Guides & Ressources pratiques
PV de réception de travaux : définition, obligations et modèle
Conformité RGPD entreprise : guide pratique des étapes, obligations et risques
Points clés de l'article
- Le RGPD s'applique à toute entreprise qui traite des données personnelles de résidents européens, quelle que soit sa taille ou son secteur.
- La mise en conformité suit 6 étapes méthodologiques définies par la CNIL : désignation d'un pilote, cartographie des traitements, tri des données, respect des droits, sécurisation, documentation.
- Le registre des traitements (article 30) est obligatoire pour toute structure de plus de 250 salariés, et en pratique indispensable pour toutes les autres.
- L'analyse d'impact (AIPD) est requise dès qu'un traitement présente un risque élevé pour les droits des personnes, notamment en cas de données sensibles ou de profilage.
- La désignation d'un DPO est obligatoire pour les organismes publics et les entreprises dont l'activité principale implique un suivi régulier à grande échelle.
- Les sanctions CNIL ont atteint 89 millions d'euros cumulés en 2023, avec une hausse des mises en demeure et des amendes visant aussi les PME.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Conformité RGPD entreprise : guide pratique des étapes, obligations et risques
Qui est concerné par le RGPD : périmètre, données et rôles (responsable, sous-traitant)
Les 6 étapes méthodologiques de mise en conformité recommandées par la CNIL
Cartographier les traitements et tenir le registre (article 30 RGPD)
Analyse d'impact (AIPD) et gestion des risques sur les données sensibles
Droits des personnes et information : procédures à mettre en place
DPO interne, externalisé ou avocat : quel choix selon l'activité ?
Sanctions CNIL et contentieux : amendes, mises en demeure, actions de groupe
Checklist opérationnelle de conformité RGPD pour PME et ETI
Conformité RGPD entreprise : guide pratique des étapes, obligations et risques
La conformité RGPD n'est plus un sujet réservé aux grands groupes. En 2023, la CNIL a prononcé 42 sanctions pour un montant cumulé de 89 millions d'euros, dont plusieurs visaient des PME et des ETI. Pour un CTO ou un directeur technique, structurer la mise en conformité suppose de comprendre précisément le périmètre réglementaire, les obligations opérationnelles et les risques encourus. Ce guide détaille chaque étape, du registre des traitements à la gestion des sanctions.
Qui est concerné par le RGPD : périmètre, données et rôles (responsable, sous-traitant)
Le RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018, s'applique à toute organisation qui traite des données personnelles de personnes situées dans l'Union européenne. Une donnée personnelle désigne toute information permettant d'identifier directement ou indirectement une personne physique : nom, adresse e-mail, adresse IP, identifiant client, données de géolocalisation.
Critère d'application territorial et matériel
Le règlement s'applique indépendamment de la taille de l'entreprise ou de son secteur d'activité. Une startup de 5 salariés qui collecte des adresses e-mail via un formulaire web est soumise aux mêmes principes qu'un groupe du CAC 40. Le critère déterminant est le traitement de données personnelles, pas le chiffre d'affaires.
Le RGPD distingue 2 rôles :
| Rôle | Définition | Exemple concret |
|---|---|---|
| Responsable de traitement | Détermine les finalités et les moyens du traitement | L'entreprise qui collecte les données de ses clients via son site e-commerce |
| Sous-traitant | Traite les données pour le compte du responsable | L'hébergeur cloud qui stocke la base de données clients |
Cette distinction est structurante car elle conditionne la répartition des obligations. Un sous-traitant doit notamment présenter des garanties suffisantes en matière de sécurité et formaliser ses engagements dans un contrat conforme à l'article 28 du RGPD. En pratique, un CTO qui sélectionne un prestataire SaaS doit vérifier l'existence de ce contrat avant toute mise en production.
Les 6 étapes méthodologiques de mise en conformité recommandées par la CNIL
La CNIL a publié un cadre méthodologique en 6 étapes pour structurer la démarche de conformité RGPD en entreprise. Cette progression permet de couvrir l'ensemble des obligations sans disperser les ressources.
- Désigner un pilote : nommer un référent interne (DPO ou chef de projet conformité) qui coordonne les actions et centralise la documentation.
- Cartographier les traitements : recenser tous les traitements de données personnelles, identifier les catégories de données, les finalités, les destinataires et les durées de conservation.
- Prioriser les actions : identifier les écarts entre les pratiques existantes et les exigences du RGPD, puis classer les actions correctives par niveau de risque.
- Gérer les risques : réaliser une analyse d'impact (AIPD) pour les traitements à risque élevé.
- Organiser les processus internes : mettre en place les procédures de gestion des droits des personnes, de notification des violations de données et de privacy by design.
- Documenter la conformité : constituer et maintenir un dossier de preuve (registre, AIPD, politiques de confidentialité, contrats sous-traitants).
Chaque étape produit un livrable identifiable. L'absence de documentation est le premier motif de reproche lors d'un contrôle CNIL.
Structurer la conformité RGPD implique souvent des arbitrages techniques et juridiques simultanés.
Faites appel à un avocat spécialisé en cybersécurité et données personnelles
Cartographier les traitements et tenir le registre (article 30 RGPD)
L'article 30 du RGPD impose la tenue d'un registre des activités de traitement. Ce registre est obligatoire pour les entreprises de plus de 250 salariés. En dessous de ce seuil, il reste obligatoire dès lors que le traitement n'est pas occasionnel, qu'il porte sur des données sensibles ou qu'il est susceptible de comporter un risque pour les droits des personnes. En pratique, la quasi-totalité des entreprises est concernée.
Contenu minimum du registre
Pour chaque traitement, le registre doit mentionner :
- La finalité du traitement (ex. : gestion de la paie, prospection commerciale)
- Les catégories de données collectées (identité, coordonnées, données bancaires)
- Les catégories de personnes concernées (salariés, clients, prospects)
- Les destinataires des données, y compris les sous-traitants
- Les durées de conservation prévues
- Les mesures de sécurité techniques et organisationnelles
Méthode de cartographie pour un CTO
La cartographie commence par un inventaire des systèmes d'information : CRM, ERP, outils RH, bases marketing, data lakes, outils de tracking web. Pour chaque système, il faut identifier les flux de données entrants et sortants, les interconnexions et les transferts éventuels hors UE.
| Système | Données traitées | Base légale | Durée de conservation | Transfert hors UE |
|---|---|---|---|---|
| CRM (Salesforce) | Nom, e-mail, historique d'achat | Contrat | 3 ans après dernier achat | Oui (clauses contractuelles types) |
| SIRH (Workday) | Données salariales, identité | Obligation légale | 5 ans après départ | Non |
| Google Analytics | Adresse IP, navigation | Consentement | 14 mois | Oui (décision d'adéquation UE-US) |
Ce travail de cartographie est le socle de toute la démarche. Sans lui, il est impossible de prioriser les actions correctives ni de démontrer la conformité lors d'un contrôle.
Analyse d'impact (AIPD) et gestion des risques sur les données sensibles
L'analyse d'impact relative à la protection des données (AIPD, ou DPIA en anglais) est une obligation prévue par l'article 35 du RGPD. Elle s'impose lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.
Quand l'AIPD est-elle obligatoire ?
La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD. Parmi les cas les plus fréquents en entreprise :
- Traitement à grande échelle de données sensibles (santé, biométrie, opinions politiques)
- Profilage produisant des effets juridiques ou significatifs (scoring crédit, recrutement automatisé)
- Surveillance systématique d'une zone accessible au public (vidéosurveillance)
- Croisement de données issues de plusieurs sources à grande échelle
En dehors de cette liste, l'AIPD est recommandée dès que le traitement cumule au moins 2 des 9 critères définis par le Comité européen de la protection des données (CEPD) : évaluation/scoring, décision automatisée, collecte à grande échelle, données de personnes vulnérables, usage innovant de technologies, etc.
Contenu et méthode
L'AIPD comprend 4 volets :
- Description du traitement : finalités, données, flux, technologies utilisées
- Évaluation de la nécessité et de la proportionnalité : la collecte est-elle limitée au strict nécessaire ?
- Évaluation des risques pour les personnes : accès non autorisé, modification, suppression, divulgation
- Mesures envisagées pour traiter ces risques : chiffrement, pseudonymisation, contrôle d'accès, journalisation
La CNIL met à disposition un outil open source gratuit (PIA) pour structurer cette analyse. Pour un CTO, l'AIPD est aussi un outil de dialogue avec les équipes métier : elle oblige à formaliser les choix techniques et à justifier chaque collecte de données.
L'AIPD est un exercice technique autant que juridique, qui nécessite une expertise croisée en sécurité des systèmes d'information et en droit des données.
Consultez un avocat spécialisé en cybersécurité pour sécuriser vos analyses d'impact
Droits des personnes et information : procédures à mettre en place
Le RGPD confère aux personnes concernées un ensemble de droits que l'entreprise doit être en mesure de satisfaire dans un délai d'1 mois (prolongeable de 2 mois en cas de complexité). Ne pas répondre dans ce délai constitue un manquement sanctionnable.
Les 7 droits à organiser
- Droit d'accès (article 15) : la personne peut obtenir une copie de l'ensemble des données la concernant.
- Droit de rectification (article 16) : correction des données inexactes ou incomplètes.
- Droit à l'effacement (article 17) : suppression des données lorsque le traitement n'a plus de base légale.
- Droit à la limitation (article 18) : gel temporaire du traitement en cas de contestation.
- Droit à la portabilité (article 20) : récupération des données dans un format structuré et lisible par machine.
- Droit d'opposition (article 21) : refus du traitement, notamment en cas de prospection commerciale.
- Droit lié aux décisions automatisées (article 22) : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.
Mise en œuvre technique
Pour un CTO, cela implique de mettre en place :
- Un point de contact identifié (formulaire dédié, adresse e-mail DPO) accessible depuis la politique de confidentialité
- Un workflow de traitement des demandes avec traçabilité (réception, vérification d'identité, réponse, archivage)
- Des capacités techniques d'extraction, de suppression et de portabilité dans chaque système contenant des données personnelles
- Une politique de confidentialité conforme aux articles 13 et 14, rédigée en langage clair, mentionnant les finalités, bases légales, durées de conservation et modalités d'exercice des droits
En 2023, les plaintes relatives au droit d'accès et au droit à l'effacement représentaient plus de 60 % des 16 433 plaintes reçues par la CNIL.
DPO interne, externalisé ou avocat : quel choix selon l'activité ?
Le DPO (Data Protection Officer, ou délégué à la protection des données) est le référent conformité RGPD au sein de l'organisation. Sa désignation est obligatoire dans 3 cas prévus par l'article 37 du RGPD :
- L'organisme est une autorité ou un organisme public
- L'activité de base implique un suivi régulier et systématique des personnes à grande échelle (ex. : plateforme de ciblage publicitaire, assureur santé)
- L'activité de base implique un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales
En dehors de ces cas, la désignation reste facultative mais recommandée par la CNIL, y compris pour les PME.
Comparatif des 3 options
| Critère | DPO interne | DPO externalisé | Avocat DPO |
|---|---|---|---|
| Coût annuel estimé | 50 000 à 80 000 € (salaire chargé) | 10 000 à 30 000 € (forfait) | 15 000 à 40 000 € (forfait) |
| Connaissance métier | Forte (immersion quotidienne) | Moyenne (multi-clients) | Variable selon spécialisation |
| Indépendance | Risque de conflit d'intérêts si cumul de fonctions | Garantie contractuelle | Garantie déontologique (secret professionnel) |
| Expertise juridique | Variable | Variable | Native |
| Adapté à | ETI / grands groupes | PME / startups | Secteurs réglementés, contentieux |
Le DPO ne peut pas occuper une fonction qui le placerait en situation de conflit d'intérêts. Un CTO ne peut donc pas être désigné DPO, car il détermine les moyens techniques des traitements qu'il devrait contrôler.
Le choix du DPO engage la crédibilité de la conformité face à la CNIL et conditionne la qualité du pilotage juridique des données.
Identifiez un avocat DPO adapté à votre secteur d'activité
Sanctions CNIL et contentieux : amendes, mises en demeure, actions de groupe
La CNIL dispose d'un arsenal gradué de sanctions. Les montants maximaux prévus par le RGPD atteignent 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Bilan des sanctions récentes
En 2023, la CNIL a prononcé 42 sanctions, contre 21 en 2022. Le montant cumulé des amendes a atteint 89 millions d'euros. Parmi les décisions notables :
- Criteo : 40 millions d'euros pour absence de consentement valide au dépôt de cookies de ciblage publicitaire (juin 2023)
- SAF Logistics : 200 000 euros pour vidéosurveillance excessive des salariés (2023)
- Doctissimo : 380 000 euros pour durées de conservation excessives et défaut de consentement (2023)
La CNIL a également adressé 168 mises en demeure en 2023, un levier de pression qui précède souvent la sanction formelle.
Procédure simplifiée et actions de groupe
Depuis 2022, la CNIL utilise une procédure de sanction simplifiée pour les dossiers ne présentant pas de difficulté particulière. Cette procédure permet de prononcer des amendes jusqu'à 20 000 euros et des injonctions sous astreinte, avec des délais réduits. Elle vise directement les PME et les structures de taille intermédiaire.
Par ailleurs, le droit français permet désormais les actions de groupe en matière de données personnelles (loi du 18 novembre 2016). Des associations comme NOYB ou La Quadrature du Net ont déjà engagé des procédures collectives contre des entreprises françaises et européennes.
Checklist opérationnelle de conformité RGPD pour PME et ETI
Cette checklist synthétise les actions prioritaires pour structurer une démarche de conformité RGPD dans une PME ou une ETI. Elle peut servir de tableau de bord pour un CTO ou un DPO.
- Désigner un pilote conformité (DPO ou référent interne)
- Établir le registre des traitements (article 30) avec toutes les mentions obligatoires
- Cartographier les flux de données entre systèmes internes et sous-traitants
- Vérifier les contrats sous-traitants (article 28) : clauses de sécurité, audit, notification des violations
- Réaliser les AIPD pour les traitements à risque élevé
- Mettre à jour la politique de confidentialité (articles 13 et 14)
- Mettre en place les procédures d'exercice des droits (accès, effacement, portabilité, opposition)
- Configurer un processus de notification des violations (72 heures pour notifier la CNIL, article 33)
- Former les équipes : sensibilisation des développeurs, des équipes marketing et des RH
- Documenter les mesures de sécurité : chiffrement, contrôle d'accès, journalisation, sauvegardes
- Auditer annuellement la conformité et mettre à jour le registre
| Priorité | Action | Responsable | Délai recommandé |
|---|---|---|---|
| 1 | Désignation du pilote | Direction générale | Immédiat |
| 2 | Registre des traitements | CTO + DPO | 1 à 3 mois |
| 3 | Audit des contrats sous-traitants | Direction juridique + CTO | 2 à 4 mois |
| 4 | AIPD sur traitements critiques | DPO + équipes techniques | 3 à 6 mois |
| 5 | Procédures droits des personnes | DPO + support client | 2 à 4 mois |
| 6 | Plan de formation interne | DPO + RH | Continu |
La conformité RGPD est un processus continu qui nécessite un suivi juridique et technique régulier.
Sécurisez votre conformité avec un avocat spécialisé en protection des données
FAQ
La conformité RGPD est-elle obligatoire pour une TPE ou une startup ?
Oui. Le RGPD s'applique à toute organisation qui traite des données personnelles de résidents européens, sans condition de taille ou de chiffre d'affaires. Une startup qui collecte des adresses e-mail via un formulaire d'inscription est soumise aux mêmes principes qu'une multinationale. Seules certaines obligations documentaires (registre complet) sont allégées en dessous de 250 salariés.
Quel est le délai pour répondre à une demande d'exercice de droit (accès, effacement) ?
L'entreprise dispose d'1 mois à compter de la réception de la demande. Ce délai peut être prolongé de 2 mois supplémentaires si la demande est complexe ou si le volume de demandes est élevé, à condition d'en informer la personne dans le mois initial.
Un CTO peut-il être désigné DPO de son entreprise ?
Non. Le RGPD interdit de désigner comme DPO une personne dont la fonction crée un conflit d'intérêts. Le CTO détermine les moyens techniques des traitements de données : il ne peut pas simultanément contrôler la conformité de décisions qu'il prend lui-même. Les fonctions de directeur général, directeur marketing ou directeur des systèmes d'information sont également incompatibles.
Que risque une entreprise en cas de contrôle CNIL sans registre des traitements ?
L'absence de registre constitue un manquement à l'article 30 du RGPD. La CNIL peut prononcer une mise en demeure assortie d'un délai de mise en conformité, ou directement une sanction financière. En procédure simplifiée, l'amende peut atteindre 20 000 euros. En procédure ordinaire, elle peut aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Quelle différence entre une violation de données et un incident de sécurité ?
Un incident de sécurité désigne tout événement affectant la disponibilité, l'intégrité ou la confidentialité d'un système d'information. Une violation de données personnelles est un type spécifique d'incident qui entraîne la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Seules les violations de données personnelles doivent être notifiées à la CNIL dans un délai de 72 heures (article 33 du RGPD).
Pour aller plus loin
RGPD : se préparer en 6 étapes - CNIL
Le registre des activités de traitement - CNIL
RGPD : Documenter la conformité - CNIL
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
