Réponse directe — ce qu'il faut retenir
Le RGPD (Règlement général sur la protection des données) impose à toute PME française de gérer les données de ses clients avec rigueur. Consentement, durée de conservation, droits des personnes, sécurité des accès : voici les 4 piliers de la conformité.
- Base légale obligatoire avant tout traitement : consentement, intérêt légitime ou obligation contractuelle.
- 8 droits reconnus aux personnes : accès, rectification, effacement, portabilité, opposition…
- Durée de conservation limitée : 3 ans maximum pour les prospects, 10 ans pour les données comptables.
- Sanctions CNIL : jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
- Un CRM conforme RGPD hébergé en France est la meilleure infrastructure pour gérer vos dossiers clients.
Vous collectez des emails, des numéros de téléphone, des historiques d'achats dans votre CRM ?
Vous êtes concerné par le RGPD — et probablement plus que vous ne le pensez.
Ce guide vous explique concrètement comment gérer vos données clients en conformité,
sans vous noyer dans le jargon juridique.
5 %seulement des PME françaises sont pleinement conformes au RGPD (CNIL 2024)
20 M€d'amende maximale pour les violations les plus graves du RGPD
3 ansdurée maximale de conservation des données prospects sans interaction
72 hdélai légal pour notifier la CNIL en cas de violation de données
Qu'est-ce que le RGPD ? Définition et champ d'application
Définition
Le RGPD (Règlement général sur la protection des données), entré en vigueur le 25 mai 2018, est un règlement européen qui encadre la collecte, le stockage et l'utilisation des données personnelles de toute personne résidant dans l'Union européenne. Il s'applique à toute organisation — quelle que soit sa taille — dès lors qu'elle traite des données personnelles de résidents européens.
Contrairement à une idée reçue, le RGPD ne concerne pas seulement les grandes entreprises. Une TPE avec 5 salariés qui collecte des emails clients dans un tableur y est soumise exactement au même titre qu'un groupe du CAC 40. La différence réside dans les obligations proportionnelles à la taille et au volume de données traitées.
Qui est concerné en pratique ?
🏢
Le responsable de traitement
Votre entreprise, qui décide pourquoi et comment les données sont collectées. C'est vous qui portez la responsabilité principale.
🔧
Le sous-traitant
Tout prestataire qui traite des données pour votre compte : votre éditeur CRM, votre hébergeur, votre agence emailing.
👤
La personne concernée
Vos clients, prospects, contacts, salariés. Toute personne physique dont vous détenez des données identifiables.
💡 RGPD vs loi Informatique et Libertés
Le RGPD ne remplace pas la loi Informatique et Libertés de 1978 : il la complète et la renforce.
En France, c'est la CNIL (Commission nationale de l'informatique et des libertés) qui est
l'autorité de contrôle compétente pour veiller à son application.
Quelles données clients sont concernées par le RGPD ?
Réponse directe
Toute information permettant d'identifier directement ou indirectement une personne physique est une donnée personnelle au sens du RGPD : nom, email, téléphone, adresse IP, historique d'achats, préférences, données de navigation, et a fortiori les données sensibles (santé, opinions politiques, etc.).
Les catégories de données dans un CRM
| Catégorie | Exemples | Niveau de sensibilité |
|---|
| Données d'identification |
Nom, prénom, adresse, email, téléphone |
Standard |
| Données comportementales |
Historique d'achats, préférences, interactions |
Standard |
| Données techniques |
Adresse IP, cookies, identifiants de connexion |
Standard |
| Données économiques |
Encours client, chiffre d'affaires réalisé, mode de paiement |
Standard |
| Données sensibles |
Santé, origine ethnique, opinions politiques, religion |
Très sensible — traitement interdit sauf exceptions |
📌 Données B2B : êtes-vous concerné ?
En B2B, les données des entreprises (SIREN, raison sociale, adresse siège) ne sont pas
des données personnelles. En revanche, dès que vous stockez le nom d'un contact, son email
professionnel ou son numéro de téléphone direct, le RGPD s'applique — même si cet email
est du type p.dupont@entreprise.fr.
Pour aller plus loin sur la gestion des données B2B, consultez notre guide sur la
segmentation client.
Les 6 bases légales du traitement des données
Réponse directe
Tout traitement de données personnelles doit reposer sur l'une des 6 bases légales définies par le RGPD. La plus connue est le consentement, mais elle n'est pas la seule — et souvent pas la plus adaptée pour les PME.
1
Le consentement
La personne a donné son accord explicite, libre et éclairé. Utilisé pour l'emailing marketing, les newsletters, les cookies. Le plus courant en marketing
2
L'exécution d'un contrat
Le traitement est nécessaire pour exécuter un contrat avec la personne (commande, facture, livraison). Très utilisé en B2B
3
L'obligation légale
Le traitement est imposé par la loi (conservation des factures 10 ans, obligations fiscales et sociales).
4
La sauvegarde des intérêts vitaux
Le client reçoit automatiquement la facture acquittée par email, avec archivage sécurisé dans les deux espaces. Zéro oubli, zéro manipulation manuelle.
5
La mission d'intérêt public
Réservé aux organismes publics et autorités.
6
L'intérêt légitime
LL'entreprise a un intérêt légitime qui l'emporte sur les droits de la personne (prospection B2B de contacts professionnels, prévention de la fraude). Très utilisé en prospection commerciale B2B
✅ Quelle base légale choisir pour votre CRM ?
Pour vos clients actifs : exécution du contrat.
Pour vos prospects B2B : intérêt légitime (avec opt-out facilité).
Pour vos newsletters et emailings marketing : consentement explicite.
Pour vos obligations comptables : obligation légale.
Les 8 droits des personnes que vous devez respecter
Réponse directe
Le RGPD reconnaît 8 droits fondamentaux à toute personne dont vous traitez les données. Votre PME doit être en mesure d'y répondre dans un délai d'un mois maximum à compter de la demande.
Les 8 droits fondamentaux du RGPD
📋
Droit d'accès
Obtenir une copie de toutes ses données détenues.
✏️
Droit de rectification
Corriger des données inexactes ou incomplètes.
🗑️
Droit à l'effacement
Demander la suppression de ses données (droit à l'oubli).
⏸️
Droit à la limitation
Suspendre temporairement l'utilisation de ses données.
📦
Droit à la portabilité
Récupérer ses données dans un format réutilisable.
🚫
Droit d'opposition
S'opposer à l'utilisation de ses données à des fins marketing.
🤖
Droit anti-profilage
Refuser une décision entièrement automatisée.
ℹ️
Droit à l'information
Être informé de la collecte et de l'utilisation de ses données.
En pratique, votre CRM doit vous permettre de traiter ces demandes rapidement. La CNIL met à disposition des modèles de réponse pour chaque type de demande. Retrouvez également nos conseils sur la gestion de votre portefeuille client pour structurer vos dossiers en conformité.
⚙️ Fonctionnalité Initiative CRM — Conformité RGPD et espace client
Initiative CRM inclut dans toutes ses formules un espace client avec gestion du consentement et des droits RGPD. Les personnes peuvent exercer leurs droits directement depuis leur espace, et chaque demande est tracée dans leur fiche.
Combien de temps conserver les données clients ?
Réponse directe
La durée de conservation dépend de la finalité du traitement. En règle générale : 3 ans maximum pour les prospects sans interaction, durée de la relation commerciale active pour les clients, et 10 ans pour les données comptables.
| Type de données | Durée recommandée | Base légale |
|---|
| Prospects sans suite |
3 ans maximum à compter du dernier contact actif |
Intérêt légitime |
| Clients actifs |
Durée de la relation commerciale + 3 ans pour la prospection |
Exécution du contrat |
| Anciens clients |
5 ans après la fin de la relation (prescription civile) |
Obligation légale |
| Factures et documents comptables |
10 ans (obligation légale Code de commerce) |
Obligation légale |
| Données de prospection emailing |
3 ans après le dernier clic ou ouverture |
Consentement / intérêt légitime |
| Données sensibles |
Durée strictement nécessaire à la finalité |
Consentement explicite |
⚠️ Au-delà des durées légales
Conserver des données au-delà des durées légales est une violation du principe de limitation
de la conservation et expose à des sanctions de la CNIL. Dans votre CRM, configurez
des règles de purge automatique pour les prospects inactifs depuis plus de 3 ans.
Comment gérer le consentement RGPD dans votre CRM ?
Réponse directe
Un consentement RGPD valide doit être libre, éclairé, spécifique et univoque. Il doit être documenté (date, canal, objet), facilement révocable, et distingué des autres consentements (CGV, newsletter, prospection commerciale).
Les 4 caractéristiques d'un consentement valide
🆓
Libre
Pas de case pré-cochée. Pas de consentement lié à l'accès à un service. La personne doit pouvoir refuser sans conséquence.
💡
Éclairé
La personne sait précisément pour quoi elle consent, qui traite ses données, et combien de temps elles seront conservées.
🎯
Spécifique
Un consentement distinct par finalité : newsletter ≠ prospection téléphonique ≠ partage avec des partenaires.
✅
Univoque
Un acte positif et explicite : coche active, bouton de validation. Pas de « silence vaut acceptation ».
Ce que doit tracer votre CRM
- La date et l'heure de recueil du consentement.
- Le canal de collecte : formulaire web, email, appel téléphonique, salon professionnel.
- La version du formulaire ou du texte présenté lors du consentement.
- L'objet du consentement : newsletter, prospection commerciale, partage avec partenaires.
- La date et le motif de retrait du consentement si applicable.
⚙️ Fonctionnalité Initiative CRM — Segmentation multicritères
La segmentation multicritères d'Initiative CRM (disponible dans toutes les formules) vous permet de filtrer vos contacts par statut de consentement, date d'opt-in ou d'opt-out, et canal de collecte. Vous pouvez ainsi n'envoyer vos campagnes qu'aux contacts correctement consentants.
Pour aller plus loin sur la gestion des consentements en prospection, consultez notre article sur la segmentation marketing.
Le registre des traitements : comment le tenir ?
Réponse directe
Toute organisation traitant des données personnelles doit tenir un registre des activités de traitement (article 30 du RGPD). Ce document recense tous les traitements de données mis en œuvre, leurs finalités, les bases légales, les durées de conservation et les mesures de sécurité.
Le registre des traitements est votre « carte d'identité RGPD ». En cas de contrôle CNIL, c'est le premier document demandé. Il n'existe pas de format imposé, mais il doit contenir les informations suivantes pour chaque traitement :
| Élément obligatoire | Exemple pour un CRM PME |
|---|
| Nom et coordonnées du responsable de traitement | Votre entreprise + DPO si désigné |
| Finalité du traitement | « Gestion des contacts commerciaux et prospection » |
| Catégories de personnes concernées | Clients, prospects, partenaires |
| Catégories de données traitées | Nom, email, téléphone, historique d'achats |
| Destinataires des données | Équipe commerciale, éditeur CRM (sous-traitant) |
| Durée de conservation | 3 ans prospects, durée relation clients |
| Mesures de sécurité | Authentification 2FA, chiffrement, hébergement France |
📌 Ressource officielle
La CNIL met à disposition un modèle de registre des traitements téléchargeable gratuitement. C'est le point de départ recommandé pour toute PME qui démarre sa mise en conformité.
😅 Jean-Marc et son fichier Excel « clients-RGPD-ok-v2-FINALE »
Jean-Marc est responsable commercial dans une PME de 20 personnes. Quand la DRH lui a parlé du RGPD
en 2018, il a créé un fichier Excel très professionnel intitulé « clients-RGPD-ok-v2-FINALE.xlsx ».
Il a coché une colonne « consentement ? » avec des « O » et des « N » — sans date, sans objet,
sans canal de collecte.
Depuis, le fichier est passé en version « clients-RGPD-ok-v3-FINALE-corrigé.xlsx ».
Jean-Marc ne sait plus très bien ce que signifie la colonne « O » pour les contacts ajoutés
avant 2022. Est-ce qu'un « O » dans un tableau Excel est une preuve de consentement ?
La CNIL, elle, a une réponse très claire : non.
La conformité RGPD n'est pas une case à cocher. C'est une infrastructure à mettre en place. Et cette infrastructure a un nom : un CRM conforme RGPD.
CRM conforme RGPD : ce qu'il faut vérifier
Votre CRM est au cœur de votre traitement des données clients. Il est votre principal sous-traitant au sens du RGPD. Voici les critères non négociables à vérifier avant de choisir votre solution — ou d'évaluer votre solution actuelle.
🇫🇷
Hébergement en Europe (idéalement en France)
Les données ne doivent pas être transférées hors UE sans garanties adéquates. Exigez un hébergement UE dans le DPA.
📝
DPA (Data Processing Agreement)
Votre éditeur doit vous fournir un accord de sous-traitance conforme à l'article 28 du RGPD. Sans DPA, vous êtes exposé.
🔐
Gestion des droits d'accès
Chaque utilisateur doit accéder uniquement aux données dont il a besoin. L'authentification à deux facteurs (2FA) est recommandée.
🗓️
Traçabilité des consentements
Date, canal, objet du consentement doivent être enregistrés sur chaque fiche contact et consultables à tout moment.
⏱️
Purge automatique des données
Le CRM doit pouvoir alerter ou archiver automatiquement les contacts inactifs depuis plus de 3 ans.
📊
Journaux d'accès et d'export
Qui a accédé à quelles données, quand et depuis où : indispensable en cas de violation de données.
🏢 Initiative CRM — CRM conforme RGPD, hébergé 100 % en France
Initiative CRM a été conçu pour répondre aux exigences du RGPD dès sa conception, avec un hébergement exclusivement en France et un accord de sous-traitance (DPA) fourni à chaque client.
- Hébergement 100 % en France — aucun transfert de données hors UE.
- Gestion des consentements RGPD intégrée à chaque fiche contact (toutes formules).
- Espace client avec dépôt de demandes de droits (accès, rectification, effacement).
- Suivi intelligent des factures avec alerte de retard et relance automatique (formule Business et Success).
- Gestion des droits d'accès par utilisateur et par équipe.
- DPA fourni et signé avec chaque contrat client.
- Formule Essentielle à partir de 27 € / mois / utilisateur.
Demander une démonstration gratuite →
Pour comparer les solutions disponibles sur le marché français, consultez notre comparatif 2026 des meilleurs CRM pour PME françaises.
Sanctions CNIL : quels risques pour votre PME ?
Réponse directe
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu). Pour une PME, les sanctions les plus fréquentes restent des avertissements, des injonctions de mise en conformité, et des amendes proportionnelles.
Les violations les plus fréquemment sanctionnées
- Collecte de données sans base légale valide (absence de consentement ou d'intérêt légitime documenté).
- Conservation excessive des données au-delà des durées légales.
- Absence de mesures de sécurité suffisantes ayant conduit à une violation de données.
- Non-respect des droits des personnes (délai de réponse dépassé, demande ignorée).
- Absence de registre des traitements lors d'un contrôle.
- Transfert de données hors UE sans garanties adéquates.
⚠️ Obligation de notification en 72 heures
En cas de violation de données personnelles (fuite, piratage, accès non autorisé),
vous avez 72 heures pour notifier la CNIL à compter de la découverte de l'incident,
et potentiellement informer les personnes concernées si le risque pour elles est élevé.
Cette obligation s'applique à toutes les entreprises, quelle que soit leur taille.
Pour les PME qui débutent leur mise en conformité, le programme de conformité CNIL pour les TPE/PME est un excellent point d'entrée avec des outils pratiques et des guides sectoriels.
Checklist RGPD pour les PME françaises
Voici les 10 actions prioritaires pour mettre votre PME en conformité avec le RGPD. Cette liste est inspirée du guide de la CNIL pour les petites entreprises.
⚙️ Fonctionnalité Initiative CRM — Suivi intelligent des factures et encours
La gestion des encours et le suivi intelligent des factures (formule Business) permettent de conserver les données comptables clients exactement le temps nécessaire et de détecter les factures dont le délai légal de conservation approche. C'est une double conformité : RGPD et obligations comptables.
Pour aller plus loin
