Protection des données personnelles en France : RGPD et obligations légales

La protection des données personnelles en France repose sur le RGPD (Règlement Général sur la Protection des Données) et la loi Informatique et Libertés. En 2025, 83 % des Français se déclaraient préoccupés par l’utilisation de leurs données personnelles, tandis que 60 % des entreprises déclaraient avoir subi au moins une violation de données (baromètre CNIL, 2025). Que vous soyez une entreprise ou un particulier, connaître vos droits et obligations est essentiel pour éviter des sanctions lourdes et protéger votre réputation.

Les obligations légales pour les entreprises en 2026

Le RGPD impose aux entreprises de respecter plusieurs principes clés pour garantir la protection des données personnelles. Ces obligations s’appliquent à toute organisation, quelle que soit sa taille, dès lors qu’elle traite des données de résidents européens.

1. Principe de licéité, loyauté et transparence

Les données doivent être collectées pour des finalités précises, explicites et légitimes. Par exemple, une entreprise ne peut pas collecter des données de géolocalisation sans informer clairement l’utilisateur de leur utilisation. En 2024, 45 % des sanctions CNIL concernaient un manque de transparence dans la collecte des données (source : CNIL).

2. Minimisation des données

Seules les données strictement nécessaires à la finalité déclarée peuvent être collectées. Par exemple, un site e-commerce n’a pas besoin de connaître la profession d’un client pour lui livrer un colis. Une étude de l’ANSSI (2025) révèle que 30 % des entreprises collectent encore des données superflues, augmentant leur exposition aux cyberattaques.

3. Conservation limitée des données

Les données ne peuvent être conservées plus longtemps que nécessaire. Par exemple, les données de connexion doivent être supprimées après 12 mois, sauf obligation légale contraire. En 2025, 20 % des entreprises conservaient encore des données clients pendant plus de 5 ans sans justification (source : Baromètre RGPD, 2025).

4. Sécurité et confidentialité

Les entreprises doivent mettre en place des mesures techniques et organisationnelles pour protéger les données. Cela inclut le chiffrement, l’accès restreint aux données sensibles et la formation des employés. Une faille de sécurité coûte en moyenne 130 000 euros à une PME française (source : CESIN, 2025).

5. Désignation d’un Délégué à la Protection des Données (DPO)

La désignation d’un DPO est obligatoire pour les organismes publics, les entreprises dont l’activité principale consiste en des traitements nécessitant un suivi régulier et systématique des personnes, et celles traitant des données sensibles à grande échelle (santé, religion, opinions politiques).

En 2025, 70 % des entreprises de plus de 250 salariés avaient désigné un DPO, contre seulement 30 % des TPE-PME (source : CNIL).

Les droits des particuliers sur leurs données

Le RGPD renforce les droits des individus sur leurs données personnelles. Voici les principaux droits et comment les exercer.

Tout individu peut demander à une entreprise quelles données le concernant sont détenues et comment elles sont utilisées. L’entreprise dispose d’un mois pour répondre à cette demande. En 2025, 12 000 demandes d’accès ont été traitées par la CNIL (source : Rapport annuel CNIL).

Un particulier peut demander la correction de données inexactes ou incomplètes. Par exemple, si une entreprise détient une ancienne adresse, vous pouvez exiger sa mise à jour.

Ce droit permet de demander la suppression de ses données dans certains cas, notamment lorsque les données ne sont plus nécessaires pour la finalité initiale, le consentement est retiré ou les données ont été collectées illégalement. En 2024, 8 000 demandes d’effacement ont été enregistrées par la CNIL, dont 60 % concernaient des réseaux sociaux (source : CNIL).

Ce droit permet de récupérer ses données dans un format structuré pour les transférer à un autre service. Par exemple, vous pouvez demander à votre banque de vous fournir vos relevés de compte dans un format exploitable pour les importer dans un autre établissement.

Un particulier peut s’opposer à tout moment au traitement de ses données pour des motifs légitimes. Par exemple, vous pouvez refuser que vos données soient utilisées à des fins de marketing direct.

Les sanctions en cas de non-respect du RGPD

Les sanctions pour non-respect du RGPD sont dissuasives. La CNIL peut infliger des amendes administratives, des injonctions ou des sanctions pénales.

Amendes administratives

En 2024, la CNIL a infligé 42 millions d’euros d’amendes, dont 15 millions d’euros à une seule entreprise pour une faille de sécurité ayant exposé les données de 500 000 utilisateurs (source : CNIL).

Le non-respect du RGPD peut également entraîner des sanctions pénales pour les dirigeants, notamment en cas de traitement illicite de données sensibles, de refus de coopérer avec la CNIL ou d’obstacle à l’exercice des droits des personnes. Les peines peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (source : Code pénal, article 226-16).

Comment se mettre en conformité avec le RGPD

Se mettre en conformité avec le RGPD nécessite une approche structurée. Voici les étapes clés pour les entreprises.

Identifiez tous les traitements de données personnelles au sein de votre entreprise en répondant aux questions suivantes : quelles données sont collectées, pour quelles finalités, où sont-elles stockées et qui y a accès ? Un audit de cybersécurité peut vous aider à identifier les vulnérabilités de votre système d’information.

Si votre entreprise est concernée par l’obligation de désigner un DPO, choisissez une personne compétente en protection des données. Le DPO peut être interne ou externe.

Vos mentions légales et politiques de confidentialité doivent être claires, accessibles et conformes au RGPD. Elles doivent notamment indiquer les finalités de la collecte des données, les droits des utilisateurs et les coordonnées du DPO le cas échéant.

La protection des données est l’affaire de tous. Formez vos employés aux bonnes pratiques, notamment le respect des principes de minimisation et de conservation limitée, la reconnaissance des tentatives de phishing et ransomware, et la gestion des accès aux données sensibles.

Protégez vos données avec des mesures techniques adaptées comme le chiffrement des données sensibles, des sauvegardes régulières et externalisées, un accès restreint aux données selon le principe du moindre privilège, et la mise à jour régulière des logiciels et systèmes. Pour aller plus loin, consultez notre guide sur les bonnes pratiques pour sécuriser son réseau informatique.

En cas de violation de données, vous devez notifier la CNIL sous 72 heures et informer les personnes concernées si la violation présente un risque élevé pour leurs droits et libertés. Un plan de continuité d’activité peut vous aider à anticiper ces situations.

Prochaine étape : agir concrètement

La protection des données personnelles est un enjeu majeur pour les entreprises et les particuliers. Voici comment agir dès maintenant :

Pour les entreprises, commencez par réaliser un audit de vos traitements de données pour identifier les risques. Désignez un DPO si votre activité l’exige et mettez à jour vos politiques de confidentialité et mentions légales. Formez vos employés aux bonnes pratiques de protection des données et testez votre conformité avec les outils proposés par la CNIL.

Pour les particuliers, vérifiez les paramètres de confidentialité de vos comptes en ligne et utilisez des mots de passe complexes avec un gestionnaire de mots de passe. Exercez vos droits auprès des entreprises qui détiennent vos données et sensibilisez votre entourage aux enjeux de la protection des données.

Pour aller plus loin, consultez notre guide sur la protection des données en entreprise et découvrez les solutions de cybersécurité adaptées aux PME.