RGPD et automatisation : ce que toute TPE française doit savoir
Dès qu'un workflow lit un email, écrit dans un CRM ou envoie une relance, il manipule des données personnelles. Le RGPD s'applique. Voici ce qu'une TPE doit faire pour rester en règle, sans paniquer ni payer un consultant à 2 000€.
Si vos workflows traitent des données personnelles (emails, noms, IBAN, etc.), vous devez : (1) inscrire chaque outil dans votre registre des traitements, (2) signer un DPA avec chaque sous-traitant, (3) justifier les transferts hors UE si vous en avez, (4) informer vos clients dans votre politique de confidentialité. Choisir un hébergement européen simplifie 80% de la conformité d'office.
Qui est concerné ?
Toutes les entreprises qui traitent des données personnelles de résidents européens. Il n'y a pas de seuil minimum. Une TPE de trois personnes qui envoie des emails commerciaux est soumise au RGPD au même titre qu'un grand groupe — avec des obligations adaptées à sa taille (pas de DPO obligatoire en dessous de certains seuils, registre simplifié, etc.).
Une donnée personnelle, c'est toute information qui permet d'identifier une personne, directement ou indirectement : nom, email, téléphone, adresse IP, identifiant client, photo, etc.
Vos workflows manipulent des données personnelles. Toujours.
Quelques exemples concrets de workflows qu'une TPE met en place :
- Relance factures → noms clients, emails, montants, IBAN.
- Triage emails entrants → contenu d'emails personnels.
- Suivi prospects → coordonnées, historique d'interactions.
- Confirmations de RDV → identité, calendrier, parfois données de santé.
- Rapports hebdomadaires → agrégations de données clients.
Il n'existe pas de workflow utile pour une TPE qui ne manipule pas de données personnelles. Le RGPD est donc votre sujet, pas celui d'une autre entreprise.
Les 4 obligations concrètes
1. Tenir un registre des traitements
C'est la base. Vous listez chaque traitement de données : pourquoi vous les collectez, où elles sont stockées, qui y a accès, combien de temps vous les gardez. Pour une TPE, un tableur suffit. La CNIL fournit même un modèle gratuit.
Concrètement, pour chaque workflow d'automatisation, vous notez :
- Finalité : "relance des factures impayées".
- Catégories de données : nom, email, montant facturé.
- Sous-traitants : votre hébergeur d'automatisation, votre serveur d'email, votre logiciel de facturation.
- Durée de conservation : typiquement 5 à 10 ans pour les données comptables.
- Mesures de sécurité : chiffrement au repos, accès restreint, sauvegardes.
2. Signer un DPA avec chaque sous-traitant
Un DPA (data processing agreement, ou "accord de sous-traitance") est un contrat qui formalise les responsabilités RGPD entre vous et chaque outil que vous utilisez. Le RGPD impose qu'il soit écrit.
Pour une TPE qui automatise, les sous-traitants typiques sont :
- Votre hébergeur d'automatisation (Zapier, n8n Cloud, nodkon, ou auto-hébergement).
- Votre service email (Gmail Workspace, Proton, OVH).
- Votre CRM (HubSpot, Pipedrive, Sellsy).
- Votre logiciel de facturation.
- Votre solution de paiement (Stripe).
La plupart de ces outils proposent un DPA téléchargeable depuis leur dashboard. Vous le signez (souvent par simple clic), vous gardez le PDF dans votre dossier RGPD. Sans DPA signé, vous êtes en infraction même si la sécurité technique est parfaite.
3. Documenter les transferts hors UE
C'est ici que ça se complique avec les outils américains. Depuis l'invalidation du Privacy Shield (arrêt Schrems II, 2020), tout transfert de données vers les États-Unis nécessite des garanties supplémentaires :
- Clauses contractuelles types (CCT) actualisées version 2021.
- Analyse d'impact sur les transferts (parfois nécessaire).
- Mesures supplémentaires : chiffrement de bout en bout, pseudonymisation.
L'EU-US Data Privacy Framework de 2023 a partiellement remplacé le Privacy Shield, mais reste juridiquement fragile. La CNIL recommande explicitement de privilégier les hébergeurs européens quand l'option existe.
Le moyen le plus simple de gérer les transferts hors UE, c'est de ne pas en faire.
Si votre stack d'automatisation est 100% européenne (n8n hébergé en Europe, par exemple), cette section devient un paragraphe d'une ligne dans votre dossier : "aucun transfert hors UE".
4. Informer vos clients
Votre politique de confidentialité doit lister tous les outils qui voient leurs données. Pour les TPE, c'est souvent un paragraphe oublié : "Sous-traitants utilisés : Google Workspace, Stripe, [votre outil d'automatisation]". Liens vers les politiques de confidentialité de chacun.
Cas concret : la même TPE, deux stacks
| Sujet | Stack US (Zapier + Gmail) | Stack EU (n8n européen + Proton) |
|---|---|---|
| Hébergement workflows | AWS US-East | Hetzner UE |
| Données traitées | Tous les emails clients transitent par les US | Restent en UE |
| DPA Zapier/n8n | À signer + analyser | À signer (court) |
| Transferts hors UE | À documenter + CCT à signer | Aucun |
| Risque audit CNIL | Documentation complexe à maintenir | Conformité simple à démontrer |
Le coût d'une stack 100% européenne est rarement plus élevé. Le coût administratif est divisé par cinq.
Les sanctions sont-elles réelles pour une TPE ?
La CNIL ne va probablement pas auditer votre TPE de trois personnes demain matin. Mais :
- Une plainte client peut déclencher un contrôle (un client mécontent qui se renseigne).
- Un audit B2B (si vous travaillez avec une grande entreprise comme client) exigera votre dossier RGPD.
- Une fuite de données vous oblige à notifier la CNIL sous 72h — sans dossier prêt, vous gérez l'incident dans la panique.
- Les amendes plancher commencent à 2 000€, sans plafond pour les TPE non conformes en cas d'incident grave.
Le RGPD pour une TPE, ce n'est pas se mettre en conformité parfaite — c'est avoir un dossier qui tient la route si on vous le demande.
Comment nodkon vous simplifie la tâche
Quand on déploie vos workflows, on règle plusieurs cases d'un coup :
- Hébergement européen : serveurs Hetzner UE, vos données ne quittent jamais l'UE.
- DPA prêt à signer : on fournit le contrat sous-traitant, conforme au RGPD, à intégrer dans votre dossier.
- Mesures techniques documentées : chiffrement des credentials, isolation par client, sauvegardes chiffrées. Vous pouvez les citer dans votre registre.
- Pas de transfert hors UE : on travaille uniquement avec des prestataires européens pour notre infra.
- Suppression sur demande : à la résiliation, vos données sont effacées sous 30 jours.
Vous voulez automatiser sans casse-tête RGPD ?
On regarde votre setup actuel et on vous dit ce qui doit changer pour une conformité simple. 30 minutes, gratuit.
Demander un appel →Pour aller plus loin
Voir nos articles : Souveraineté numérique pour TPE, Comment vos credentials d'automatisation sont protégés, ou le comparatif n8n vs Zapier.