Cas client & Retours d'experience
Consultant RGPD : dans quels cas opérationnels le mobiliser et comment cadrer la mission
Application du RGPD : à qui s'applique-t-il et quelles obligations pour votre entreprise ?
Points clés de l'article
- Le RGPD s'applique en France depuis le 25 mai 2018 et concerne toute entité qui traite des données personnelles de personnes situées dans l'UE, qu'elle y soit établie ou non.
- L'article 3 du RGPD pose 2 critères d'application territoriale : le critère d'établissement dans l'UE et le critère de ciblage de personnes situées sur le territoire européen.
- Entreprises, associations, administrations et sous-traitants sont tous soumis au RGPD dès lors qu'ils traitent des données personnelles entrant dans son champ.
- Les sanctions prononcées par la CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Vérifier l'application du RGPD suppose de cartographier les traitements, d'auditer les sous-traitants et de documenter la conformité de manière continue.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que le RGPD et à partir de quand s'applique-t-il en France ?
Article 3 du RGPD : les critères d'application territoriale expliqués
À qui s'applique le RGPD : entreprises, associations, administrations, sous-traitants
Les exceptions au champ d'application du RGPD : qui n'est pas concerné ?
L'application extraterritoriale du RGPD : entreprises établies hors UE
Les obligations concrètes issues de l'application du RGPD pour une entreprise
Sanctions CNIL en cas de non-application du RGPD : risques financiers et réputationnels
Comment vérifier et sécuriser l'application du RGPD dans votre organisation ?
Qu'est-ce que le RGPD et à partir de quand s'applique-t-il en France ?
L'application du RGPD constitue le point de départ de toute démarche de conformité en matière de protection des données. Le Règlement général sur la protection des données (RGPD), adopté par le Parlement européen et le Conseil de l'Union européenne le 27 avril 2016, est entré en application le 25 mai 2018 dans l'ensemble des États membres. En France, il se combine avec la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 20 juin 2018, qui précise certaines marges de manœuvre laissées aux législateurs nationaux.
Un règlement européen d'application directe
Contrairement à une directive, un règlement européen ne nécessite pas de transposition. Le RGPD s'applique donc directement dans l'ordre juridique français depuis le 25 mai 2018, sans qu'une loi nationale soit nécessaire pour lui donner force obligatoire. La loi Informatique et Libertés modifiée joue un rôle complémentaire : elle fixe l'âge du consentement des mineurs à 15 ans en France (contre 16 ans par défaut dans le RGPD), organise les traitements de données pénales et précise les pouvoirs de la CNIL.
Ce que recouvre la notion de « données personnelles »
Le RGPD définit la donnée personnelle de manière large : toute information se rapportant à une personne physique identifiée ou identifiable. Un nom, une adresse e-mail professionnelle, une adresse IP, un identifiant client, un numéro de badge ou des données de géolocalisation entrent dans cette définition. Cette acception étendue explique pourquoi la quasi-totalité des entreprises est concernée, dès lors qu'elles gèrent un fichier clients, une base RH ou un outil de tracking en ligne.
Le « traitement » au sens du RGPD
Le traitement désigne toute opération effectuée sur des données personnelles : collecte, enregistrement, stockage, modification, consultation, transmission, effacement. Un simple tableur Excel contenant les coordonnées de prospects constitue un traitement au sens du règlement. La direction juridique doit donc raisonner en termes d'opérations sur les données, et non uniquement en termes de bases de données structurées.
Article 3 du RGPD : les critères d'application territoriale expliqués
L'article 3 du RGPD fixe les règles qui déterminent si un traitement de données entre dans le champ du règlement. Il repose sur 2 critères alternatifs : le critère d'établissement et le critère de ciblage. Comprendre leur articulation est indispensable pour évaluer l'exposition d'un groupe, de ses filiales et de ses partenaires.
Le critère d'établissement (article 3.1)
Le RGPD s'applique au traitement de données personnelles effectué dans le cadre des activités d'un établissement situé sur le territoire de l'Union européenne, que le traitement lui-même ait lieu dans l'UE ou non. La notion d'établissement ne se limite pas à une entité juridique : une succursale, un bureau de représentation ou même un agent commercial disposant d'une activité stable et effective suffit, selon la jurisprudence de la Cour de justice de l'Union européenne (CJUE, Weltimmo, C-230/14, 1er octobre 2015).
En pratique, une société française dont les serveurs sont hébergés aux États-Unis reste soumise au RGPD. Inversement, une filiale française d'un groupe américain entre dans le champ du règlement pour les traitements réalisés dans le cadre de ses activités en France.
Le critère de ciblage (article 3.2)
Lorsqu'un responsable de traitement ou un sous-traitant n'est pas établi dans l'UE, le RGPD s'applique tout de même si le traitement concerne des personnes situées dans l'Union et se rapporte à :
- L'offre de biens ou de services à ces personnes, que le paiement soit exigé ou non. Des indices concrets permettent de caractériser ce ciblage : utilisation d'une langue ou d'une devise d'un État membre, référencement local, mentions de livraison dans l'UE.
- Le suivi du comportement de ces personnes, dans la mesure où ce comportement a lieu au sein de l'UE. Le profiling publicitaire, le suivi de navigation par cookies ou l'analyse comportementale sur une application mobile entrent dans cette catégorie.
| Critère | Condition | Exemple concret |
|---|---|---|
| Établissement (art. 3.1) | Activité stable dans l'UE | Filiale française d'un groupe japonais |
| Ciblage – offre de biens/services (art. 3.2.a) | Offre dirigée vers des personnes dans l'UE | Site e-commerce américain proposant la livraison en France et affichant les prix en euros |
| Ciblage – suivi comportemental (art. 3.2.b) | Suivi du comportement de personnes dans l'UE | Application mobile chinoise utilisant des traceurs pour profiler des utilisateurs français |
L'articulation entre les 2 critères
Ces critères sont alternatifs : il suffit qu'un seul soit rempli pour que le RGPD s'applique. Pour un groupe international, l'analyse doit être menée entité par entité et traitement par traitement. Une holding luxembourgeoise, une filiale commerciale en Espagne et un sous-traitant cloud en Inde peuvent chacun relever du RGPD pour des raisons distinctes.
À qui s'applique le RGPD : entreprises, associations, administrations, sous-traitants
Le champ d'application du RGPD ne se limite pas aux grandes entreprises du numérique. Le règlement vise toute entité, quelle que soit sa taille, sa forme juridique ou son secteur d'activité, dès lors qu'elle traite des données personnelles dans les conditions définies par l'article 3.
Les responsables de traitement
Le responsable de traitement est la personne morale (ou physique) qui détermine les finalités et les moyens du traitement. Une PME industrielle qui gère un fichier de paie, une association sportive qui tient un registre d'adhérents ou une collectivité territoriale qui exploite un système de vidéosurveillance sont toutes responsables de traitement au sens du RGPD.
Les sous-traitants
Le sous-traitant traite des données personnelles pour le compte du responsable de traitement. Un prestataire de paie externalisée, un hébergeur cloud, un éditeur de logiciel SaaS ou un centre d'appels délocalisé sont des sous-traitants au sens du RGPD. Depuis 2018, le sous-traitant supporte des obligations propres : tenue d'un registre des traitements, mise en œuvre de mesures de sécurité, notification des violations de données au responsable de traitement. La CNIL a sanctionné directement des sous-traitants, comme l'illustre l'amende de 1,5 million d'euros infligée à la société Dedalus Biologie en avril 2022 pour défaut de sécurité.
Panorama des entités concernées
| Type d'entité | Exemples | Rôle RGPD habituel |
|---|---|---|
| Grandes entreprises | CAC 40, ETI industrielles | Responsable de traitement et/ou sous-traitant |
| PME / TPE | Commerce en ligne, cabinet comptable | Responsable de traitement |
| Associations | ONG, fédérations sportives | Responsable de traitement |
| Administrations | Mairies, hôpitaux publics, ministères | Responsable de traitement |
| Sous-traitants IT | Hébergeurs, éditeurs SaaS, ESN | Sous-traitant |
| Sous-traitants métier | Paie externalisée, centres d'appels | Sous-traitant |
La conformité RGPD engage à la fois le responsable de traitement et ses sous-traitants. Structurer cette chaîne de responsabilité nécessite un accompagnement juridique adapté.
Consultez un avocat spécialisé en protection des données
Les exceptions au champ d'application du RGPD : qui n'est pas concerné ?
Le RGPD prévoit plusieurs exclusions explicites. Les identifier permet d'éviter une analyse de conformité inutile pour certains traitements, tout en restant vigilant sur les zones grises.
Les traitements exclus par l'article 2
L'article 2.2 du RGPD exclut de son champ :
- Les activités purement personnelles ou domestiques : un carnet d'adresses personnel, un album photo familial ou un compte de réseau social utilisé à titre privé ne relèvent pas du RGPD. En revanche, dès qu'une activité personnelle acquiert une dimension publique (publication d'un blog avec collecte de données de visiteurs), l'exclusion tombe.
- Les activités relatives à la sécurité nationale : les traitements mis en œuvre par les services de renseignement pour la protection des intérêts fondamentaux de l'État échappent au RGPD. Ils relèvent de cadres nationaux spécifiques.
- Les activités relevant de la politique étrangère et de sécurité commune de l'UE (titre V, chapitre 2 du TUE).
- Les traitements effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales : ces traitements relèvent de la directive « Police-Justice » (UE) 2016/680, transposée en droit français.
Le cas des personnes physiques agissant à titre professionnel
Un auto-entrepreneur, un artisan ou un professionnel libéral qui traite des données personnelles dans le cadre de son activité professionnelle est soumis au RGPD. L'exclusion domestique ne couvre que les activités strictement privées, sans lien avec une activité commerciale ou professionnelle.
Les traitements de données anonymisées
Les données véritablement anonymisées, c'est-à-dire rendues irréversiblement non identifiantes, ne constituent plus des données personnelles et sortent du champ du RGPD. La CNIL rappelle cependant que la pseudonymisation (remplacement d'un identifiant direct par un code) ne constitue pas une anonymisation : les données pseudonymisées restent des données personnelles soumises au règlement.
L'application extraterritoriale du RGPD : entreprises établies hors UE
L'un des apports structurants du RGPD réside dans sa portée extraterritoriale. Avant 2018, la directive 95/46/CE ne visait que les responsables de traitement établis dans l'UE. L'article 3.2 a élargi le périmètre aux entités situées hors de l'Union qui ciblent des personnes européennes.
Les obligations spécifiques des entreprises hors UE
Une entreprise établie hors de l'UE et soumise au RGPD doit désigner un représentant dans l'Union européenne (article 27). Ce représentant, établi dans l'un des États membres où se trouvent les personnes concernées, sert de point de contact pour les autorités de contrôle et les personnes concernées. Il ne se substitue pas au responsable de traitement mais facilite l'exercice des droits et la coopération avec les autorités.
L'effectivité de l'extraterritorialité
L'extraterritorialité du RGPD a été testée à plusieurs reprises. En janvier 2022, la CNIL a sanctionné Google LLC (société de droit américain) et Facebook Ireland à hauteur de 150 millions d'euros et 60 millions d'euros respectivement pour des manquements liés aux cookies. En mai 2023, la Data Protection Commission irlandaise a infligé 1,2 milliard d'euros à Meta Platforms Ireland pour transfert illicite de données vers les États-Unis. Ces décisions illustrent la capacité des autorités européennes à sanctionner des acteurs globaux.
Les mécanismes de coopération entre autorités
Le RGPD organise un mécanisme de guichet unique (one-stop-shop) : lorsqu'un responsable de traitement est établi dans plusieurs États membres, l'autorité de contrôle de son établissement principal est compétente en tant qu'autorité chef de file. Les autres autorités concernées participent à la procédure via le mécanisme de coopération et de cohérence prévu aux articles 60 à 67. Ce système, malgré des critiques sur sa lenteur, a permis l'adoption de décisions coordonnées à l'échelle européenne.
L'extraterritorialité du RGPD impose aux groupes internationaux une cartographie précise de leurs flux de données. Un avocat spécialisé peut accompagner cette analyse.
Trouvez un avocat en protection des données
Les obligations concrètes issues de l'application du RGPD pour une entreprise
L'application du RGPD se traduit par un ensemble d'obligations opérationnelles que la direction juridique doit piloter ou co-piloter avec les fonctions métiers. Ces obligations ne sont pas théoriques : elles conditionnent la licéité de chaque traitement et constituent le socle de la conformité.
Les principes fondamentaux à respecter
Le RGPD impose 6 principes applicables à tout traitement de données personnelles (article 5) :
- Licéité, loyauté et transparence : le traitement doit reposer sur une base légale (consentement, exécution d'un contrat, obligation légale, intérêt légitime, mission d'intérêt public ou protection des intérêts vitaux) et la personne concernée doit être informée de manière claire.
- Limitation des finalités : les données sont collectées pour des finalités déterminées, explicites et légitimes.
- Minimisation des données : seules les données strictement nécessaires à la finalité sont collectées.
- Exactitude : les données doivent être tenues à jour.
- Limitation de la conservation : les données ne sont conservées que le temps nécessaire à la finalité du traitement.
- Intégrité et confidentialité : des mesures techniques et organisationnelles garantissent la sécurité des données.
Les obligations opérationnelles clés
- Registre des traitements (article 30) : toute entreprise de plus de 250 salariés doit tenir un registre documentant l'ensemble de ses traitements. En dessous de ce seuil, l'obligation s'applique dès que le traitement n'est pas occasionnel ou porte sur des données sensibles.
- Analyse d'impact (DPIA, article 35) : obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de 14 types de traitements nécessitant une DPIA (délibération n° 2018-327 du 11 octobre 2018).
- Délégué à la protection des données (DPO, articles 37 à 39) : sa désignation est obligatoire pour les organismes publics, les entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle, et celles traitant des données sensibles à grande échelle. En France, la CNIL recensait plus de 31 000 organismes ayant désigné un DPO en 2023.
- Notification des violations (articles 33 et 34) : toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures. Si le risque pour les personnes est élevé, celles-ci doivent également être informées. En 2023, la CNIL a reçu 4 668 notifications de violations de données.
- Encadrement des transferts hors UE (articles 44 à 49) : les transferts de données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation doivent être encadrés par des clauses contractuelles types (CCT), des règles d'entreprise contraignantes (BCR) ou d'autres garanties appropriées.
Le droit des personnes concernées
Le RGPD confère aux personnes un ensemble de droits que l'entreprise doit être en mesure de satisfaire dans des délais contraints (1 mois en principe) :
| Droit | Contenu | Article RGPD |
|---|---|---|
| Accès | Obtenir confirmation du traitement et copie des données | Art. 15 |
| Rectification | Corriger des données inexactes | Art. 16 |
| Effacement (« droit à l'oubli ») | Obtenir la suppression des données sous conditions | Art. 17 |
| Limitation | Restreindre le traitement dans certains cas | Art. 18 |
| Portabilité | Recevoir ses données dans un format structuré | Art. 20 |
| Opposition | S'opposer au traitement fondé sur l'intérêt légitime ou la prospection | Art. 21 |
Sanctions CNIL en cas de non-application du RGPD : risques financiers et réputationnels
Le non-respect du RGPD expose les entreprises à des sanctions administratives, civiles et réputationnelles dont l'ampleur a considérablement augmenté depuis 2018.
L'échelle des sanctions administratives
Le RGPD prévoit 2 paliers de sanctions (article 83) :
- Palier 1 : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les manquements relatifs aux obligations du responsable de traitement ou du sous-traitant (registre, DPO, sécurité, notification).
- Palier 2 : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes de base du traitement, des droits des personnes ou des règles de transfert.
Le montant retenu est le plus élevé entre le forfait et le pourcentage du chiffre d'affaires.
Les sanctions prononcées par la CNIL : chiffres clés
La CNIL a intensifié son activité répressive depuis 2018. En 2023, elle a prononcé 42 sanctions pour un montant cumulé de plus de 89 millions d'euros. Parmi les décisions notables :
- Criteo : 40 millions d'euros en juin 2023 pour défaut de consentement dans le cadre du ciblage publicitaire.
- RATP : 400 000 euros en octobre 2021 pour conservation excessive de données relatives aux agents.
- Clearview AI : 20 millions d'euros en octobre 2022 pour collecte et utilisation illicite de photographies faciales.
Le risque réputationnel
Au-delà du montant financier, la publication des décisions de sanction sur le site de la CNIL et leur reprise médiatique génèrent un risque d'image. La CNIL publie systématiquement les sanctions supérieures à un certain seuil. Pour une entreprise cotée, une ETI en phase de levée de fonds ou un acteur B2B dont la confiance est un actif commercial, l'impact réputationnel peut excéder le coût direct de l'amende.
Les recours contentieux et les actions de groupe
Depuis la loi du 18 novembre 2016, les associations de protection des données peuvent exercer des actions de groupe devant les juridictions civiles pour obtenir la cessation d'un manquement. Le RGPD (article 80) a renforcé ce mécanisme. En parallèle, les personnes concernées peuvent saisir directement la CNIL ou les tribunaux pour obtenir réparation du préjudice subi.
Les sanctions CNIL ne se limitent pas aux géants du numérique. Toute entreprise traitant des données personnelles est exposée. Anticiper les risques passe par un audit juridique structuré.
Faites appel à un avocat en protection des données
Comment vérifier et sécuriser l'application du RGPD dans votre organisation ?
La conformité au RGPD n'est pas un état figé. Elle suppose une démarche continue, documentée et pilotée. La direction juridique joue un rôle central dans l'impulsion et la supervision de cette démarche.
Étape 1 : cartographier les traitements
Le point de départ consiste à recenser l'ensemble des traitements de données personnelles opérés par l'entreprise, ses filiales et ses sous-traitants. Cette cartographie alimente le registre des traitements (article 30) et permet d'identifier les zones de risque : données sensibles, transferts hors UE, traitements à grande échelle, recours à des sous-traitants multiples.
Étape 2 : qualifier le rôle de chaque entité
Pour chaque traitement, il convient de déterminer si l'entité agit en tant que responsable de traitement, responsable conjoint ou sous-traitant. Cette qualification conditionne la répartition des obligations et la rédaction des contrats de sous-traitance (article 28).
Étape 3 : auditer les bases légales et les durées de conservation
Chaque traitement doit reposer sur l'une des 6 bases légales prévues par l'article 6 du RGPD. La direction juridique doit vérifier que la base retenue est adaptée et documentée. Les durées de conservation doivent être définies et appliquées : la CNIL a publié des référentiels sectoriels (gestion commerciale, gestion RH, gestion des impayés) qui servent de repères.
Étape 4 : encadrer contractuellement les sous-traitants
L'article 28 impose un contrat écrit entre le responsable de traitement et chaque sous-traitant. Ce contrat doit préciser l'objet et la durée du traitement, la nature et la finalité, le type de données et les catégories de personnes concernées, ainsi que les obligations du sous-traitant en matière de sécurité, de sous-traitance ultérieure et de restitution ou suppression des données.
Étape 5 : mettre en place des processus de gestion des droits et des violations
L'entreprise doit disposer de procédures opérationnelles pour répondre aux demandes d'exercice des droits dans le délai d'1 mois et pour détecter, documenter et notifier les violations de données dans le délai de 72 heures.
Étape 6 : documenter la conformité (accountability)
Le principe d'accountability (article 5.2) impose au responsable de traitement de démontrer sa conformité. Cette documentation inclut le registre des traitements, les analyses d'impact, les politiques de confidentialité, les contrats de sous-traitance, les procédures internes et les preuves de formation des collaborateurs.
Sécuriser l'application du RGPD dans une organisation multi-entités exige une coordination juridique rigoureuse. Un avocat spécialisé peut structurer cette démarche.
Accédez à un avocat en protection des données
FAQ
Le RGPD s'applique-t-il aux TPE et PME ?
Oui. Le RGPD s'applique à toute entité qui traite des données personnelles, quelle que soit sa taille. Une TPE qui gère un fichier clients ou une base de prospects est soumise aux mêmes principes qu'une grande entreprise. Certaines obligations, comme la tenue du registre des traitements, sont allégées pour les entreprises de moins de 250 salariés lorsque les traitements sont occasionnels et ne portent pas sur des données sensibles.
Une entreprise américaine sans bureau en France peut-elle être sanctionnée par la CNIL ?
Oui, si cette entreprise cible des personnes situées en France (offre de biens ou services, suivi comportemental). L'article 3.2 du RGPD fonde la compétence des autorités européennes. La CNIL a déjà sanctionné des sociétés de droit américain, comme Google LLC (150 millions d'euros en 2022) et Clearview AI (20 millions d'euros en 2022).
Quelle est la différence entre responsable de traitement et sous-traitant ?
Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. Un éditeur SaaS qui héberge les données RH d'une entreprise est sous-traitant ; l'entreprise qui décide de recourir à cet outil et définit les finalités du traitement est responsable de traitement.
Le RGPD s'applique-t-il aux données des salariés ?
Oui. Les données collectées dans le cadre de la gestion RH (paie, évaluation, badgeage, vidéosurveillance) sont des données personnelles soumises au RGPD. L'entreprise doit informer les salariés des traitements, respecter le principe de minimisation et définir des durées de conservation conformes aux référentiels de la CNIL.
Faut-il obligatoirement désigner un DPO ?
La désignation d'un délégué à la protection des données est obligatoire dans 3 cas : organismes publics, entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle, et entreprises traitant des données sensibles à grande échelle. En dehors de ces cas, la désignation reste recommandée par la CNIL, notamment pour les structures traitant des volumes significatifs de données.
Pour aller plus loin
CNIL - Règlement européen : à qui s'applique-t-il ? : https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-qui-sapplique-t-il
CNIL - Chapitre 1 Dispositions générales (Article 3 RGPD) : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1
Service-Public Entreprendre - Obligations en matière de protection des données personnelles (RGPD) : https://entreprendre.service-public.gouv.fr/vosdroits/F24270
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
