Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Vos données personnelles circulent quotidiennement sur Internet, et vous vous demandez qui les protège ? Depuis mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre strictement leur collecte et leur utilisation. Ce texte européen impose aux entreprises et administrations des obligations précises, sous peine d'amendes pouvant atteindre 20 millions d'euros. Que vous soyez un particulier soucieux de vos droits ou un professionnel cherchant à respecter la loi, cet article vous explique concrètement ce que dit le RGPD, vos obligations si vous traitez des données, et les sanctions encourues.
Le RGPD est un règlement européen entré en vigueur le 25 mai 2018 dans l'ensemble de l'Union européenne. Il remplace la directive de 1995 devenue obsolète face à l'explosion du numérique. Son objectif principal : renforcer la protection des données à caractère personnel des citoyens européens et harmoniser les règles entre les pays membres.
Une donnée personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable : nom, prénom, adresse email, numéro de téléphone, adresse IP, photo, empreinte digitale, données de géolocalisation, etc. Le RGPD s'applique dès qu'une organisation établie dans l'UE traite de telles données, ou qu'une organisation hors UE cible des résidents européens.
En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui veille au respect du RGPD et qui peut prononcer des sanctions en cas de manquement. La loi Informatique et Libertés du 6 janvier 1978, modifiée en 2018 et 2019, complète le dispositif européen sur le territoire français.
Le RGPD repose sur six principes que tout responsable de traitement doit respecter. Ces principes constituent le socle de la conformité RGPD et guident toutes vos actions en matière de données personnelles.
Premier principe : la licéité. Vous devez avoir une base légale pour traiter des données. Le RGPD en liste six : le consentement de la personne, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public, ou votre intérêt légitime (à condition qu'il ne porte pas atteinte aux droits des personnes).
Deuxième principe : la finalité. Vous devez collecter les données pour un objectif précis, explicite et légitime. Vous ne pouvez pas les réutiliser ensuite pour un usage incompatible avec la finalité initiale. Par exemple, des données collectées pour gérer des commandes ne peuvent pas servir à du démarchage commercial sans nouveau consentement.
Troisième principe : la minimisation. Ne collectez que les données strictement nécessaires à votre objectif. Si vous gérez une newsletter, demander le nom et l'email suffit : inutile de réclamer l'adresse postale ou le numéro de téléphone.
Quatrième principe : l'exactitude. Les données doivent être exactes et mises à jour. Vous devez permettre aux personnes de corriger leurs informations et supprimer les données inexactes.
Cinquième principe : la conservation limitée. Vous ne pouvez pas garder les données indéfiniment. Fixez des durées de conservation adaptées à vos finalités et supprimez les données devenues inutiles.
Sixième principe : la sécurité et la confidentialité. Vous devez protéger les données contre tout accès non autorisé, perte ou destruction. Cela implique des mesures techniques (chiffrement, pare-feu) et organisationnelles (formations, procédures internes).
Le RGPD distingue deux acteurs principaux dans le traitement des données. Le responsable de traitement détermine les finalités et les moyens du traitement. C'est lui qui décide pourquoi et comment les données sont collectées. Par exemple, une entreprise qui gère un fichier clients est responsable de traitement.
Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. Il s'agit typiquement d'un prestataire informatique, d'une société de gestion de la paie, d'un hébergeur de site web, ou d'une plateforme d'emailing. Le sous-traitant a lui aussi des obligations légales depuis le RGPD, notamment documenter ses mesures de sécurité et aider le responsable à respecter ses obligations.
Les relations entre responsable et sous-traitant doivent être formalisées par un contrat écrit ou un acte juridique précisant l'objet, la durée, la nature du traitement, les catégories de données et les obligations de chacun. Ce contrat est obligatoire sous peine de sanctions.
En tant que responsable de traitement, vous devez respecter huit obligations majeures pour garantir votre conformité RGPD.
1. Tenir un registre des traitements. Documentez tous vos traitements de données : finalités, catégories de données, destinataires, durées de conservation, mesures de sécurité. Ce registre est obligatoire dès 250 salariés, mais la CNIL le recommande pour toutes les structures.
2. Informer les personnes. Lors de la collecte, vous devez indiquer clairement qui vous êtes, pourquoi vous collectez les données, la base légale, les destinataires, la durée de conservation, et les droits des personnes. Cette information doit être concise, transparente et facilement accessible.
3. Recueillir le consentement si nécessaire. Quand vous vous appuyez sur le consentement, il doit être libre, spécifique, éclairé et univoque. Les cases pré-cochées sont interdites. La personne doit pouvoir retirer son consentement aussi facilement qu'elle l'a donné.
4. Respecter les droits des personnes. Vous devez mettre en place des procédures pour répondre aux demandes d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Délai de réponse : un mois maximum.
5. Sécuriser les données. Mettez en œuvre des mesures adaptées au niveau de risque : mots de passe robustes, chiffrement des données sensibles, sauvegardes régulières, contrôle des accès, sensibilisation du personnel.
6. Notifier les violations de données. En cas de fuite de données (cyberattaque, vol, perte), vous disposez de 72 heures pour notifier la CNIL. Si le risque pour les personnes est élevé, vous devez aussi les informer directement. Le non-respect de cette obligation expose à des amendes.
7. Réaliser une analyse d'impact (AIPD). Pour les traitements à risque élevé (données de santé, surveillance systématique, profilage automatisé), vous devez évaluer les risques pour les droits des personnes et les mesures pour les réduire.
8. Nommer un Délégué à la Protection des Données (DPO). Obligatoire pour les organismes publics et certaines entreprises privées traitant des données à grande échelle ou sensibles. Le DPO conseille, contrôle et sert d'interlocuteur avec la CNIL. Pour renforcer vos compétences sur la protection numérique, consultez notre article sur la stratégie nationale de cybersécurité 2026-2030.
Le RGPD confère aux citoyens européens huit droits fondamentaux sur leurs données personnelles. En tant que responsable de traitement, vous devez faciliter l'exercice de ces droits.
Le droit d'accès permet à toute personne de savoir si vous traitez ses données et d'en obtenir une copie. Vous devez fournir ces informations gratuitement dans un délai d'un mois.
Le droit de rectification autorise la correction des données inexactes ou incomplètes. Si une personne signale une erreur dans son profil, vous devez la corriger rapidement.
Le droit à l'effacement (ou droit à l'oubli) permet de demander la suppression des données dans certains cas : retrait du consentement, opposition au traitement, données devenues inutiles, ou collecte illégale. Ce droit n'est pas absolu : vous pouvez le refuser si vous avez une obligation légale de conservation. Pour mieux comprendre ce mécanisme, lisez notre guide sur le droit à l'oubli sur Google.
Le droit à la limitation permet de geler temporairement un traitement, par exemple pendant que vous vérifiez l'exactitude de données contestées.
Le droit à la portabilité autorise la récupération des données dans un format structuré et lisible par machine, pour les transférer à un autre responsable. Ce droit ne s'applique qu'aux données fournies directement par la personne et traitées sur la base du consentement ou d'un contrat.
Le droit d'opposition permet de s'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale. Vous devez cesser le traitement, sauf motif légitime impérieux.
Les droits relatifs aux décisions automatisées protègent contre le profilage et les décisions entièrement automatisées produisant des effets juridiques ou significatifs (crédit, recrutement). La personne peut demander une intervention humaine.
Le consentement RGPD est l'une des six bases légales pour traiter des données, mais c'est aussi la plus encadrée. Il doit répondre à quatre critères cumulatifs : libre, spécifique, éclairé et univoque.
Libre signifie que la personne doit avoir un véritable choix. Vous ne pouvez pas conditionner l'accès à un service au consentement pour un traitement non nécessaire. Par exemple, exiger le consentement à la géolocalisation pour télécharger une application de recettes de cuisine n'est pas valable.
Spécifique implique un consentement distinct pour chaque finalité. Si vous voulez utiliser les données pour la newsletter ET pour du profilage publicitaire, vous devez recueillir deux consentements séparés, idéalement via deux cases à cocher différentes.
Éclairé signifie que la personne doit comprendre à quoi elle consent. Votre demande de consentement doit être rédigée en termes clairs et simples, sans jargon juridique, et mentionner votre identité, les finalités, les types de données collectées et le droit de retrait.
Univoque exige une action positive claire : cocher une case, cliquer sur un bouton, activer un paramètre. Les cases pré-cochées, le silence ou l'inactivité ne constituent pas un consentement valide.
Vous devez conserver la preuve du consentement (qui a consenti, quand, à quoi, comment) et permettre son retrait aussi facilement que son recueil. Un simple lien de désinscription dans les emails commerciaux suffit.
La CNIL dispose de pouvoirs de sanction considérablement renforcés depuis le RGPD. Les amendes RGPD sont proportionnées à la gravité du manquement et peuvent atteindre des montants dissuasifs.
Pour les violations les moins graves (absence de registre, défaut de notification d'une violation, manquement aux obligations du sous-traitant), l'amende peut atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Pour les violations les plus graves (non-respect des principes fondamentaux, traitement sans base légale, méconnaissance des droits des personnes, transferts internationaux illégaux), l'amende grimpe à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
Au-delà des amendes financières, la CNIL peut prononcer d'autres sanctions : avertissement, mise en demeure, limitation ou interdiction temporaire du traitement, suspension des flux de données, injonction de satisfaire aux demandes d'exercice des droits. Les sanctions sont souvent publiées sur le site de la CNIL, ce qui nuit à la réputation des organisations condamnées.
Depuis 2018, la CNIL a infligé des dizaines de millions d'euros d'amendes à des géants du numérique et à des entreprises françaises. En 2023, elle a prononcé des sanctions contre des secteurs variés : e-commerce, santé, banque, immobilier. Aucune structure n'est à l'abri, quelle que soit sa taille.
Les personnes concernées peuvent aussi agir en justice pour obtenir réparation du préjudice subi suite à une violation du RGPD. Les associations de défense des droits peuvent introduire des actions de groupe pour le compte de plusieurs victimes.
Mettre votre organisation en conformité RGPD nécessite une démarche méthodique en six étapes recommandées par la CNIL.
Étape 1 : Désigner un pilote. Nommez un Délégué à la Protection des Données (DPO) si vous y êtes obligé, ou désignez un responsable interne pour coordonner les actions de conformité.
Étape 2 : Cartographier vos traitements. Recensez tous les traitements de données dans votre registre : recrutement, gestion des clients, marketing, vidéosurveillance, paie, etc. Identifiez les données collectées, les finalités, les destinataires, les durées de conservation.
Étape 3 : Prioriser les actions. Identifiez les traitements à risque ou non conformes et traitez-les en priorité. Commencez par les données sensibles (santé, biométrie, condamnations) et les traitements à grande échelle.
Étape 4 : Gérer les risques. Pour chaque traitement, vérifiez que vous respectez les principes du RGPD. Réalisez des analyses d'impact pour les traitements à risque élevé. Mettez en place les mesures de sécurité appropriées.
Étape 5 : Organiser les processus internes. Créez des procédures pour répondre aux demandes d'exercice des droits, gérer les violations de données, encadrer les sous-traitants. Sensibilisez et formez vos équipes. Si vous gérez une structure complexe, les principes de bonne organisation décrits dans notre article sur la création d'une SCI familiale peuvent inspirer votre démarche de gouvernance des données.
Étape 6 : Documenter la conformité. Conservez toutes les preuves : registre des traitements, analyses d'impact, contrats avec les sous-traitants, procédures, preuves de consentement, documentation des mesures de sécurité. Cette documentation vous protège en cas de contrôle.
La conformité RGPD n'est pas un état figé mais un processus continu. Vous devez régulièrement réévaluer vos traitements, adapter vos pratiques aux évolutions technologiques et suivre les recommandations de la CNIL.
Une violation de données (ou data breach) désigne toute faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données. Cela inclut les cyberattaques (ransomware, phishing), mais aussi les pertes de clés USB, les envois d'emails au mauvais destinataire, ou les accès non autorisés par des salariés. Dans un contexte où les arnaques téléphoniques et les deepfakes se multiplient, la vigilance est indispensable.
Dès que vous constatez une violation, vous devez évaluer sa gravité. Trois questions : Quelles données sont concernées ? Combien de personnes sont affectées ? Quels risques pour leurs droits et libertés (usurpation d'identité, discrimination, atteinte à la réputation) ?
Si la violation présente un risque pour les droits des personnes, vous avez 72 heures maximum pour la notifier à la CNIL via son téléservice en ligne. La notification doit décrire la nature de la violation, les catégories et le nombre de personnes et d'enregistrements concernés, les conséquences probables, et les mesures prises ou envisagées.
Si le risque pour les personnes est élevé (par exemple, fuite de données de santé ou de mots de passe non chiffrés), vous devez aussi informer directement les personnes concernées sans délai. Cette communication doit être claire et indiquer les mesures qu'elles peuvent prendre pour se protéger.
Documentez toute violation dans votre registre interne, même si elle ne nécessite pas de notification à la CNIL. En cas de contrôle, la CNIL vérifiera que vous avez bien géré les incidents passés.
La non-notification d'une violation peut coûter cher : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial. Mieux vaut prévenir la CNIL, même en cas de doute.
Le RGPD protège les données des résidents européens même lorsqu'elles quittent l'Union européenne. Tout transfert de données hors UE doit respecter des garanties strictes, car de nombreux pays tiers n'offrent pas un niveau de protection équivalent.
Trois mécanismes principaux permettent des transferts légaux. D'abord, les décisions d'adéquation : la Commission européenne reconnaît que certains pays (Royaume-Uni, Suisse, Canada, Japon, Israël, etc.) assurent un niveau de protection suffisant. Les transferts vers ces pays ne nécessitent pas d'autorisation spécifique.
Ensuite, les clauses contractuelles types (CCT) : des contrats standardisés approuvés par la Commission européenne, que vous signez avec votre destinataire hors UE. Ces clauses engagent le destinataire à protéger les données selon les standards européens.
Enfin, les règles d'entreprise contraignantes (BCR) : des politiques internes de protection des données approuvées par les autorités européennes, utilisées par les multinationales pour transférer des données entre leurs filiales mondiales.
Depuis l'arrêt Schrems II de juillet 2020, la Commission européenne a invalidé le Privacy Shield, qui encadrait les transferts vers les États-Unis. Vous devez désormais évaluer au cas par cas si les lois du pays destinataire (comme le Cloud Act américain) compromettent la protection des données. Si oui, des mesures supplémentaires (chiffrement, pseudonymisation) sont obligatoires.
Les transferts sans garanties appropriées peuvent entraîner une suspension du traitement et des amendes pouvant atteindre 4% du chiffre d'affaires mondial. Soyez particulièrement vigilant avec les prestataires cloud américains ou chinois.
À partir du 1er septembre 2026, toutes les entreprises assujetties à la TVA devront émettre et recevoir des factures électroniques pour leurs transactions B2B. Cette obligation soulève des questions de conformité RGPD, car les factures contiennent des données personnelles. Pour bien comprendre cette réforme, consultez notre article détaillé sur la facturation électronique obligatoire.
Les factures peuvent mentionner le nom et les coordonnées de clients ou de fournisseurs personnes physiques. Les plateformes de dématérialisation qui stockent et transmettent ces factures agissent comme sous-traitants au sens du RGPD. Vous devez donc conclure avec elles un contrat de sous-traitance conforme, documentant leurs mesures de sécurité et leurs engagements de confidentialité.
Les données de facturation doivent être conservées pendant la durée légale (6 ans minimum pour les documents comptables), mais pas au-delà sans justification. Vous devez informer vos clients et fournisseurs du traitement de leurs données dans le cadre de la facturation électronique, notamment de l'identité des plateformes utilisées.
La sécurité est cruciale : les factures contiennent des informations commercialement sensibles. Choisissez des plateformes certifiées, chiffrez les flux de données, et mettez en place des contrôles d'accès stricts. Une fuite de factures pourrait révéler votre stratégie commerciale ou celle de vos partenaires.
Le RGPD évolue constamment à travers les décisions de justice, les recommandations de la CNIL et les lignes directrices du Comité Européen de la Protection des Données (CEPD). Pour maintenir votre conformité, vous devez vous former et suivre l'actualité.
La CNIL propose gratuitement de nombreuses ressources : guides thématiques (recrutement, cybersécurité, prospection), fiches pratiques par secteur, modèles de clauses et de mentions d'information. Son MOOC (cours en ligne) « L'atelier RGPD » permet d'acquérir les bases en quelques heures.
Le site Légifrance publie les textes officiels : le règlement européen 2016/679 du 27 avril 2016, la loi Informatique et Libertés modifiée, et les décrets d'application. Consultez régulièrement les mises à jour législatives.
Des formations certifiantes existent pour devenir Délégué à la Protection des Données (DPO) ou approfondir vos compétences juridiques et techniques. L'AFCDP (Association Française des Correspondants à la Protection des Données) et la CNIL organisent des événements professionnels.
Abonnez-vous aux newsletters spécialisées en droit du numérique et protection des données. Participez à des webinaires et conférences pour échanger avec d'autres praticiens.
Enfin, n'hésitez pas à consulter un avocat spécialisé en droit du numérique pour des questions complexes ou avant un contrôle de la CNIL. L'investissement dans la formation et le conseil est toujours moins coûteux qu'une amende ou un contentieux. Si vous recherchez des modes alternatifs de résolution des conflits, pensez également à la médiation ou l'arbitrage pour régler certains différends commerciaux liés à la protection des données.
Le RGPD s'applique-t-il aux petites entreprises et aux associations ?
Oui, le RGPD s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille. Une TPE qui gère un fichier clients ou une association qui envoie une newsletter doivent respecter les principes du règlement. Certaines obligations sont allégées (registre simplifié, pas de DPO obligatoire), mais les droits des personnes et les principes fondamentaux s'appliquent pleinement.
Combien de temps puis-je conserver des données personnelles ?
La durée dépend de la finalité du traitement et des obligations légales. Pour la prospection commerciale : 3 ans après le dernier contact. Pour un contrat : durée du contrat + durée de prescription (5 ans en général). Pour la comptabilité : 10 ans minimum. Définissez des durées précises et supprimez automatiquement les données obsolètes.
Dois-je obtenir l'accord de mes salariés pour traiter leurs données RH ?
Non, le consentement n'est pas la bonne base légale en matière de RH, car il n'est pas libre dans une relation employeur-salarié. Vous vous appuyez généralement sur l'exécution du contrat de travail ou sur une obligation légale (déclarations sociales, paie). Vous devez néanmoins informer vos salariés des traitements et respecter leurs droits. Pour des questions connexes sur le dialogue social, voyez notre article sur l'extension des accords de dialogue social.
Que risque-t-on si on ne notifie pas une violation de données dans les 72 heures ?
Vous vous exposez à une amende pouvant atteindre 10 millions d'euros ou 2% de votre chiffre d'affaires mondial. Au-delà de la sanction financière, le retard aggrave la situation des victimes et dégrade votre réputation. En cas de doute, notifiez la CNIL : elle préfère être informée rapidement, même si l'évaluation initiale évolue ensuite.
Comment répondre à une demande d'exercice des droits d'un client ?
Vérifiez d'abord l'identité du demandeur pour éviter une usurpation. Accusez réception et répondez dans un délai d'un mois (prolongeable de deux mois si la demande est complexe). Fournissez les informations demandées gratuitement, dans un format accessible. En cas de refus (par exemple, si vous avez une obligation légale de conservation), justifiez votre décision et indiquez les voies de recours (CNIL, justice).
