RGPD et entreprises : obligations, données personnelles et conformité
Le RGPD impose à toute entreprise traitant des données personnelles de résidents européens des obligations précises. En vigueur depuis le 25 mai 2018, il s’applique quelle que soit la taille de la structure. Le non-respect expose à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Les entreprises soumises au RGPD
Toute entité qui collecte, stocke ou traite des données personnelles de résidents de l’Union européenne est soumise au règlement. Ce périmètre couvre les TPE, PME, associations, fondations et travailleurs indépendants sans exception.
La localisation géographique de l’entreprise ne change rien. Une société américaine qui vend en France doit respecter le RGPD au même titre qu’une SARL parisienne. Le critère déterminant : les données appartiennent à des personnes situées en Europe.
Aucun seuil de taille ou de chiffre d’affaires ne conditionne l’obligation. Dès le premier client, dès le premier salarié, le règlement s’applique. Une boutique de quartier qui collecte des adresses email et un groupe coté en bourse partagent exactement les mêmes obligations de base.
Le RGPD s’applique également hors des frontières européennes : toute entreprise implantée dans l’un des 27 États membres de l’UE ou traitant des données de leurs résidents est concernée, quel que soit son pays d’établissement.
Cas particulier : les entreprises qui traitent des données pour le compte d’une autre entreprise (hébergeurs, agences web, prestataires RH) sont qualifiées de sous-traitants au sens du RGPD. Elles sont tenues par les mêmes exigences de sécurité et doivent signer un contrat de sous-traitance conforme avec chaque client.
Les données personnelles couvertes par le RGPD
Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique. Le règlement distingue deux catégories aux régimes très différents.
Les données courantes :
- Identité : nom, prénom, date de naissance
- Contact : adresse email, numéro de téléphone, adresse postale
- Données économiques : numéro IBAN, historique d’achat, revenus
- Données comportementales : adresse IP, cookies, historique de navigation
Les données sensibles, dites de catégorie particulière (article 9 du règlement) :
- Santé, biométrie, données génétiques
- Opinions politiques, convictions religieuses ou philosophiques
- Appartenance syndicale, orientation sexuelle
Le traitement des données sensibles est en principe interdit, sauf 10 exceptions strictes prévues par ce même article. Dans la pratique, cela concerne surtout les données de santé des salariés, les informations liées au handicap ou à la religion recueillies en contexte RH, et les données biométriques de contrôle d’accès.
Pour tout traitement de données, l’entreprise doit s’appuyer sur l’une des 6 bases légales définies à l’article 6 du règlement : consentement, exécution d’un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public ou intérêt légitime. Chaque traitement doit avoir sa base légale identifiée et documentée.
Les données personnelles des salariés entrent dans le même périmètre que celles des clients. Fiches de paie, dossiers disciplinaires, données de pointage : tout traitement RH doit respecter les mêmes principes.
Les 3 objectifs principaux du RGPD
Le règlement repose sur trois finalités distinctes, fixées dans ses considérants et ses articles fondamentaux.
Renforcer les droits des personnes
Chaque individu dispose du droit d’accès à ses données, du droit de rectification, du droit à l’effacement (le “droit à l’oubli”) et du droit à la portabilité. L’entreprise doit répondre à toute demande dans un délai maximal d’un mois. Ce délai est extensible à trois mois pour les demandes complexes, à condition d’informer la personne.
Responsabiliser les organisations
Le principe d’accountability impose de documenter la conformité et de prouver concrètement qu’elle est respectée. Ce n’est plus une simple déclaration à une autorité : c’est une démonstration permanente, matérialisée par le registre des traitements, les analyses d’impact et les politiques internes.
Harmoniser les règles à l’échelle européenne
Avant le 25 mai 2018, chaque État membre appliquait sa propre directive nationale sur la protection des données. Le RGPD remplace ces 28 textes différents par un règlement unique, directement applicable dans tous les pays de l’UE sans transposition législative. Les entreprises opérant dans plusieurs pays européens n’ont plus qu’un seul cadre à respecter.
Les obligations RGPD imposées aux entreprises
| Obligation | Description | Qui est concerné |
|---|---|---|
| Registre des traitements | Inventaire documenté de tous les traitements de données | Toutes les entreprises |
| Base légale | Justifier chaque traitement : consentement, contrat, obligation légale ou intérêt légitime | Toutes les entreprises |
| Information des personnes | Politique de confidentialité lisible, accessible et à jour | Toutes les entreprises |
| Sécurité des données | Mesures techniques et organisationnelles proportionnées au risque | Toutes les entreprises |
| Notification de violation | Alerter la CNIL dans les 72 heures en cas de fuite ou d’accès non autorisé | Toutes les entreprises |
| Délégué à la protection des données | Nommer un DPO interne ou externe | Certaines entreprises (article 37) |
La nomination d’un DPO devient obligatoire dans trois situations : pour les autorités publiques, pour les entreprises dont l’activité principale implique un suivi régulier et systématique de personnes à grande échelle, et pour celles qui traitent des données sensibles à grande échelle. En dehors de ces cas, la désignation d’un référent RGPD reste recommandée sans être imposée.
Pour le détail de chaque obligation et les seuils applicables, le guide complet sur les obligations RGPD des entreprises couvre chaque exigence réglementaire article par article.
Mise en place du RGPD : les étapes à suivre
La conformité RGPD est un projet structuré, pas une action ponctuelle. Six étapes jalonnent la démarche :
- Cartographier les traitements : lister tous les flux de données (clients, fournisseurs, salariés, prospects) avec leur finalité, base légale, durée de conservation et destinataires. Cette cartographie nourrit le registre.
- Formaliser le registre : ce document est exigé par l’article 30 du règlement. La CNIL met à disposition un modèle téléchargeable sur son site. Le registre doit rester à jour et être présentable lors de tout contrôle.
- Mettre à jour la documentation contractuelle : CGV, mentions légales, formulaires de contact, contrats de travail et accords avec les sous-traitants doivent intégrer les mentions obligatoires.
- Sécuriser les systèmes : chiffrement des données sensibles, gestion fine des accès, sauvegardes testées. Un audit de cybersécurité identifie les failles avant qu’un contrôle CNIL ne le fasse à votre place.
- Former les équipes : chaque collaborateur traitant des données doit connaître ses obligations de base. Une sensibilisation annuelle suffit pour la plupart des structures. Les équipes IT et RH nécessitent une formation plus approfondie.
- Préparer la procédure de réponse aux violations : en cas de fuite ou d’accès non autorisé, l’entreprise dispose de 72 heures pour notifier la CNIL. Cette procédure doit exister avant l’incident, pas être improvisée sous pression.
La sécurité informatique en entreprise constitue le socle technique sur lequel repose toute démarche RGPD sérieuse. Sans mesures de protection adaptées, le registre des traitements reste un document creux.
Sanctions RGPD : les risques pour votre structure
Le règlement prévoit deux niveaux d’amendes administratives, définis à l’article 83.
Le premier niveau atteint 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Il sanctionne les manquements aux obligations de base : absence de registre, défaut d’information des personnes, non-respect des droits.
Le second niveau double les plafonds : 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Il s’applique aux violations des principes fondamentaux du règlement et au non-respect des règles de consentement ou de transfert de données hors UE.
La CNIL dispose aussi de pouvoirs de mise en demeure, d’injonction et de publicité des sanctions. Les TPE et PME ne sont pas épargnées : l’autorité instruit les plaintes indépendamment de la taille de la structure visée.
Le risque réputationnel s’ajoute au risque financier. Une violation médiatisée entraîne une perte de confiance client difficile à chiffrer. Pour les petites structures, les conséquences commerciales surpassent souvent le montant de l’amende elle-même. La sécurité informatique PME propose un cadre concret pour réduire ce risque à la source.
RGPD et TPE : ce que le règlement prévoit pour les petites structures
Beaucoup de très petites entreprises croient être exemptées. Ce n’est pas le cas. Une TPE qui collecte des emails clients, gère des fiches de paie ou utilise un CRM traite déjà des données personnelles au sens du RGPD.
Les allègements prévus pour les entreprises de moins de 250 salariés concernent principalement le registre des traitements : l’obligation ne porte que sur les traitements non occasionnels, les traitements de données sensibles et ceux susceptibles de présenter un risque pour les droits des personnes. Dans la pratique, ce critère couvre la quasi-totalité des traitements courants d’une TPE.
Structurer la gestion des données dès le départ coûte moins cher que de se mettre en conformité sous pression d’un contrôle ou d’une plainte client. Un plan de continuité d’activité intègre souvent cette dimension de gestion des risques liés aux données personnelles dans une approche globale de résilience.
Prochaine étape : télécharger le modèle de registre des traitements disponible sur le site de la CNIL, lister les 5 principaux flux de données de votre structure et vérifier que chacun dispose d’une base légale documentée.
