Loi 2019-7 sur les donnees personnelles : ce que les TPE-NC font (encore) mal
Promulguee le 16 octobre 2019, la loi du pays n° 2019-7 impose aux entreprises calédoniennes les memes obligations de protection des donnees personnelles que le RGPD europeen. Six ans plus tard, plus de 70 % des TPE-PME-NC n'ont toujours pas commence leur mise en conformite. Voici les 12 erreurs les plus frequentes, et comment les corriger sans paniquer.
La loi du pays 2019-7 est le RGPD calédonien. Toute entreprise NC qui traite des donnees personnelles (clients, prospects, salaries, fournisseurs) doit : 1) tenir un registre des traitements, 2) recueillir un consentement valide, 3) securiser ses donnees, 4) notifier les violations a la CNIL-NC sous 72h, 5) repondre aux droits des personnes sous 1 mois. Les sanctions montent a 20 millions de F CFP. La CNIL-NC contrôle, recoit les plaintes et instruit les dossiers. Voici les 12 erreurs les plus courantes en 2026.
Pourquoi cette loi vous concerne (oui, vous aussi)
Beaucoup de dirigeants de TPE-NC pensent que la loi 2019-7 ne concerne que les "grosses entreprises qui font du marketing en ligne". C'est faux. Des l'instant ou vous traitez la moindre donnee personnelle - nom, prenom, email, telephone, RIDET, adresse - vous etes assujetti.
Cela inclut :
- Le restaurant qui prend des reservations par telephone
- Le garage qui enregistre les vehicules de ses clients
- Le cabinet medical qui tient un dossier patient
- Le coiffeur qui envoie un SMS de rappel de RDV
- Le commerce qui a une carte de fidelite
- L'artisan qui envoie un devis par email
Bref : quasiment toutes les entreprises NC. La seule difference, c'est le niveau d'exigence : plus le traitement est sensible (donnees de sante, judiciaires, biometriques), plus la rigueur attendue est elevee.
Les 12 erreurs les plus frequentes
Erreur 1 : Pas de registre des traitements
C'est l'obligation socle. Toute entreprise (meme la TPE de 2 salaries) doit tenir a jour la liste des traitements de donnees qu'elle effectue. Format libre, mais doit comporter : nature des donnees, finalite, duree de conservation, destinataires, mesures de securite. La CNIL-NC fournit un modele Excel gratuit sur son site. Pas d'excuse.
Erreur 2 : Consentement implicite ou pre-coche
"En continuant a utiliser ce site, vous acceptez nos cookies" : insuffisant. Le consentement doit etre libre, specifique, eclaire et univoque. Concretement : une case a cocher (non pre-cochee), une description claire de l'usage, et la possibilite de retirer le consentement aussi facilement que de le donner.
Erreur 3 : Conservation indefinie
Les donnees doivent etre conservees uniquement le temps necessaire. La duree maximale n'est pas fixee par la loi - elle depend du traitement. Quelques reperes :
| Donnees | Duree de conservation max |
|---|---|
| Prospects (qui n'ont pas achete) | 3 ans depuis dernier contact |
| Clients actifs | Duree du contrat + delai legal de prescription |
| Donnees comptables et fiscales | 10 ans (article L. 102 B du Livre des procedures fiscales) |
| Bulletins de paie | 5 ans (cadre LP 2012-1) |
| Videosurveillance | 30 jours (sauf incident specifique) |
| Cookies non essentiels | 13 mois maximum |
Erreur 4 : Pas de procedure de violation de donnees
Vous etes piratees ? Un ordinateur portable contenant la base client a ete vole ? Un email avec une fiche RH a ete envoye au mauvais destinataire ? Vous avez 72 heures pour notifier la CNIL-NC. Pas 72 heures ouvrees - 72 heures calendaires. Et si les personnes concernees encourent un risque eleve, vous devez aussi les informer directement.
Erreur 5 : Pas de DPO ou DPO non declare
Le Delegue a la protection des donnees (DPO) est obligatoire pour les entreprises qui :
- Exercent une activite de surveillance regulier et systematique de personnes a grande echelle
- Traitent a grande echelle des donnees sensibles (sante, biometrique, opinions, etc.)
- Sont une autorite ou organisme public
Concretement : un hopital, une assurance, une grande banque, un grand groupe de retail doit avoir un DPO. Pour les TPE, la fonction de DPO peut etre externalisee (un avocat ou un consultant agree).
Erreur 6 : Sous-traitants non encadres
Vous utilisez Mailchimp, Google Drive, AWS, Microsoft 365, un prestataire informatique local ? Ce sont des sous-traitants au sens de la loi. Vous devez signer avec chacun un "contrat de sous-traitance RGPD" (ou DPA - Data Processing Agreement) qui precise leurs obligations. La plupart des grands cloud-providers fournissent ces DPA en standard. Lisez-les. Signez-les.
Erreur 7 : Transferts hors UE non encadres
La loi 2019-7 reprend le principe RGPD : les transferts de donnees hors d'une "zone juridiquement adequate" (UE, ou pays reconnus equivalents) doivent etre encadres par des clauses contractuelles types (CCT) ou des Binding Corporate Rules (BCR). Or, en NC, la plupart des outils SaaS sont hebergees aux USA. Risque eleve d'irregularite si pas de DPA + clauses signees.
Erreur 8 : Pas de politique de confidentialite a jour
Votre site web doit afficher une politique de confidentialite qui detaille : qui collecte, quelles donnees, pourquoi, combien de temps, qui sont les destinataires, comment exercer ses droits, qui contacter (CNIL-NC, pas CNIL nationale). Beaucoup de sites NC ont une "politique" generique recyclee. Refonte conseillee.
Erreur 9 : Mots de passe partages
Le tableau Excel avec les logins WiFi, le compte Gmail "info@" partage entre 4 personnes, le mot de passe ecrit sur un Post-it : autant d'incidents de securite en puissance. La securite des donnees est une obligation legale. Mesures minimales : MFA obligatoire, comptes nominatifs, gestionnaire de mots de passe d'entreprise.
Erreur 10 : Pas de gestion des droits des personnes
Vos clients ont des droits opposables : acces a leurs donnees, rectification, effacement, opposition, portabilite, limitation. Vous avez 1 mois maximum pour repondre (extensible a 3 mois si demande complexe). Or, beaucoup d'entreprises n'ont meme pas un email dedie pour recevoir ces demandes. Mettre en place "dpo@votre-entreprise.nc" minimum.
Erreur 11 : Videosurveillance sauvage
La videosurveillance est l'un des points les plus controles par la CNIL-NC. Obligations :
- Affichage obligatoire d'un panneau visible aux entrees
- Cones de vision limites a l'interieur des locaux (interdit de filmer la voie publique sauf cas tres restreints)
- Duree de conservation maxi 30 jours
- Acces aux images strictement limite (mot de passe fort, journalisation)
- Inscription au registre des traitements
Erreur 12 : Pas de formation des salaries
Le maillon faible est toujours humain. Sensibiliser les equipes aux bons reflexes (phishing, gestion des emails, USB) prend 1h par an et reduit drastiquement le risque d'incident. Formation interne, e-learning, intervention d'un consultant : peu importe la forme, faites-le.
Que risque-t-on vraiment ?
Les sanctions de la CNIL-NC peuvent aller de l'avertissement public a l'amende administrative. Bareme 2026 :
- 1 a 1 million de F CFP : manquements legers (defaut de registre, mauvaise information)
- 1 a 5 millions de F CFP : manquements moderes (consentement defaillant, retards de notification)
- 5 a 20 millions de F CFP : manquements graves (transfert illegal, violation de donnees sensibles non notifiee)
Au-dela des sanctions financieres : publication de la decision (effet reputationnel devastateur pour une PME locale) et reparation des prejudices subis par les personnes concernees.
Plan d'action en 90 jours
Si vous partez de zero, voici un plan realiste :
- Semaine 1-2 : recenser toutes les donnees personnelles que vous detenez (fichiers Excel, CRM, logiciel paie, etc.)
- Semaine 3-4 : rediger le registre des traitements (modele CNIL-NC)
- Semaine 5-6 : auditer les contrats sous-traitants et signer les DPA manquants
- Semaine 7-8 : refondre les mentions legales et politique de confidentialite
- Semaine 9-10 : mettre a jour les formulaires de collecte (consentements explicites)
- Semaine 11-12 : former les equipes et rediger les procedures internes (violation, droits, etc.)
Suivez les avis et sanctions de la CNIL-NC
Notre newsletter hebdo inclut les decisions recentes de la CNIL-NC, les sanctions publiees, et les rappels juridiques importants pour les TPE-PME.
M'inscrire (gratuit) →FAQ
Faut-il deposer un dossier a la CNIL-NC pour chaque traitement ?
Non, le regime de declaration prealable a ete supprime. Vous devez juste tenir un registre interne que la CNIL-NC peut consulter en cas de controle. Exception : les traitements a haut risque (sante, biometrique, surveillance massive) necessitent une analyse d'impact (AIPD) qui peut etre soumise pour avis a la CNIL-NC.
Le RGPD europeen s'applique-t-il aussi en NC ?
Indirectement. Si vous traitez des donnees de residents de l'UE (clients europeens, salaries detaches en NC d'une societe mere europeenne), le RGPD europeen s'applique en plus de la loi 2019-7. Dans la pratique, les deux textes sont tres proches, donc la conformite a l'un satisfait largement l'autre.
Que faire si je suis controle demain ?
Restez calme. Cooperez. Demandez l'identite des agents et le perimetre du controle. Vous avez le droit a un avocat. Fournissez les documents demandes mais ne fournissez pas plus que necessaire. Apres le controle, soigner la procedure contradictoire (avant decision).