Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

RGPD micro-entreprise 2026 : vos obligations réelles

Micro-entreprise et indépendant : vos obligations RGPD réelles, le mythe du seuil des 250 salariés, le registre allégé et la checklist d'une journée.

L’essentiel. Le RGPD s’applique quelle que soit la taille de votre entreprise : il n’existe aucun seuil de chiffre d’affaires ni d’effectif qui vous en exonérerait. Le fameux « seuil des 250 salariés » ne dispense pas du RGPD ; il concerne uniquement, et sous conditions, l’obligation de tenir un registre — et ces conditions sont si rarement remplies qu’en pratique une micro-entreprise doit tenir un registre malgré tout. La bonne nouvelle : pour un indépendant ou une TPE aux traitements simples (clients, prospects, fournisseurs, éventuellement quelques salariés), la mise en conformité de base tient dans une journée de travail bien organisée. Ce qui compte, ce n’est pas la lourdeur, c’est la constance : identifier ses traitements, sécuriser les données, informer les personnes, et respecter leurs droits.

« Je suis auto-entrepreneur, le RGPD ne me concerne pas. » C’est probablement la phrase que j’entends le plus souvent, et elle est fausse. Le RGPD ne demande pas votre nombre de salariés avant de s’appliquer : dès lors que vous traitez des données personnelles — c’est-à-dire, concrètement, dès que vous avez un fichier clients, une liste de prospects, un formulaire de contact ou des bulletins de paie — vous êtes responsable de traitement au sens du règlement.

La vraie question n’est donc pas « suis-je concerné ? » (vous l’êtes), mais « qu’est-ce qui s’applique réellement à une structure de ma taille ? ». Parce que le RGPD est un texte proportionné : il n’exige pas d’une micro-entreprise le même appareillage documentaire qu’un grand groupe. Cet article fait le tri entre les obligations qui s’imposent vraiment à un indépendant ou une TPE, celles qui sont allégées, et les mythes qui circulent.

Le mythe du seuil : ce que dit vraiment le RGPD

Le malentendu vient d’une lecture tronquée de l’article 30 du RGPD, relatif au registre des activités de traitement. Son paragraphe 5 prévoit une dispense de registre pour les organismes de moins de 250 salariés. Beaucoup s’arrêtent là et en concluent qu’ils sont dispensés. C’est une erreur, pour deux raisons.

Première raison : la dispense ne concerne QUE le registre. Elle ne touche à aucune autre obligation. La base légale, l’information des personnes, la sécurité, le respect des droits, les contrats de sous-traitance : tout cela reste dû, quelle que soit votre taille.

Deuxième raison : la dispense de registre est elle-même largement neutralisée par ses exceptions. L’article 30(5) ne joue pas dès que l’une des situations suivantes se présente :

  • le traitement est susceptible de comporter un risque pour les droits et libertés des personnes ;
  • le traitement n’est pas occasionnel (autrement dit, il est régulier) ;
  • le traitement porte sur des catégories particulières de données (données de santé, opinions, etc. — voir l’article 9 du RGPD) ou sur des données relatives à des condamnations pénales.

Or un fichier clients tenu en continu, une gestion de paie mensuelle ou une liste de prospection ne sont pas occasionnels : ils sont réguliers par nature. En pratique, la quasi-totalité des traitements d’une micro-entreprise tombent donc hors de la dispense. C’est pourquoi la CNIL recommande, sans détour, à toutes les structures de tenir un registre — au besoin dans une version allégée. Le « seuil » est un mythe : il ne vous exonère de rien d’essentiel.

Les obligations qui s’appliquent réellement à une micro-entreprise

Voici, sans jargon superflu, ce qui s’impose à un indépendant ou une TPE. Aucune de ces obligations ne dépend de votre taille.

Obligation Ce que cela signifie concrètement Fondement
Base légale Chaque traitement doit reposer sur une base valable (contrat, obligation légale, intérêt légitime, consentement…) Art. 6 RGPD
Information des personnes Dire aux clients/prospects qui vous êtes, pourquoi vous collectez, combien de temps, quels sont leurs droits Art. 12 à 14 RGPD
Respect des droits Répondre aux demandes d’accès, rectification, effacement, opposition dans un délai d’un mois Art. 15 à 22 RGPD
Minimisation Ne collecter que les données nécessaires à la finalité poursuivie Art. 5(1)© RGPD
Durées de conservation Ne pas conserver indéfiniment ; définir une durée par finalité Art. 5(1)(e) RGPD
Sécurité Mesures adaptées : mots de passe, sauvegardes, accès restreints, mises à jour Art. 32 RGPD
Sous-traitance Encadrer par contrat les prestataires qui traitent des données pour vous Art. 28 RGPD
Violations de données Notifier la CNIL sous 72 h en cas de violation à risque Art. 33 et 34 RGPD

Trois précisions utiles pour une petite structure.

La base légale n’est pas toujours le consentement. Beaucoup pensent devoir demander le consentement pour tout. Faux : gérer la relation avec un client repose sur l’exécution du contrat, tenir sa comptabilité sur une obligation légale, et fidéliser des clients existants peut relever de l’intérêt légitime. Le consentement n’est requis que dans des cas précis (prospection de non-clients par voie électronique, cookies non essentiels…). Voir notre analyse de l’intérêt légitime et le test à mener.

La sécurité est une obligation de moyens proportionnée. On n’attend pas d’un artisan les moyens d’une banque. Mais des mesures de base sont incontournables : mots de passe robustes, poste de travail à jour, sauvegardes régulières, chiffrement des supports mobiles, verrouillage des sessions. Si vous êtes en télétravail, quelques règles simples suffisent à couvrir l’essentiel.

Les contrats de sous-traitance existent même chez les petits. Votre logiciel de facturation en ligne, votre outil d’emailing, votre hébergeur, votre comptable qui accède à vos données : ce sont des sous-traitants au sens de l’article 28. Vérifier qu’un contrat conforme existe (souvent via les CGU/DPA du prestataire) fait partie de vos obligations.

Ce qui, en revanche, n’est généralement PAS obligatoire

Le RGPD étant proportionné, plusieurs obligations lourdes ne s’imposent pas à la plupart des micro-entreprises.

  • Le délégué à la protection des données (DPO). Sa désignation n’est obligatoire que dans trois cas (article 37) : autorité publique, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. Une TPE classique n’y est pas soumise. Vous pouvez désigner un référent volontairement, ou externaliser — voir les tarifs d’un DPO externalisé et les cas d’obligation.
  • L’analyse d’impact (AIPD). Elle n’est requise que pour les traitements susceptibles d’engendrer un risque élevé (profilage à grande échelle, surveillance systématique, données sensibles à grande échelle…). Voir notre guide sur l’AIPD. La plupart des traitements d’une micro-entreprise n’en relèvent pas.
  • Un appareil documentaire volumineux. Pas besoin de politiques internes de dizaines de pages. Un registre allégé, des mentions d’information claires et une procédure simple pour traiter les demandes suffisent au départ.

Attention : « pas obligatoire » ne veut pas dire « interdit ». Désigner un référent RGPD ou mener une analyse de risque même quand ce n’est pas exigé est souvent une bonne pratique, notamment si votre activité évolue.

Le registre allégé : le document central, même pour un indépendant

Même dispensé « en théorie », tenez un registre. C’est le document qui structure toute votre conformité : sans lui, vous ne savez pas quelles données vous détenez, pourquoi, où, ni jusqu’à quand. La CNIL met à disposition un modèle de registre simplifié adapté aux petites structures.

Pour une micro-entreprise, un registre tient sur un tableur. Pour chaque traitement, notez :

Colonne Exemple pour « Gestion clients »
Nom du traitement Gestion de la relation client
Finalité Suivi des commandes, facturation, SAV
Base légale Exécution du contrat (Art. 6-1-b)
Catégories de personnes Clients
Catégories de données Identité, coordonnées, historique d’achat
Destinataires Comptable, logiciel de facturation
Durée de conservation Relation contractuelle + 5 ans
Sécurité Accès par mot de passe, sauvegarde chiffrée

Répétez l’exercice pour chaque grande finalité : clients, prospects, fournisseurs, salariés le cas échéant, site web (formulaire de contact, éventuels cookies). Trois à six lignes suffisent souvent à couvrir toute l’activité d’un indépendant. Pour un exemple complet et commenté, voir notre modèle de registre RGPD rempli.

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version de juillet 2026.

La checklist « une journée » pour une micro-entreprise

Voici comment un indépendant peut poser les bases de sa conformité en une journée de travail concentrée.

  1. Lister ses traitements (1 h). Faites l’inventaire : où stockez-vous des données de personnes ? Fichier clients, boîte mail, logiciel de facturation, CRM, outil d’emailing, dossier RH. Chaque endroit = un ou plusieurs traitements.
  2. Remplir le registre allégé (1 h 30). Une ligne par finalité, avec les colonnes ci-dessus. C’est le cœur du travail.
  3. Vérifier ses bases légales (45 min). Pour chaque traitement, identifiez la base : contrat, obligation légale, intérêt légitime ou consentement. Corrigez ce qui repose sur une base fragile (par ex. prospection sans base valable).
  4. Rédiger/mettre à jour les mentions d’information (1 h). Sur votre site (page « politique de confidentialité »), vos formulaires, vos devis. Dites qui vous êtes, pourquoi vous collectez, la durée, et les droits des personnes. Voir les bonnes pratiques de l’article 12.
  5. Fixer les durées de conservation (30 min). Une durée par finalité. Appuyez-vous sur notre tableau des durées de conservation et sur le principe de minimisation.
  6. Sécuriser (45 min). Mots de passe robustes et uniques, activation des mises à jour, sauvegarde chiffrée, verrouillage des sessions, chiffrement des ordinateurs portables et téléphones.
  7. Recenser ses sous-traitants (45 min). Listez vos prestataires (hébergeur, emailing, facturation, comptable) et vérifiez qu’un contrat/DPA conforme à l’article 28 existe. Un questionnaire sous-traitants aide à structurer la démarche.
  8. Préparer la réponse aux droits (30 min). Décidez à l’avance comment vous répondrez à une demande d’accès ou d’effacement, et sous quel délai (un mois). Voir comment répondre à une demande de droit d’accès.

En fin de journée, vous disposez d’un socle réel : un inventaire, un registre, des bases légales vérifiées, des mentions à jour, des durées définies, des mesures de sécurité et une cartographie des sous-traitants. C’est déjà l’essentiel de ce que la CNIL attend d’une petite structure.

Erreurs fréquentes et sanctions

Les manquements les plus courants chez les indépendants ne relèvent pas de la mauvaise foi, mais du défaut de formalisation.

  • Croire que la petite taille protège des sanctions. Le montant d’une amende est proportionné, mais une TPE peut être sanctionnée, et la CNIL rappelle régulièrement à l’ordre de petites structures pour prospection illégale, défaut d’information ou conservation excessive.
  • Prospecter sans base légale valable. Envoyer des emails commerciaux à des contacts achetés ou collectés sans consentement, quand il est requis, est l’un des motifs de plainte les plus fréquents. Voir prospection commerciale et RGPD et l’opt-in / opt-out.
  • Conserver indéfiniment. Garder les données de prospects ou d’anciens clients « au cas où », sans durée définie, viole le principe de limitation de la conservation.
  • Ignorer les demandes des personnes. Ne pas répondre à une demande d’accès ou d’effacement dans le délai d’un mois est un manquement caractérisé, facile à sanctionner.

En cas de contrôle, une micro-entreprise qui présente un registre, des mentions et des mesures de sécurité de base démontre sa bonne foi et sa diligence — deux facteurs qui pèsent lourdement dans l’appréciation de la CNIL. Si une sanction devait néanmoins tomber, sachez qu’elle reste contestable : voir notre guide sur comment contester une amende CNIL.

Pour qui traite de la donnée à un volume qui grandit, maintenir cette conformité dans le temps devient vite chronophage : un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des durées et la traçabilité des mesures, sans mobiliser un temps que l’indépendant n’a pas.

FAQ

Un auto-entrepreneur est-il vraiment soumis au RGPD ?

Oui, sans exception. Le RGPD s’applique à tout responsable de traitement qui traite des données personnelles dans le cadre d’une activité, quelle que soit sa forme juridique ou sa taille. Un auto-entrepreneur qui tient un fichier clients, envoie des devis, gère une liste de prospects ou emploie des données de contact est pleinement concerné. Ce qui change avec la taille, ce n’est pas le principe de l’assujettissement, mais la proportionnalité des mesures attendues : on demande à un indépendant des mesures adaptées à ses moyens et à ses risques, pas l’appareil documentaire d’un grand groupe.

Le seuil de 250 salariés me dispense-t-il du registre ?

Pas en pratique. La dispense de l’article 30(5) ne joue que si le traitement est occasionnel, sans risque, et ne porte pas sur des données sensibles. Or les traitements courants d’une entreprise — fichier clients, paie, prospection — sont réguliers, donc exclus de la dispense. C’est pourquoi la CNIL recommande à toutes les structures, y compris les micro-entreprises, de tenir un registre, au besoin dans sa version allégée. Et même si vous en étiez dispensé, le registre reste l’outil indispensable pour piloter toutes vos autres obligations : sans lui, vous ne savez pas ce que vous détenez.

Une micro-entreprise doit-elle nommer un DPO ?

Dans l’immense majorité des cas, non. La désignation d’un délégué à la protection des données n’est obligatoire (article 37) que pour les autorités publiques, ou lorsque l’activité de base consiste en un suivi régulier et systématique à grande échelle, ou en un traitement à grande échelle de données sensibles. Une TPE ou un indépendant aux traitements classiques n’y est pas soumis. Vous pouvez néanmoins désigner volontairement un référent RGPD, ou faire appel à un DPO externalisé si votre activité présente des enjeux particuliers.

Combien de temps faut-il pour se mettre en conformité ?

Pour une structure aux traitements simples (clients, prospects, fournisseurs, quelques salariés), une journée de travail bien organisée suffit à poser le socle : inventaire, registre allégé, vérification des bases légales, mentions d’information, durées de conservation, mesures de sécurité de base et recensement des sous-traitants. La conformité n’est cependant pas un projet ponctuel : elle demande un entretien léger mais régulier (mise à jour du registre quand un traitement change, révision des durées, veille sur les demandes des personnes). L’effort initial est modéré ; c’est la constance qui fait la différence.

Quels sont les risques concrets si je ne fais rien ?

Les risques sont réels même pour une petite structure. La CNIL peut être saisie par une plainte (un prospect mécontent, un ancien salarié, un client), déclencher un contrôle et prononcer un rappel à l’ordre, une injonction, voire une amende proportionnée à votre situation. Les manquements les plus sanctionnés chez les petites structures sont la prospection sans base légale, le défaut d’information et la conservation excessive de données. Au-delà de la sanction, l’absence de conformité expose à un risque réputationnel et à des difficultés commerciales (des clients professionnels exigent désormais des garanties RGPD de leurs prestataires).

Faut-il une politique de confidentialité sur mon site web ?

Oui, dès que votre site collecte des données personnelles — ne serait-ce que via un formulaire de contact, une inscription à une newsletter ou des cookies de mesure d’audience. Cette page d’information (souvent appelée « politique de confidentialité » ou « mentions RGPD ») matérialise votre obligation d’information au titre des articles 12 à 14. Elle doit indiquer, en langage clair, qui vous êtes, les finalités de la collecte, la base légale, les durées de conservation, les destinataires éventuels et les droits des personnes, avec le moyen de les exercer. C’est l’un des premiers éléments qu’un visiteur — ou la CNIL — vérifiera.


Cet article présente le cadre applicable aux micro-entreprises et indépendants à la date de sa rédaction (juillet 2026). Il ne constitue pas un conseil juridique individualisé et doit être adapté à votre situation.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →