Guides & Ressources pratiques
Optimisation de la plus-value : leviers fiscaux et stratégies légales avant une cession
Loi protection des données personnelles : RGPD, Informatique et Libertés et obligations des entreprises
Points clés de l'article
- La loi protection des données personnelles en France repose sur deux textes articulés : le RGPD européen et la loi Informatique et Libertés de 1978, modifiée en 2018.
- Toute entreprise qui traite des données de personnes situées dans l'UE est concernée, quelle que soit sa taille ou son secteur.
- Les obligations concrètes incluent la tenue d'un registre des traitements, la désignation éventuelle d'un DPO, la sécurisation des données et la notification des violations sous 72 heures.
- Les personnes concernées disposent de droits opposables (accès, rectification, effacement, portabilité) que l'entreprise doit traiter dans un délai d'un mois.
- Les sanctions CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Loi protection des données personnelles : de quoi parle-t-on ?
RGPD et loi Informatique et Libertés : articulation des textes européen et français
Donnée personnelle : définition juridique et catégories sensibles
Champ d'application : quelles entreprises sont concernées ?
Obligations clés : registre des traitements, sécurité, DPO, notification de violation
Droits des personnes concernées et procédures d'exercice
Sanctions CNIL et risques contentieux en cas de non-conformité
Loi protection des données personnelles : de quoi parle-t-on ?
La loi protection des données personnelles désigne l'ensemble des règles qui encadrent la collecte, le stockage, l'utilisation et la suppression des informations permettant d'identifier une personne physique. En France, ce cadre repose sur deux piliers législatifs : le règlement général sur la protection des données (RGPD), applicable dans toute l'Union européenne depuis le 25 mai 2018, et la loi Informatique et Libertés du 6 janvier 1978, profondément remaniée par l'ordonnance du 12 décembre 2018 pour s'aligner sur le RGPD.
Pour une direction juridique, la maîtrise de ces textes n'est pas un exercice théorique. La CNIL a prononcé plus de 550 millions d'euros de sanctions cumulées entre 2018 et 2024 en France. Chaque traitement de données — fichier clients, base RH, cookies de site web, vidéosurveillance — constitue un fait générateur d'obligations précises. Ne pas les cartographier revient à exposer l'entreprise à un risque financier, réputationnel et opérationnel mesurable.
Le périmètre de la protection des données dépasse le seul service informatique. Il concerne les ressources humaines, le marketing, la relation client, les achats et la conformité. La direction juridique joue un rôle de coordination entre ces fonctions pour garantir une conformité transversale.
RGPD et loi Informatique et Libertés : articulation des textes européen et français
Le RGPD est un règlement européen d'application directe. Il fixe les principes généraux : licéité du traitement, minimisation des données, limitation de la conservation, accountability (obligation de démontrer sa conformité). La loi Informatique et Libertés intervient en complément sur les marges de manœuvre laissées aux États membres par le RGPD.
Concrètement, la loi française précise trois domaines que le RGPD laisse ouverts :
- L'âge du consentement numérique des mineurs : fixé à 15 ans en France, contre 16 ans par défaut dans le RGPD.
- Les traitements de données de santé : soumis à des autorisations spécifiques de la CNIL ou à des référentiels sectoriels.
- Les traitements à des fins de recherche, d'archivage ou de statistiques publiques : encadrés par des régimes dérogatoires propres au droit français.
| Texte | Nature | Entrée en vigueur | Portée |
|---|---|---|---|
| RGPD (UE 2016/679) | Règlement européen | 25 mai 2018 | Directement applicable dans les 27 États membres |
| Loi Informatique et Libertés | Loi nationale française | 6 janvier 1978 (modifiée 2018) | Complète le RGPD sur les marges nationales |
| Décret n° 2019-536 | Décret d'application | 30 mai 2019 | Précise les modalités techniques de la loi française |
En cas de conflit entre les deux textes, le RGPD prime. La direction juridique doit donc lire la loi française comme un complément, jamais comme une alternative au règlement européen.
Structurer la conformité de votre entreprise suppose de maîtriser l'articulation entre ces deux textes et leurs implications opérationnelles.
Consulter des avocats spécialisés en protection des données
Donnée personnelle : définition juridique et catégories sensibles
L'article 4 du RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. L'identification peut être directe (nom, prénom) ou indirecte (adresse IP, numéro de matricule, données de géolocalisation combinées).
Cette définition est volontairement large. Un numéro de badge, une adresse e-mail professionnelle nominative ou un enregistrement vocal constituent des données personnelles dès lors qu'ils permettent de remonter à un individu.
Le RGPD distingue par ailleurs les données sensibles, dont le traitement est en principe interdit sauf exceptions limitatives. Sont concernées :
- L'origine raciale ou ethnique
- Les opinions politiques, convictions religieuses ou philosophiques
- L'appartenance syndicale
- Les données génétiques et biométriques
- Les données de santé
- Les données relatives à la vie sexuelle ou l'orientation sexuelle
Les exceptions autorisant leur traitement incluent le consentement explicite de la personne, une obligation légale en droit du travail ou de la sécurité sociale, ou un motif d'intérêt public dans le domaine de la santé publique. En pratique, les directions juridiques rencontrent fréquemment ces données dans les dossiers RH (arrêts maladie, affiliations syndicales) et doivent vérifier la base légale de chaque traitement.
Champ d'application : quelles entreprises sont concernées ?
Le RGPD s'applique selon deux critères alternatifs définis à son article 3 :
- Le critère d'établissement : l'entreprise dispose d'un établissement dans l'UE, quelle que soit la localisation du traitement.
- Le critère de ciblage : l'entreprise, même établie hors UE, traite des données de personnes situées dans l'UE dans le cadre d'une offre de biens ou services, ou du suivi de leur comportement.
Aucun seuil de taille ou de chiffre d'affaires ne conditionne l'application du texte. Une TPE de 3 salariés qui gère un fichier clients est soumise aux mêmes principes qu'un groupe du CAC 40. Seule l'intensité des obligations varie : le registre des traitements, par exemple, n'est obligatoire pour les entreprises de moins de 250 salariés que si le traitement est régulier ou porte sur des données sensibles (article 30§5 du RGPD).
| Critère | Exemple concret | Conséquence |
|---|---|---|
| Établissement dans l'UE | Filiale française d'un groupe américain | RGPD applicable à tous les traitements de la filiale |
| Ciblage de personnes dans l'UE | Site e-commerce basé au Royaume-Uni livrant en France | RGPD applicable, obligation de désigner un représentant dans l'UE |
| Sous-traitant hors UE | Hébergeur cloud au Canada traitant des données pour un client français | Contrat de sous-traitance conforme à l'article 28 + garanties de transfert |
Identifier précisément le périmètre des traitements concernés est le préalable à toute démarche de mise en conformité.
Être accompagné par un avocat en protection des données
Obligations clés : registre des traitements, sécurité, DPO, notification de violation
La conformité au RGPD repose sur un ensemble d'obligations opérationnelles que la direction juridique doit piloter ou superviser.
Registre des traitements
L'article 30 du RGPD impose au responsable de traitement de tenir un registre documentant chaque activité de traitement : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité. Ce registre constitue la colonne vertébrale de la conformité. La CNIL le demande systématiquement lors de ses contrôles.
Sécurité des données
L'article 32 exige des mesures techniques et organisationnelles « appropriées » au risque : chiffrement, pseudonymisation, contrôle d'accès, tests réguliers de résilience. Le niveau de sécurité attendu est proportionnel à la sensibilité des données traitées.
Délégué à la protection des données (DPO)
La désignation d'un DPO est obligatoire dans 3 cas : organismes publics, entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. En dehors de ces cas, la désignation reste recommandée. Selon la CNIL, plus de 89 000 organismes avaient désigné un DPO en France fin 2023.
Notification des violations
Toute violation de données (accès non autorisé, perte, destruction) doit être notifiée à la CNIL dans un délai de 72 heures après sa découverte (article 33). Si la violation présente un risque élevé pour les personnes, celles-ci doivent également être informées directement. En 2023, la CNIL a reçu plus de 4 600 notifications de violations.
Droits des personnes concernées et procédures d'exercice
Le RGPD confère aux personnes physiques un ensemble de droits opposables au responsable de traitement :
- Droit d'accès (article 15) : obtenir la confirmation du traitement et une copie des données.
- Droit de rectification (article 16) : corriger des données inexactes.
- Droit à l'effacement (article 17) : demander la suppression des données lorsque le traitement n'a plus de base légale.
- Droit à la portabilité (article 20) : récupérer ses données dans un format structuré et lisible par machine.
- Droit d'opposition (article 21) : s'opposer au traitement fondé sur l'intérêt légitime ou la prospection commerciale.
- Droit à la limitation (article 18) : geler temporairement un traitement contesté.
L'entreprise dispose d'un délai d'un mois pour répondre, prolongeable de 2 mois en cas de complexité. Le refus doit être motivé et indiquer la possibilité de saisir la CNIL. En pratique, la direction juridique doit mettre en place une procédure interne documentée : point de contact identifié, circuit de validation, traçabilité des réponses.
Garantir l'exercice effectif des droits des personnes suppose des procédures internes formalisées et des délais maîtrisés.
Faire appel à un avocat spécialisé en protection des données
Sanctions CNIL et risques contentieux en cas de non-conformité
La CNIL dispose d'un pouvoir de sanction graduée. Elle peut prononcer des mises en demeure, des injonctions de mise en conformité, des astreintes et des amendes administratives.
Le RGPD prévoit deux plafonds de sanctions :
- 10 millions d'euros ou 2 % du CA mondial pour les manquements aux obligations du responsable de traitement (registre, sécurité, DPO, analyse d'impact).
- 20 millions d'euros ou 4 % du CA mondial pour les violations des principes fondamentaux (licéité, consentement, droits des personnes, transferts internationaux).
Le montant retenu est toujours le plus élevé entre le forfait et le pourcentage du chiffre d'affaires. En janvier 2022, la CNIL a infligé une amende de 150 millions d'euros à un acteur du numérique pour non-conformité de la gestion des cookies. En décembre 2023, une sanction de 32 millions d'euros a visé un opérateur de télécommunications pour conservation excessive de données.
Au-delà des amendes, les risques contentieux incluent les actions de groupe introduites par des associations (article 80 du RGPD, transposé en droit français) et les actions en réparation devant les juridictions civiles (article 82 du RGPD). Le préjudice moral lié à une violation de données personnelles est reconnu par la Cour de justice de l'UE depuis l'arrêt Österreichische Post du 4 mai 2023.
| Type de risque | Base juridique | Plafond / conséquence |
|---|---|---|
| Amende administrative | Articles 83-84 RGPD | Jusqu'à 20 M€ ou 4 % du CA mondial |
| Action de groupe | Article 80 RGPD + loi française | Cessation du manquement + indemnisation |
| Action civile individuelle | Article 82 RGPD | Réparation du préjudice matériel et moral |
| Sanction pénale (France) | Articles 226-16 à 226-24 du Code pénal | Jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende |
La conformité à la loi protection des données personnelles ne se résume pas à un exercice documentaire. Elle engage la responsabilité de l'entreprise sur un terrain financier, judiciaire et réputationnel. La direction juridique est en première ligne pour structurer cette conformité, coordonner les acteurs internes et anticiper les contrôles.
FAQ
Quelle est la différence entre le RGPD et la loi Informatique et Libertés ?
Le RGPD est un règlement européen directement applicable dans tous les États membres de l'UE. La loi Informatique et Libertés est la loi française qui complète le RGPD sur les points laissés à la discrétion des États : âge du consentement numérique des mineurs (15 ans en France), traitements de données de santé et régimes dérogatoires pour la recherche. En cas de conflit, le RGPD prévaut.
La désignation d'un DPO est-elle obligatoire pour toutes les entreprises ?
Non. La désignation d'un délégué à la protection des données est obligatoire dans 3 cas : organismes publics, activités impliquant un suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. Pour les autres entreprises, la désignation reste facultative mais recommandée par la CNIL.
Quel est le délai pour notifier une violation de données à la CNIL ?
Le responsable de traitement doit notifier la violation à la CNIL dans les 72 heures suivant sa découverte. Si la violation présente un risque élevé pour les droits et libertés des personnes, celles-ci doivent être informées directement et sans délai injustifié.
Une PME de moins de 250 salariés est-elle soumise au RGPD ?
Oui. Le RGPD s'applique indépendamment de la taille de l'entreprise. Le seuil de 250 salariés n'intervient que pour alléger l'obligation de tenue du registre des traitements : les entreprises en dessous de ce seuil n'y sont tenues que si leurs traitements sont réguliers, portent sur des données sensibles ou présentent un risque pour les droits des personnes.
Quels sont les montants maximaux des sanctions CNIL ?
Les amendes administratives peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Pour les manquements aux obligations techniques (registre, sécurité), le plafond est de 10 millions d'euros ou 2 % du CA mondial.
Pour aller plus loin
Le règlement général sur la protection des données (RGPD) - CNIL
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Légifrance
Obligations en matière de protection des données personnelles (RGPD) - Service-Public Entreprendre
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
