter », aucun tracker ne se déclenche.

Solutions gratuites ou peu chères :

  • Tarteaucitron.js : gratuit, conforme, à intégrer manuellement.
  • Axeptio : 19 €/mois, plug-and-play, conforme.
  • Cookiebot : 9 €/mois pour les petits sites.

Évitez les bandeaux maison codés à la va-vite : ils sont souvent non conformes et facilement signalables.

Action 3 : Mentions légales complètes

La page « Mentions légales » est obligatoire pour tout site professionnel français. Elle doit contenir :

  • Identité : nom de votre entreprise, forme juridique (auto-entrepreneur, EURL, SARL…), capital social si applicable.
  • Adresse : siège social.
  • SIRET et numéro RCS.
  • Numéro de TVA si vous y êtes assujetti.
  • Email et téléphone de contact.
  • Hébergeur : nom, adresse, téléphone (souvent OVH, Vercel, etc.).
  • Directeur de publication : généralement le gérant.

Manquement : 75 000 € d’amende théorique pour une personne physique, 375 000 € pour une personne morale. En pratique, des avertissements avant sanction.

Action 4 : Sécuriser le formulaire de contact

Votre formulaire de devis collecte des données personnelles. Vous devez :

  • HTTPS activé (Let’s Encrypt gratuit). Sans HTTPS, vos visiteurs envoient leurs données en clair.
  • Mention de consentement sous le formulaire : « En envoyant ce formulaire, vous acceptez que vos données soient utilisées pour traiter votre demande. Voir notre politique de confidentialité. »
  • Pas de stockage inutile : si une donnée n’est pas nécessaire, ne la demandez pas.

Action 5 : Tenir un registre des traitements (simple)

La CNIL exige un registre des traitements documenté pour toute entreprise traitant des données personnelles. Pour un artisan, un simple tableau Excel suffit :

Traitement Données collectées Finalité Durée Destinataires
Demandes de devis web Nom, email, téléphone, message Établir un devis 3 ans après dernier contact Aucun externe
Fichier clients facturés Nom, adresse, téléphone, historique Suivi commercial Durée légale comptable (10 ans) Comptable
Newsletter (si vous en avez) Email Communication marketing Jusqu’au désabonnement Mailchimp / Brevo

Téléchargez un modèle gratuit sur le site de la CNIL. Mettez à jour quand vos pratiques changent.

Action 6 : Sécuriser votre fichier client

Votre fichier client, qu’il soit dans Excel, sur papier, ou dans un logiciel :

  • Accès limité aux personnes qui en ont vraiment besoin.
  • Mot de passe sur le fichier ou l’ordinateur.
  • Sauvegarde régulière (et chiffrée si possible).
  • Suppression des clients inactifs depuis longtemps (la durée légale de conservation comptable est généralement de 10 ans, vous pouvez ensuite supprimer).

Un fichier client traîné sur un PC sans mot de passe est un risque RGPD majeur, particulièrement en cas de vol de l’ordinateur.

Action 7 : Procédure pour les demandes de droits

Vos clients ont le droit de demander :

  • Accès : quelles données vous avez sur eux.
  • Rectification : corriger une donnée.
  • Suppression : effacer leurs données.
  • Portabilité : recevoir leurs données dans un format réutilisable.

Vous devez répondre dans le mois suivant la demande. Pour un artisan, c’est rarement complexe :

  • Demande d’accès : extraire ses informations de votre fichier, les envoyer.
  • Demande de suppression : effacer son entrée du fichier (sauf obligations comptables).
  • Demande de rectification : corriger.

Préparez à l’avance un email type pour répondre à ces demandes. Vous gagnerez du temps quand elles arriveront.

Ce que vous N’avez PAS à faire (myths)

Myth 1 : « Il faut nommer un DPO »

Faux pour un artisan. Le DPO (Délégué à la Protection des Données) n’est obligatoire que pour les organisations dont l’activité principale est le traitement massif de données ou les autorités publiques.

Myth 2 : « Il faut faire un audit annuel par un cabinet »

Faux. Pour une TPE, votre registre des traitements à jour suffit. Un audit ne devient pertinent qu’au-delà d’une certaine taille (>50 salariés ou activité sensible).

Myth 3 : « Je dois certifier mon site »

Faux. Aucune certification RGPD officielle n’est obligatoire ni reconnue. Méfiez-vous des prestataires qui vous vendent des « certifications » payantes : c’est du marketing.

Myth 4 : « Je dois souscrire une assurance cyber »

Pas obligatoire, mais recommandé si votre activité dépend fortement de votre site (e-commerce). Pour un artisan classique, l’assurance pro standard couvre les bases.

Combien ça coûte

Vraiment minimum (à faire vous-même) :

  • Mentions légales + politique de confidentialité (modèles CNIL adaptés) : 0 €.
  • Bandeau cookies (Tarteaucitron) : 0 €.
  • HTTPS Let’s Encrypt : 0 €.
  • Registre des traitements (Excel) : 0 €.

Total : 0 € + ~3-4 heures de votre temps.

Avec accompagnement :

  • Audit conformité par un studio sérieux : 800-1 500 € HT.
  • Mise en place complète et formation : 1 500-3 000 € HT.

Pour un artisan, le minimum vital fait soi-même couvre 90 % du risque réel.

Votre prochaine action

Cette semaine, vérifiez :

  1. Avez-vous une page « Mentions légales » à jour ?
  2. Avez-vous une page « Politique de confidentialité » ?
  3. Si vous avez Google Analytics : avez-vous un bandeau cookies conforme ?
  4. Avez-vous un registre des traitements (même très simple) ?

Si vous répondez « non » à 2 ou 3 questions, votre exposition au risque est élevée. Pour cadrer une mise en conformité rapide adaptée à votre TPE, on prend 30 minutes.

À lire aussi

site-artisan

Site internet ou Facebook pour un artisan : le vrai arbitrage en 2026

Lire arrow_forward

site-artisan

Site internet pour TPE : par où commencer concrètement en 2026

Lire arrow_forward

site-artisan

Refondre son site d'artisan : 7 signaux qui doivent vous décider

Lire arrow_forward

Cadrer ma mise en conformité

Cadrer ma mise en conformité