RGPD en entreprise : guide pratique de mise en conformité
Le RGPD en entreprise encadre la collecte, le stockage et l’utilisation des données personnelles depuis le 25 mai 2018. Toute structure qui traite des informations relatives à des personnes physiques résidant dans l’Union européenne doit respecter ce règlement. Voici comment mettre votre organisation en conformité, étape par étape.
Définition et cadre légal du RGPD
Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen n° 2016/679, adopté le 27 avril 2016 et applicable depuis le 25 mai 2018. Il harmonise les règles de protection des données personnelles dans les 27 États membres de l’Union européenne. En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) veille à son application.
Ce texte remplace la directive 95/46/CE qui laissait à chaque pays le soin de transposer ses propres règles. Le RGPD s’applique directement, sans transposition nationale. Toute entreprise, association ou administration qui collecte des données de résidents européens entre dans son périmètre, y compris les structures établies hors UE.
Le règlement repose sur six principes fondamentaux : licéité, limitation des finalités, minimisation des données, exactitude, limitation de la conservation et intégrité/confidentialité. Chaque traitement doit respecter ces six exigences pour être conforme.
Les données personnelles concernées en entreprise
Une donnée personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable. Le périmètre dépasse largement le nom et le prénom. Voici les catégories les plus fréquentes en contexte professionnel :
| Catégorie | Exemples concrets |
|---|---|
| Identité | Nom, prénom, date de naissance, numéro de sécurité sociale |
| Contact | Email, téléphone, adresse postale |
| Professionnelle | CV, contrat de travail, bulletins de paie, évaluations |
| Numérique | Adresse IP, cookies, logs de connexion, géolocalisation |
| Financière | RIB, historique de paiements, revenus |
| Sensible | Données de santé, opinions politiques, appartenance syndicale |
Les données sensibles (santé, biométrie, orientation sexuelle, convictions religieuses) bénéficient d’une protection renforcée. Leur traitement est interdit sauf exceptions limitées prévues à l’article 9 du RGPD : consentement explicite, obligation légale ou intérêt vital de la personne.
Concrètement, une entreprise manipule des données personnelles dès qu’elle gère un fichier clients, une base de prospects, des fiches de paie ou des badges d’accès. La protection des données en entreprise couvre l’ensemble de ces informations.
Obligations concrètes des entreprises face au RGPD
Le RGPD impose aux entreprises un ensemble d’obligations documentées et vérifiables. La CNIL a prononcé 331 millions d’euros d’amendes en 2025 à l’échelle européenne, confirmant l’intensification des contrôles.
Tenir un registre des traitements. L’article 30 du RGPD impose à toute structure de plus de 250 salariés de documenter chaque traitement. En pratique, la CNIL recommande cette démarche à toutes les entreprises, quelle que soit leur taille. Le registre recense les finalités, les catégories de données, les destinataires et les durées de conservation.
Informer les personnes concernées. Chaque collecte de données s’accompagne d’une information claire sur l’identité du responsable de traitement, la finalité, la base légale, la durée de conservation et les droits de la personne (accès, rectification, effacement, portabilité).
Garantir les droits des personnes. L’entreprise dispose d’un mois maximum pour répondre à une demande d’accès, de rectification ou de suppression. Le droit à la portabilité permet à un client de récupérer ses données dans un format exploitable.
Notifier les violations. En cas de fuite de données, l’entreprise doit alerter la CNIL dans les 72 heures suivant la découverte de l’incident. Si le risque pour les personnes est élevé, elle doit aussi les informer directement.
Mise en place du RGPD en entreprise en 5 étapes
La mise en conformité RGPD suit une méthodologie structurée. La CNIL propose un parcours en étapes accessible sur son site officiel. Voici la démarche concrète pour votre structure.
1. Cartographier les traitements de données. Recensez tous les flux de données personnelles : collecte sur le site web, gestion RH, fichier clients, vidéosurveillance, sous-traitants. Cette cartographie constitue la base du registre obligatoire.
2. Identifier la base légale de chaque traitement. Le RGPD prévoit six bases légales : consentement, exécution d’un contrat, obligation légale, intérêt vital, mission d’intérêt public et intérêt légitime. Chaque traitement doit reposer sur l’une d’entre elles.
3. Mettre à jour les documents juridiques. Révisez vos mentions légales, politique de confidentialité, contrats de sous-traitance et formulaires de consentement. Les clauses doivent mentionner explicitement les finalités, durées de conservation et droits des personnes.
4. Sécuriser techniquement les données. Le chiffrement, le contrôle des accès et les sauvegardes régulières protègent les informations contre les fuites et les cyberattaques. Une bonne sécurité informatique en entreprise conditionne la conformité RGPD.
5. Former les équipes. Le facteur humain reste le premier vecteur de violation de données. Chaque collaborateur qui manipule des données personnelles doit connaître les règles de base : ne pas transférer de fichiers sur des supports non sécurisés, verrouiller sa session et signaler tout incident.
Le responsable RGPD en entreprise : rôle du DPO
Le DPO (Data Protection Officer, ou délégué à la protection des données) pilote la conformité RGPD au sein de l’organisation. En France, plus de 90 000 organismes ont désigné un DPO auprès de la CNIL depuis l’entrée en application du règlement.
La désignation d’un DPO est obligatoire dans trois cas précis :
- Organismes publics (collectivités, établissements de santé, administrations)
- Entreprises dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle
- Structures traitant des données sensibles ou des données relatives aux condamnations pénales à grande échelle
Pour les autres entreprises, la CNIL recommande fortement la désignation d’un DPO, même à temps partiel. Un DPO externalisé coûte entre 5 000 et 15 000 euros par an pour une PME, selon le cabinet Afnor.
Le DPO remplit quatre missions principales : informer et conseiller l’entreprise, contrôler le respect du règlement, coopérer avec la CNIL et servir de point de contact pour les personnes concernées. Son indépendance est garantie par l’article 38 du RGPD : il ne peut recevoir aucune instruction dans l’exercice de ses fonctions.
Sanctions CNIL et risques en cas de non-conformité
Le RGPD prévoit deux niveaux de sanctions administratives. Le premier palier atteint 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les manquements aux obligations techniques (registre, analyse d’impact, notification de violation). Le second palier monte à 20 millions d’euros ou 4 % du chiffre d’affaires pour les violations des principes fondamentaux.
| Type de manquement | Amende maximale |
|---|---|
| Défaut de registre, absence de DPO obligatoire | 10 M€ ou 2 % du CA mondial |
| Violation des principes (consentement, finalité) | 20 M€ ou 4 % du CA mondial |
| Non-notification d’une violation sous 72h | 10 M€ ou 2 % du CA mondial |
| Transfert illicite hors UE | 20 M€ ou 4 % du CA mondial |
La CNIL peut aussi prononcer des mises en demeure publiques, des injonctions de mise en conformité et des astreintes journalières. La publicité de la sanction amplifie l’impact réputationnel, parfois plus coûteux que l’amende elle-même.
Les obligations RGPD des entreprises touchent toutes les tailles de structures. Les PME ne sont pas épargnées : en 2024, la CNIL a contrôlé des entreprises de moins de 50 salariés dans le cadre de sa stratégie de contrôles thématiques.
Outils et ressources pour faciliter la conformité
La CNIL met gratuitement à disposition plusieurs outils pour accompagner les entreprises dans leur démarche de conformité RGPD.
- PIA (Privacy Impact Assessment) : logiciel open source de la CNIL pour réaliser des analyses d’impact relatives à la protection des données, obligatoires pour les traitements à risque élevé
- Modèle de registre des traitements : tableur téléchargeable sur le site cnil.fr, conforme à l’article 30 du RGPD
- Guide pratique TPE/PME : document de référence qui détaille les obligations adaptées aux petites structures
- Référentiels sectoriels : la CNIL publie des guides spécifiques pour la gestion RH, la prospection commerciale et la vidéoprotection
La sécurisation technique des données passe par des solutions de cybersécurité adaptées à la taille de l’entreprise : chiffrement, pare-feu, détection d’intrusion et sauvegarde externalisée. Les bonnes pratiques de sécurité informatique pour les PME complètent la dimension organisationnelle de la conformité.
Le RGPD n’est pas un projet ponctuel. La conformité exige une veille réglementaire continue, des audits réguliers et une mise à jour des traitements à chaque évolution de l’activité. Les entreprises qui intègrent la protection des données personnelles dans leur fonctionnement quotidien transforment cette obligation en avantage concurrentiel, gage de confiance pour leurs clients et partenaires.
