RGPD : toutes les obligations des entreprises en 2026
Le RGPD impose aux entreprises six obligations principales : tenir un registre des traitements, recueillir un consentement valide, garantir les droits des personnes, sécuriser les données, notifier les violations à la CNIL sous 72 heures et, dans certains cas, désigner un DPO. En 2025, la CNIL a prononcé 486 millions d’euros d’amendes.
Données personnelles concernées par le RGPD
Le RGPD protège toute information qui identifie directement ou indirectement une personne physique. Cette définition dépasse largement le simple nom-prénom.
| Catégorie | Exemples concrets |
|---|---|
| Identité civile | Nom, prénom, date de naissance, photo |
| Coordonnées | Adresse postale, email, numéro de téléphone |
| Données numériques | Adresse IP, cookies, identifiants de connexion |
| Données professionnelles | Poste occupé, CV, évaluations annuelles |
| Données financières | IBAN, numéro de carte bancaire, bulletins de paie |
| Données de localisation | GPS, adresse de livraison, historique de déplacements |
Votre CRM, votre logiciel de paie, votre site web avec formulaire de contact : tous traitent des données personnelles au sens du RGPD. Une base clients de 500 contacts génère les mêmes obligations qu’un fichier de 500 000 entrées. La taille de l’entreprise ne réduit pas le périmètre légal.
Les trois objectifs du RGPD
Le règlement européen 2016/679 poursuit trois finalités distinctes, fixées dès son article premier.
Protéger la vie privée. Chaque résident européen contrôle l’usage de ses données personnelles. L’entreprise collecte uniquement ce qui sert une finalité précise, conserve ces informations pour une durée limitée et les supprime ensuite.
Renforcer la transparence. Les personnes savent quelles données sont collectées, pourquoi, par qui et pour combien de temps. La politique de confidentialité affichée sur votre site doit répondre à ces quatre questions sans jargon juridique. Selon le rapport annuel 2024 de la CNIL, 17 772 plaintes ont été déposées cette année-là, dont une large part liée à un défaut d’information.
Responsabiliser les organisations. Le principe d’accountability oblige chaque entreprise à prouver sa conformité à tout moment. Un contrôle CNIL ne se limite pas à vérifier l’existence d’une politique : l’entreprise doit produire registre, procédures et preuves de formation des équipes.
Cinq obligations concrètes pour chaque entreprise
Le RGPD s’applique à toute structure qui traite des données de résidents européens. Auto-entrepreneur, PME ou groupe international : les obligations restent identiques. Seuls les moyens déployés varient selon la taille.
Le registre des traitements
L’article 30 du RGPD impose de documenter chaque traitement de données personnelles. Ce registre recense la finalité (prospection, gestion RH, facturation), les catégories de données collectées, les destinataires, les durées de conservation et les mesures de sécurité appliquées.
Un tableur structuré suffit pour une TPE avec moins de 10 traitements. Au-delà, des outils dédiés (Dastra, Witik, OneTrust) automatisent la mise à jour. La CNIL met à disposition un modèle gratuit téléchargeable sur son site.
Le consentement conforme
Pour tout traitement fondé sur le consentement (newsletter, cookies non essentiels, prospection commerciale), le RGPD exige un acte positif, libre, spécifique et éclairé. Les cases pré-cochées sont interdites. Chaque finalité nécessite une case distincte : regrouper l’acceptation des CGU et l’inscription newsletter dans un seul bouton constitue une infraction.
Le retrait du consentement doit rester aussi simple que son recueil. En 2025, 21 organismes ont été sanctionnés par la CNIL pour des manquements liés aux cookies et au consentement.
Les droits des personnes
Vos clients, prospects et salariés disposent de six droits : accès, rectification, effacement, portabilité, opposition et limitation. Le délai de réponse est fixé à un mois maximum. Mettez en place une adresse dédiée (type [email protected]) et une procédure interne documentée pour tracer chaque demande. La protection des données personnelles en entreprise impose de former les équipes en contact avec ces demandes.
La notification des violations
Toute violation de données (fuite, accès non autorisé, perte accidentelle) déclenche deux obligations. Première obligation : notifier la CNIL dans un délai de 72 heures après la découverte de l’incident. Seconde obligation : informer individuellement les personnes concernées si le risque pour leurs droits est élevé.
En 2025, la CNIL a enregistré 5 840 déclarations de violations, soit une hausse de 47 % par rapport à 2024 (source : bilan CNIL 2025). Sécuriser votre infrastructure informatique réduit directement ce risque.
Le délégué à la protection des données
La désignation d’un DPO est obligatoire dans trois cas : organismes publics, entreprises dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle, ou structures traitant des données sensibles à grande échelle. Pour les autres, la nomination reste recommandée. En 2024, 34 440 DPO étaient désignés auprès de la CNIL, contre 21 000 en 2019 (source : CNIL Open Data). Un DPO externalisé coûte entre 3 000 et 8 000 euros par an, une option adaptée aux PME.
Données sensibles : le cadre de l’article 9
L’article 9 du RGPD interdit par principe le traitement de certaines catégories de données considérées comme sensibles :
- Origine raciale ou ethnique
- Opinions politiques
- Convictions religieuses ou philosophiques
- Appartenance syndicale
- Données génétiques ou biométriques
- Données de santé
- Vie sexuelle ou orientation sexuelle
Le traitement de ces données reste possible sous conditions strictes : consentement explicite de la personne, obligation légale de l’employeur (médecine du travail), sauvegarde des intérêts vitaux ou traitement par un organisme à but non lucratif pour ses membres.
Sur le terrain, les données de santé concernent de nombreuses PME sans qu’elles en aient conscience. Un arrêt maladie transmis par email, un certificat médical stocké dans le dossier RH : ces éléments relèvent de l’article 9. La CNIL recommande un chiffrement systématique et un accès restreint au seul responsable RH habilité. Une politique de protection des données formalisée couvre ce périmètre.
Sanctions CNIL en cas de non-conformité
La CNIL dispose d’un arsenal progressif qui va du simple rappel à l’ordre jusqu’à l’amende administrative.
| Niveau | Mesure | Détails |
|---|---|---|
| 1 | Rappel à l’ordre | Première infraction mineure, sans amende |
| 2 | Mise en demeure | Délai de mise en conformité de 1 à 6 mois |
| 3 | Amende administrative | Jusqu’à 20 millions d’euros ou 4 % du CA mondial |
| 4 | Injonction de cessation | Interdiction de poursuivre le traitement |
En 2025, la CNIL a prononcé 83 sanctions et 143 mises en demeure pour un total de 486 millions d’euros d’amendes (source : bilan CNIL 2025). Deux sanctions concentrent l’essentiel de ce montant : 325 millions d’euros contre Google et 150 millions contre Shein, toutes deux liées à la gestion des cookies.
Les PME ne sont pas épargnées. La procédure simplifiée, utilisée pour 67 des 83 sanctions de 2025, cible des manquements courants : absence de registre, conservation excessive, défaut de sécurité. Réaliser un audit de cybersécurité régulier identifie ces failles avant qu’un contrôle ne les révèle.
Mise en conformité : les étapes pratiques
La conformité RGPD se construit par paliers. Commencez par les fondations, puis montez en maturité.
- Cartographier vos traitements existants (CRM, paie, analytics, formulaires web, sous-traitants)
- Évaluer les écarts par rapport aux six principes de l’article 5
- Documenter le registre, la politique de confidentialité et les mentions d’information
- Sécuriser les données via chiffrement, contrôle d’accès et sauvegardes testées
- Former les équipes une fois par an au minimum
- Auditer la conformité chaque année, mettre à jour le registre, tester les procédures
La CNIL publie des guides sectoriels gratuits pour accompagner cette démarche. Le modèle de registre et le guide du DPO sont accessibles directement sur cnil.fr. Pour les aspects techniques, la protection des données en entreprise détaille les mesures de chiffrement et de contrôle d’accès adaptées à chaque taille de structure.
Prochaine étape : téléchargez le modèle de registre sur le site de la CNIL. Renseignez vos cinq traitements principaux (site web, CRM, paie, emails, sous-traitants). Ce document constitue la première pièce que la CNIL demande lors d’un contrôle.
