RGPD obligation entreprise : ce que la loi exige en 2026
Le RGPD impose à chaque entreprise qui collecte ou traite des données personnelles un ensemble d’obligations légales : registre des traitements, information des personnes, sécurisation des données et notification des violations sous 72 heures. En 2025, la CNIL a prononcé 486,8 millions d’euros d’amendes, PME comprises.
Le RGPD : un cadre légal applicable à toutes les entreprises
Le règlement général sur la protection des données encadre depuis mai 2018 la collecte et le traitement des données personnelles au sein de l’Union européenne. Son objectif : garantir aux résidents européens le contrôle de leurs informations personnelles.
Toute entreprise établie en France ou ciblant des résidents de l’UE entre dans le périmètre du règlement. Taille, secteur d’activité, statut juridique : aucun critère n’exonère. Un artisan qui conserve les coordonnées de ses clients dans un tableur est soumis aux mêmes principes qu’une multinationale.
Les données personnelles visées couvrent un spectre large : nom, adresse e-mail, numéro de téléphone, adresse IP, cookie, identifiant client. Les données sensibles (santé, opinions politiques, données biométriques) font l’objet d’une protection renforcée, avec une interdiction de traitement sauf exceptions définies par le règlement.
Les six obligations concrètes pour les entreprises
Le RGPD structure les obligations des entreprises autour de six axes. Chaque axe correspond à un article du règlement et à des exigences vérifiables lors d’un contrôle CNIL.
| Obligation | Contenu | Article RGPD |
|---|---|---|
| Registre des traitements | Documenter chaque traitement de données | Art. 30 |
| Base légale | Justifier chaque collecte (consentement, contrat, intérêt légitime) | Art. 6 |
| Information des personnes | Communiquer finalité, durée et droits | Art. 13-14 |
| Droits des personnes | Accès, rectification, effacement, portabilité | Art. 15-20 |
| Sécurisation des données | Protéger contre les accès non autorisés | Art. 32 |
| Notification des violations | Alerter la CNIL sous 72 heures | Art. 33 |
Ignorer l’une de ces obligations expose l’entreprise à un contrôle et à une sanction. La CNIL vérifie la conformité sur pièces : un registre incomplet ou une politique de confidentialité absente suffisent à déclencher une procédure.
Le registre des traitements, première brique de conformité
Le registre des traitements constitue la colonne vertébrale de toute démarche RGPD en entreprise. Ce document recense chaque opération portant sur des données personnelles au sein de la structure.
Concrètement, le registre doit indiquer pour chaque traitement :
- La finalité (prospection commerciale, gestion de la paie, suivi des candidatures)
- Les catégories de données collectées
- Les personnes concernées (clients, salariés, prospects)
- Les destinataires des données
- La durée de conservation prévue
- Les mesures de sécurité appliquées
L’obligation concerne tous les organismes dès le premier traitement. Les entreprises de moins de 250 salariés bénéficient d’un régime simplifié : seuls les traitements récurrents, les traitements de données sensibles et ceux susceptibles de porter atteinte aux droits des personnes doivent figurer au registre. La CNIL recommande malgré tout de documenter l’ensemble des traitements, même pour les petites structures.
Le délégué à la protection des données (DPO)
Le RGPD impose la désignation d’un délégué à la protection des données personnelles en entreprise dans trois cas précis :
- Organisme public ou autorité publique
- Activité principale impliquant un suivi régulier et systématique des personnes à grande échelle
- Traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales
Pour les autres structures, la désignation reste recommandée. Un DPO externalisé coûte entre 3 000 et 15 000 euros par an selon la complexité des traitements. Cette option convient aux PME qui n’ont pas les ressources pour un poste à temps plein.
Le rôle du DPO : conseiller l’entreprise, vérifier la conformité des traitements, former les équipes et servir de point de contact avec la CNIL. En cas de contrôle, l’absence de DPO alors que l’obligation s’applique constitue un manquement sanctionnable.
Notification des violations : le délai de 72 heures
Une violation de données (accès non autorisé, perte, fuite) déclenche une obligation de notification à la CNIL dans un délai de 72 heures après sa découverte. L’article 33 du RGPD ne laisse aucune marge d’interprétation sur ce point.
En 2025, la CNIL a reçu 5 840 notifications de violations, soit une hausse de 47 % par rapport à 2024. Le secteur privé représente deux tiers de ces déclarations. Les PME pèsent 39 % du total.
La notification doit contenir la nature de la violation, le nombre de personnes concernées, les conséquences probables et les mesures prises. Si l’information complète n’est pas disponible dans les 72 heures, une notification partielle reste recevable, à compléter ensuite.
Le non-respect de ce délai expose l’entreprise à une amende pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. La protection des données en entreprise passe aussi par la préparation d’une procédure de réponse aux incidents.
Sanctions CNIL : les chiffres qui comptent
La CNIL a durci sa politique de sanctions. En 2025, 83 décisions ont été prononcées pour un montant cumulé de 486,8 millions d’euros, contre 55,2 millions en 2024. Le total a été multiplié par neuf en un an.
| Entreprise | Montant | Motif principal | Date |
|---|---|---|---|
| 325 M€ | Non-conformité cookies | Sept. 2025 | |
| Shein | 150 M€ | Non-conformité cookies | Sept. 2025 |
| Free Mobile | 27 M€ | Défaut de sécurité | Janv. 2026 |
| Free | 15 M€ | Défaut de sécurité | Janv. 2026 |
| France Travail | 5 M€ | Sécurité insuffisante | Janv. 2026 |
Les PME ne passent pas sous le radar. En 2025, 32 % des entreprises contrôlées étaient des PME ou micro-entreprises. La procédure simplifiée, utilisée pour 67 des 83 sanctions, cible en priorité les structures de petite taille. Les motifs récurrents : sécurisation insuffisante des données, non-respect des règles sur les cookies et vidéosurveillance abusive des salariés.
Cinq étapes pour atteindre la conformité RGPD
La mise en conformité suit un parcours structuré. Voici les cinq étapes à engager pour respecter vos obligations RGPD.
1. Cartographier les traitements. Identifiez chaque flux de données personnelles dans l’entreprise. Qui collecte quoi, pour quelle finalité, avec quelle base légale ? Ce diagnostic alimente directement le registre des traitements.
2. Évaluer les risques. Classez vos traitements par niveau de risque. Les données de santé, les données financières et le profilage nécessitent une analyse d’impact (AIPD), obligatoire pour les traitements à risque élevé selon l’article 35 du RGPD.
3. Sécuriser les données. Chiffrement, contrôle des accès, journalisation, sauvegardes : les mesures techniques doivent être proportionnées au risque identifié. La protection des données en entreprise repose sur un socle technique adapté à chaque niveau de sensibilité.
4. Organiser les procédures internes. Formalisez la gestion des droits des personnes (accès, rectification, effacement), la procédure de notification des violations et la politique de conservation des données. Chaque salarié manipulant des données personnelles doit connaître ces procédures.
5. Documenter et mettre à jour. La conformité RGPD n’est pas un livrable ponctuel. Le registre, les analyses d’impact et les procédures doivent évoluer à chaque nouveau traitement. La CNIL exige des preuves documentées de conformité, pas de simples déclarations d’intention.
La convergence avec l’IA Act, dont les obligations pour les systèmes à haut risque entrent en vigueur en août 2026, renforce cette exigence de documentation et de transparence sur le traitement des données.
La sécurité informatique, socle technique du RGPD
La conformité RGPD ne se limite pas à des procédures juridiques. La sécurité informatique en entreprise constitue le socle technique sans lequel les obligations de protection des données restent théoriques.
Un pare-feu mal configuré, des mots de passe faibles ou l’absence de chiffrement suffisent à caractériser un manquement à l’article 32 du RGPD. Les entreprises sanctionnées pour défaut de sécurité en 2025-2026 (Free, France Travail) illustrent ce lien direct entre faille technique et sanction juridique.
Les bonnes pratiques de sécurité informatique pour les PME s’alignent avec les exigences du RGPD : segmentation réseau, authentification multifacteur, mises à jour régulières et plan de réponse aux incidents.
Prochaine étape : téléchargez le modèle de registre des traitements sur le site de la CNIL. Remplissez-le pour vos cinq traitements principaux. Ce premier pas prend moins de deux heures et pose les fondations de votre conformité.
