Guides & Ressources pratiques
Acheter un local commercial : étapes, points de vigilance et erreurs à éviter
Mise en conformité RGPD : guide complet pour les directions juridiques 2026
Points clés de l'article
- La mise en conformité RGPD concerne toute entreprise traitant des données personnelles de résidents européens, quelle que soit sa taille ou son secteur.
- Les sanctions peuvent atteindre 4 % du chiffre d'affaires annuel mondial, auxquelles s'ajoutent des risques réputationnels et contractuels directs.
- Un audit préalable des traitements existants et la désignation d'un DPO (obligatoire ou volontaire) conditionnent la réussite du projet.
- La démarche se structure en 6 étapes : cartographie, registre des traitements, analyse d'impact (AIPD), encadrement des sous-traitants, droits des personnes, gouvernance continue.
- Chaque étape génère des livrables identifiables que la direction juridique doit piloter, documenter et maintenir dans le temps.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Cadre et entreprises concernées par la mise en conformité RGPD
Enjeux et risques pour la direction juridique en cas de non-conformité
Prérequis avant de lancer votre projet de mise en conformité
Les 6 étapes clés de la mise en place du RGPD en entreprise
Obligations légales et points de vigilance à chaque étape
Checklist de conformité RGPD et livrables attendus
Cadre et entreprises concernées par la mise en conformité RGPD
Le règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, s'impose à toute organisation qui traite des données personnelles de personnes situées dans l'Union européenne. Cette obligation vise aussi bien les responsables de traitement que les sous-traitants, indépendamment de leur lieu d'établissement.
En pratique, la mise en conformité RGPD concerne l'ensemble des entreprises françaises dès lors qu'elles collectent, stockent ou exploitent des informations permettant d'identifier directement ou indirectement une personne physique. Cela inclut les données clients, les fichiers RH, les bases prospects, les cookies de navigation ou encore les données de géolocalisation.
Le périmètre ne se limite pas aux grandes entreprises. Une PME de 50 salariés qui gère une base de contacts commerciaux, un éditeur SaaS qui héberge des données pour le compte de ses clients, une ETI industrielle qui traite les données de santé de ses salariés : toutes relèvent du RGPD. Selon la CNIL, plus de 100 000 organismes avaient désigné un délégué à la protection des données (DPO) en France fin 2023, signe d'une adoption progressive mais encore inégale.
Le critère déterminant n'est ni le secteur d'activité ni la taille de l'entreprise, mais la nature et le volume des traitements opérés. Certaines obligations spécifiques — comme la réalisation d'une analyse d'impact (AIPD) — se déclenchent uniquement lorsque le traitement présente un risque élevé pour les droits des personnes concernées.
Pour la direction juridique, la première étape consiste donc à identifier précisément quels traitements entrent dans le champ du règlement et quelles obligations spécifiques en découlent.
Enjeux et risques pour la direction juridique en cas de non-conformité
Le RGPD prévoit un régime de sanctions administratives à deux niveaux. Le premier palier atteint 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Le second, applicable aux manquements les plus graves (défaut de base légale, non-respect des droits des personnes), porte ce plafond à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Ces sanctions ne sont pas théoriques. En 2024, la CNIL a prononcé plus de 30 sanctions publiques, dont plusieurs dépassant le million d'euros. Au niveau européen, les autorités de contrôle ont infligé plus de 4,5 milliards d'euros d'amendes cumulées depuis 2018, selon le GDPR Enforcement Tracker.
Au-delà du risque financier, la non-conformité expose l'entreprise à 3 catégories de risques opérationnels :
- Risque contractuel : les grands donneurs d'ordres exigent désormais des garanties RGPD dans leurs appels d'offres. L'absence de registre des traitements ou de clauses sous-traitant conformes peut entraîner l'exclusion d'un marché.
- Risque contentieux : les personnes concernées peuvent exercer un recours devant la CNIL ou saisir le juge civil pour obtenir réparation d'un préjudice lié à un traitement illicite.
- Risque réputationnel : la publication des décisions de sanction par la CNIL rend toute condamnation visible publiquement, avec un impact direct sur la confiance des clients et partenaires.
Pour la direction juridique, le pilotage de la conformité RGPD n'est donc pas un sujet périphérique. C'est un levier de sécurisation des relations commerciales et de prévention du contentieux.
La maîtrise du risque RGPD suppose un accompagnement juridique adapté à la réalité opérationnelle de l'entreprise.
Consultez un avocat spécialisé en protection des données
Prérequis avant de lancer votre projet de mise en conformité
Avant d'engager la mise en conformité proprement dite, 3 prérequis structurent la démarche et conditionnent son efficacité.
Réaliser un état des lieux des traitements existants
L'audit initial consiste à recenser l'ensemble des traitements de données personnelles opérés par l'entreprise. Cet inventaire couvre les données collectées, les finalités poursuivies, les durées de conservation appliquées, les destinataires et les mesures de sécurité en place. Sans cette photographie, il est impossible de prioriser les actions correctives.
Identifier le porteur du projet et les parties prenantes
La direction juridique pilote généralement le volet réglementaire, mais la conformité RGPD mobilise aussi la DSI (sécurité des systèmes), les RH (données salariés), le marketing (données prospects et clients) et les achats (encadrement des sous-traitants). Désigner un chef de projet et constituer un comité de pilotage transverse évite les angles morts.
Clarifier le statut du DPO
Le RGPD impose la désignation d'un délégué à la protection des données (DPO) dans 3 cas : organismes publics, traitements à grande échelle de données sensibles, et suivi régulier et systématique de personnes à grande échelle. En dehors de ces cas, la désignation reste facultative mais recommandée par la CNIL. Le DPO peut être interne ou externe. Son indépendance fonctionnelle doit être garantie : il ne peut recevoir d'instruction sur l'exercice de ses missions et ne doit pas être en situation de conflit d'intérêts.
| Prérequis | Responsable principal | Livrable attendu |
|---|---|---|
| Audit des traitements existants | Direction juridique + DSI | Cartographie initiale des traitements |
| Constitution du comité de pilotage | Direction générale | Lettre de mission et gouvernance projet |
| Désignation ou non du DPO | Direction juridique | Analyse d'opportunité + désignation CNIL le cas échéant |
Les 6 étapes clés de la mise en place du RGPD en entreprise
La mise en conformité RGPD se décompose en 6 étapes séquentielles. Chacune produit des livrables identifiables que la direction juridique doit valider.
Étape 1 : Cartographier les traitements de données
Recenser chaque traitement en identifiant : la catégorie de données, la base légale (consentement, contrat, intérêt légitime, obligation légale), les destinataires, les transferts hors UE éventuels et la durée de conservation. Cette cartographie alimente directement le registre.
Étape 2 : Constituer et tenir le registre des traitements
L'article 30 du RGPD impose au responsable de traitement de tenir un registre des activités de traitement. Ce document recense de manière structurée l'ensemble des informations collectées à l'étape précédente. Il doit être tenu à jour et mis à disposition de la CNIL sur demande.
Étape 3 : Réaliser les analyses d'impact (AIPD)
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, une analyse d'impact relative à la protection des données (AIPD) est obligatoire (article 35 du RGPD). La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD, parmi lesquels la vidéosurveillance à grande échelle ou le profilage à des fins de décision automatisée.
Étape 4 : Encadrer les relations avec les sous-traitants
Tout sous-traitant traitant des données personnelles pour le compte de l'entreprise doit être lié par un contrat conforme à l'article 28 du RGPD. Ce contrat précise l'objet et la durée du traitement, les obligations de sécurité, les conditions de sous-traitance ultérieure et les modalités d'audit. La direction juridique doit auditer les contrats existants et intégrer des clauses RGPD dans les nouveaux accords.
Étape 5 : Organiser l'exercice des droits des personnes
Le RGPD confère aux personnes concernées des droits précis : accès, rectification, effacement, portabilité, opposition, limitation. L'entreprise doit mettre en place une procédure interne permettant de répondre à ces demandes dans un délai d'1 mois (prolongeable de 2 mois en cas de complexité). Cela suppose un point de contact identifié, un circuit de traitement documenté et une traçabilité des réponses.
Étape 6 : Instaurer une gouvernance continue
La conformité RGPD n'est pas un projet ponctuel. Elle exige une gouvernance permanente : revue périodique du registre, mise à jour des AIPD, formation des collaborateurs, gestion des violations de données (notification à la CNIL sous 72 heures en cas de risque pour les personnes), et veille réglementaire.
Structurer un projet de mise en conformité RGPD nécessite souvent un regard extérieur pour identifier les zones de risque et sécuriser les livrables.
Échangez avec un avocat en protection des données
Obligations légales et points de vigilance à chaque étape
Chaque étape de la mise en conformité s'accompagne d'obligations légales spécifiques. Certaines sont fréquemment sous-estimées par les directions juridiques.
Base légale des traitements. Le choix de la base légale (article 6 du RGPD) conditionne l'ensemble du régime applicable au traitement. Une erreur à ce stade — par exemple, fonder un traitement sur le consentement alors que l'intérêt légitime serait plus adapté — fragilise toute la chaîne de conformité. La CNIL a sanctionné plusieurs entreprises pour défaut de base légale valide, y compris lorsque le consentement recueilli ne remplissait pas les conditions de liberté et de spécificité.
Transferts hors UE. Depuis l'invalidation du Privacy Shield par la Cour de justice de l'UE en 2020 (arrêt Schrems II), les transferts de données vers les États-Unis reposent sur le Data Privacy Framework adopté en juillet 2023. Toutefois, la validité de ce cadre reste contestée. Pour les transferts vers d'autres pays tiers, les clauses contractuelles types (CCT) de la Commission européenne, complétées par une évaluation d'impact du transfert (Transfer Impact Assessment), constituent le mécanisme standard.
Notification des violations. L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte d'une violation de données présentant un risque pour les personnes. En 2023, la CNIL a reçu plus de 4 600 notifications de violations. Le défaut de notification ou le dépassement du délai constitue un manquement sanctionnable indépendamment de la gravité de la violation elle-même.
Durées de conservation. Chaque catégorie de données doit être associée à une durée de conservation proportionnée à la finalité du traitement. L'absence de politique de purge constitue l'un des écarts les plus fréquemment constatés lors des contrôles CNIL.
| Obligation | Base juridique | Point de vigilance |
|---|---|---|
| Base légale du traitement | Article 6 RGPD | Vérifier l'adéquation entre la base choisie et la réalité du traitement |
| Registre des traitements | Article 30 RGPD | Maintenir le registre à jour lors de tout nouveau traitement |
| AIPD | Article 35 RGPD | Consulter la liste CNIL des 14 traitements à AIPD obligatoire |
| Contrat sous-traitant | Article 28 RGPD | Auditer les contrats existants et prévoir un droit d'audit effectif |
| Notification de violation | Article 33 RGPD | Mettre en place un processus de détection et d'escalade interne |
| Transferts hors UE | Articles 44 à 49 RGPD | Réaliser un Transfer Impact Assessment pour chaque transfert |
Checklist de conformité RGPD et livrables attendus
La direction juridique doit pouvoir démontrer la conformité de l'entreprise à tout moment. Cette démonstration repose sur un ensemble de livrables documentés, actualisés et accessibles.
La checklist ci-dessous récapitule les documents et actions attendus à l'issue d'un projet de mise en conformité RGPD :
- ☐ Registre des traitements (article 30) — à jour, couvrant tous les traitements actifs
- ☐ Politique de confidentialité — accessible aux personnes concernées, conforme aux articles 13 et 14
- ☐ AIPD réalisées — pour chaque traitement à risque élevé identifié
- ☐ Contrats sous-traitants — conformes à l'article 28, signés et archivés
- ☐ Procédure d'exercice des droits — documentée, avec circuit de traitement et délais
- ☐ Procédure de gestion des violations — incluant la notification CNIL sous 72 heures
- ☐ Politique de conservation des données — avec durées définies par catégorie de traitement
- ☐ Preuves de consentement — horodatées et traçables lorsque le consentement est la base légale
- ☐ Programme de formation — attestations de sensibilisation des collaborateurs
- ☐ Désignation du DPO — le cas échéant, avec déclaration auprès de la CNIL
Fréquence de mise à jour recommandée
| Livrable | Fréquence minimale de revue |
|---|---|
| Registre des traitements | À chaque nouveau traitement + revue annuelle |
| AIPD | À chaque modification substantielle du traitement |
| Contrats sous-traitants | À chaque renouvellement contractuel |
| Politique de confidentialité | Annuelle ou à chaque évolution réglementaire |
| Procédure violations | Test annuel (exercice de simulation recommandé) |
Cette documentation constitue la preuve de la démarche d'accountability (responsabilisation) exigée par l'article 5.2 du RGPD. En cas de contrôle, la CNIL évalue non seulement la conformité formelle, mais aussi la capacité de l'entreprise à démontrer qu'elle a mis en œuvre des mesures effectives et proportionnées.
Un avocat spécialisé peut auditer vos livrables RGPD et identifier les écarts avant un éventuel contrôle de la CNIL.
Trouvez un avocat en protection des données
FAQ
La mise en conformité RGPD est-elle obligatoire pour les PME ?
Oui. Le RGPD s'applique à toute organisation traitant des données personnelles de résidents européens, sans seuil de taille. Certaines obligations sont allégées pour les entreprises de moins de 250 salariés (exemption partielle de tenue du registre pour les traitements non réguliers), mais l'essentiel du règlement s'impose à toutes.
Quel est le coût d'une mise en conformité RGPD ?
Le coût varie selon la taille de l'entreprise, le nombre de traitements et le niveau de maturité existant. Pour une PME, un projet initial se situe généralement entre 5 000 et 30 000 euros (audit + livrables). Pour une ETI ou un grand groupe, le budget peut dépasser 100 000 euros, notamment si des AIPD multiples et un DPO externe sont nécessaires.
Le DPO doit-il être un juriste ?
Non. Le RGPD exige que le DPO dispose de « connaissances spécialisées du droit et des pratiques en matière de protection des données » (article 37.5), mais ne prescrit pas de diplôme spécifique. En pratique, les profils sont variés : juristes, informaticiens, consultants en conformité. L'essentiel est la compétence effective et l'indépendance fonctionnelle.
Que faire en cas de contrôle de la CNIL ?
La CNIL peut procéder à des contrôles sur place, en ligne ou sur pièces. L'entreprise doit coopérer et mettre à disposition les documents demandés (registre, AIPD, contrats sous-traitants, preuves de consentement). Il est recommandé de préparer un dossier de conformité centralisé et de désigner un interlocuteur unique pour gérer la relation avec les agents de contrôle.
Quelle différence entre responsable de traitement et sous-traitant au sens du RGPD ?
Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. Cette distinction conditionne la répartition des obligations : le responsable porte la responsabilité principale, tandis que le sous-traitant est tenu par des obligations contractuelles et réglementaires propres (article 28).
Pour aller plus loin
RGPD : se préparer en 6 étapes - CNIL
Assurer votre conformité en 4 étapes - CNIL
Obligations en matière de protection des données personnelles (RGPD) - Service-Public
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
