RGPD et protection des données : obligations des entreprises en 2026
Le RGPD impose à toute entreprise traitant des données de résidents européens un cadre strict de collecte, stockage et utilisation de ces informations. Entré en vigueur en mai 2018, ce règlement s’applique quelle que soit la taille de l’entreprise — de l’auto-entrepreneur au groupe international. En 2025, la CNIL a prononcé 331 millions d’euros d’amendes, un record qui confirme le durcissement des contrôles, y compris envers les PME.
Les 6 principes fondamentaux du RGPD
Chaque traitement de données personnelles doit respecter six principes fixés par l’article 5 du règlement.
| Principe | Exigence concrète |
|---|---|
| Licéité | Base légale valide (consentement, contrat, obligation légale, intérêt légitime) |
| Finalité | Chaque collecte répond à un objectif précis et documenté |
| Minimisation | Collecter uniquement les données strictement nécessaires |
| Exactitude | Maintenir les données à jour, corriger ou supprimer les informations obsolètes |
| Limitation de conservation | Définir et respecter une durée de conservation pour chaque catégorie |
| Sécurité | Protéger les données contre l’accès non autorisé, la perte ou la destruction |
Ces principes guident toutes les obligations opérationnelles qui suivent. Une entreprise qui les intègre dès la conception de ses traitements (Privacy by Design) réduit significativement son exposition aux sanctions.
Le registre des traitements : la pierre angulaire
Toute entreprise — même de moins de 250 salariés si elle traite des données de façon régulière — doit tenir un registre des activités de traitement. Ce document recense :
- La finalité de chaque traitement (prospection, gestion RH, facturation, analytics)
- Les catégories de données collectées (nom, email, adresse IP, données bancaires)
- Les destinataires internes et externes (sous-traitants, partenaires, hébergeurs)
- Les durées de conservation appliquées
- Les mesures de sécurité techniques et organisationnelles
Le registre doit être tenu à jour et présenté en cas de contrôle CNIL. En pratique, un tableur structuré suffit pour une TPE. Les entreprises avec plus de 20 traitements gagnent à utiliser un outil dédié (OneTrust, Witik, Dastra).
Les durées de conservation à respecter
La CNIL publie des référentiels par secteur. Voici les durées les plus courantes :
| Type de données | Durée maximale |
|---|---|
| Prospects (jamais clients) | 3 ans après le dernier contact |
| Clients actifs | Durée de la relation contractuelle + 5 ans (prescription civile) |
| Candidatures RH | 2 ans après le dernier contact |
| Logs de connexion | 1 an (obligation légale pour les hébergeurs) |
| Données de facturation | 10 ans (obligation comptable) |
| Cookies analytics | 13 mois maximum |
Au-delà de ces durées, les données doivent être supprimées ou anonymisées de façon irréversible.
Le consentement : les règles à respecter
Le RGPD exige un consentement libre, spécifique, éclairé et univoque pour tout traitement fondé sur cette base légale (newsletter, cookies non essentiels, prospection commerciale).
Trois erreurs fréquentes à éviter :
Les cases pré-cochées. Interdites. Le consentement suppose un acte positif clair : cocher une case, cliquer sur un bouton “J’accepte”.
Le consentement groupé. Chaque finalité nécessite un consentement distinct. “J’accepte les CGU et la newsletter” regroupe deux finalités — le formulaire doit proposer deux cases séparées.
Le retrait difficile. L’utilisateur doit pouvoir retirer son consentement aussi simplement qu’il l’a donné. Un lien de désinscription en bas de chaque email suffit pour la newsletter. Pour les cookies, un bouton de gestion accessible depuis chaque page.
Le Délégué à la Protection des Données (DPO)
Le DPO pilote la conformité RGPD au sein de l’organisation. Sa nomination est obligatoire pour :
- Les organismes publics (mairies, hôpitaux, universités)
- Les entreprises dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle (marketing digital, géolocalisation, scoring)
- Les entreprises traitant des données sensibles à grande échelle (santé, biométrie, condamnations)
Pour les autres, la nomination reste recommandée. En 2025, 92 000 DPO étaient désignés auprès de la CNIL. Le DPO peut être un salarié ou un prestataire externe — cette seconde option convient aux PME dont le volume de traitements ne justifie pas un poste dédié. Comptez 3 000 à 8 000 euros par an pour un DPO externalisé.
Les droits des personnes : délais et procédures
Le RGPD confère aux individus des droits que l’entreprise doit garantir sous peine de plainte à la CNIL.
| Droit | Description | Délai de réponse |
|---|---|---|
| Accès | Obtenir une copie de toutes ses données détenues | 1 mois |
| Rectification | Corriger des données inexactes ou incomplètes | 1 mois |
| Effacement | Demander la suppression de ses données (“droit à l’oubli”) | 1 mois |
| Portabilité | Récupérer ses données dans un format structuré et lisible | 1 mois |
| Opposition | Refuser un traitement (prospection, profilage) | Sans délai |
| Limitation | Geler temporairement un traitement contesté | 1 mois |
Mettez en place une adresse dédiée ([email protected]) et une procédure interne documentée. Chaque demande doit être tracée : date de réception, identité du demandeur, réponse apportée, délai effectif. En 2025, la CNIL a reçu 16 000 plaintes liées au non-respect de ces droits.
La notification des violations de données
Toute violation de données personnelles (fuite, accès non autorisé, perte) impose deux actions :
Notification CNIL sous 72 heures. Dès que vous constatez la violation, le compteur tourne. La notification inclut : nature de la violation, catégories de données concernées, nombre de personnes touchées, mesures prises.
Information des personnes concernées. Si la violation présente un risque élevé pour leurs droits (données bancaires, médicales, identifiants), vous devez les notifier individuellement, sans délai.
Les attaques par ransomware et phishing constituent le premier vecteur de violation de données en entreprise. Une infrastructure réseau correctement sécurisée et segmentée réduit le périmètre d’exposition.
Les sanctions CNIL : barème et tendances
La CNIL dispose d’un arsenal progressif.
- Rappel à l’ordre — Première infraction mineure, pas d’amende
- Mise en demeure — Délai de mise en conformité (1 à 6 mois)
- Amende administrative — Jusqu’à 20 millions d’euros ou 4 % du CA mondial annuel (le montant le plus élevé s’applique)
- Injonction de cessation — Interdiction de poursuivre le traitement
Les PME ne sont pas épargnées. En 2025, une société de 15 salariés a écopé de 150 000 euros d’amende pour absence de registre des traitements et conservation excessive de données clients. Le montant moyen des amendes pour les entreprises de moins de 250 salariés atteignait 45 000 euros.
Le cas particulier de la vidéosurveillance
Si votre entreprise utilise des caméras dans ses locaux ou à l’extérieur, le RGPD impose des obligations spécifiques : information des salariés et visiteurs, limitation du champ de vision, durée de conservation de 30 jours maximum. Les règles détaillées de la vidéosurveillance en contexte résidentiel s’appliquent avec des exigences renforcées en milieu professionnel (consultation du CSE, affichage obligatoire).
Les 6 étapes de mise en conformité
La mise en conformité se structure en phases concrètes. Commencez par les fondations, puis montez en maturité.
- Cartographier — Recenser tous les traitements existants (formulaires, CRM, paie, analytics, sous-traitants)
- Évaluer — Identifier les écarts par rapport aux 6 principes, prioriser les risques
- Documenter — Rédiger le registre, la politique de confidentialité, les mentions d’information
- Sécuriser — Chiffrement des données sensibles, contrôle d’accès, sauvegardes testées
- Former — Sensibiliser les équipes aux bonnes pratiques (une session annuelle minimum)
- Auditer — Revue annuelle de conformité, mise à jour du registre, tests de procédures
Une assurance RC données complète le dispositif en couvrant les conséquences financières d’une fuite, mais ne remplace pas la conformité elle-même : les amendes CNIL restent inassurables.
Prochaine étape
Téléchargez le modèle de registre des traitements sur le site de la CNIL. Remplissez-le pour vos 5 traitements principaux (site web, CRM, paie, email, sous-traitants). Ce registre constitue la base de toute démarche de conformité — et le premier document que la CNIL demande en cas de contrôle.