Guides & Ressources pratiques
Garantie décennale : définition, obligations et assurance pour les entreprises
Principes RGPD : les 7 fondamentaux pour directions juridiques
Points clés de l'article
- L'article 5 du RGPD pose 7 principes cumulatifs qui conditionnent la licéité de tout traitement de données personnelles en entreprise.
- Chaque principe (licéité, limitation des finalités, minimisation, exactitude, conservation limitée, intégrité, accountability) exige des procédures internes documentées et vérifiables.
- En 2024, la CNIL a prononcé 87 sanctions pour un total de 55,2 millions d'euros ; en 2025, 83 sanctions représentent déjà plus de 486 millions d'euros cumulés.
- L'accountability impose à la direction juridique de prouver la conformité à tout moment, pas seulement de la déclarer.
- Le non-respect d'un seul principe suffit à fonder une sanction, y compris en l'absence de violation de données.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce qu'un principe RGPD et pourquoi l'article 5 est-il central ?
Licéité, loyauté, transparence : la base de toute collecte de données
Limitation des finalités : comment délimiter un traitement conforme
Minimisation et exactitude : collecter juste, maintenir à jour
Limitation de la conservation : durées, purges et archivage intermédiaire
Intégrité, confidentialité, sécurité : les obligations techniques clés
Accountability : comment documenter et prouver la conformité à la CNIL
Conséquences du non-respect : sanctions, contentieux et jurisprudence récente
Qu'est-ce qu'un principe RGPD et pourquoi l'article 5 est-il central ?
Les principes RGPD désignent les règles fondamentales posées par l'article 5 du Règlement général sur la protection des données (UE 2016/679). Ces 7 principes ne sont pas des recommandations. Ce sont des obligations juridiques contraignantes qui s'appliquent à chaque traitement de données personnelles, sans exception.
L'article 5 fonctionne comme une matrice de conformité. Toute opération sur des données — collecte, stockage, analyse, transfert, suppression — doit satisfaire simultanément l'ensemble de ces principes. Le non-respect d'un seul d'entre eux suffit à rendre un traitement illicite, indépendamment de la bonne exécution des autres.
Pour une direction juridique, l'enjeu est concret : la CNIL a prononcé 83 sanctions en 2025, pour un montant cumulé de plus de 486 millions d'euros. En 2024, ce chiffre s'élevait à 55,2 millions d'euros pour 87 décisions. L'écart illustre un durcissement net de la politique répressive. Or, la majorité de ces sanctions repose sur un manquement à l'un des principes de l'article 5, souvent avant même qu'une violation de données ne survienne.
| Principe (article 5) | Paragraphe | Objet |
|---|---|---|
| Licéité, loyauté, transparence | 5.1.a | Base légale et information des personnes |
| Limitation des finalités | 5.1.b | Périmètre du traitement |
| Minimisation | 5.1.c | Proportionnalité des données collectées |
| Exactitude | 5.1.d | Mise à jour et rectification |
| Limitation de la conservation | 5.1.e | Durées et purges |
| Intégrité et confidentialité | 5.1.f | Sécurité technique et organisationnelle |
| Accountability | 5.2 | Charge de la preuve de conformité |
Licéité, loyauté, transparence : la base de toute collecte de données
Le premier principe RGPD impose trois exigences cumulatives dès le stade de la collecte.
La licéité signifie que tout traitement repose sur l'une des 6 bases légales prévues à l'article 6 : consentement, exécution contractuelle, obligation légale, intérêt vital, mission d'intérêt public ou intérêt légitime. Le choix de la base légale doit être documenté avant le lancement du traitement. Un changement de base légale en cours de traitement est, en pratique, quasi impossible sans requalification complète.
La loyauté interdit de collecter des données par des moyens détournés ou trompeurs. Par exemple, un formulaire qui pré-coche des cases de consentement ou qui masque l'étendue réelle du traitement viole ce principe.
La transparence oblige le responsable de traitement à fournir aux personnes concernées une information claire, accessible et complète. La CNIL sanctionne régulièrement des entreprises dont les politiques de confidentialité restent trop longues, trop techniques ou incomplètes. En décembre 2024, Kaspersky a été sanctionné à hauteur de 100 000 euros pour défaut d'information des personnes dans le cadre de prospection commerciale.
Limitation des finalités : comment délimiter un traitement conforme
Chaque traitement de données doit être rattaché à une finalité déterminée, explicite et légitime. Ce principe interdit la réutilisation des données pour un objectif incompatible avec celui initialement déclaré.
En pratique, la direction juridique doit valider la rédaction des finalités dans le registre des traitements (article 30 du RGPD). Une finalité vague comme « améliorer nos services » ne satisfait pas l'exigence de détermination. Il faut préciser : « mesurer le taux de satisfaction client post-achat via un questionnaire anonymisé ».
Le test de compatibilité prévu à l'article 6.4 permet d'évaluer si un traitement ultérieur reste cohérent avec la finalité initiale. Ce test repose sur 5 critères : le lien entre les finalités, le contexte de la collecte, la nature des données, les conséquences pour les personnes et l'existence de garanties appropriées.
Structurer les finalités de chaque traitement exige une analyse juridique précise, adaptée au secteur et aux flux de données de l'entreprise.
Consulter un avocat spécialisé en protection des données
Minimisation et exactitude : collecter juste, maintenir à jour
La minimisation (article 5.1.c) impose de ne collecter que les données adéquates, pertinentes et strictement nécessaires au regard de la finalité. Ce principe oblige à un audit régulier des champs de formulaires, des bases de données et des flux d'échange avec les sous-traitants.
Un exemple fréquent : collecter la date de naissance complète d'un client alors que seule la tranche d'âge est nécessaire à la finalité statistique. La CNIL a sanctionné ce type de pratique dans le secteur de l'assurance et du e-commerce.
L'exactitude (article 5.1.d) impose que les données soient tenues à jour. Le responsable de traitement doit mettre en place des procédures de rectification et de suppression des données inexactes. Ce principe a des implications directes en matière RH : un dossier salarié contenant des informations obsolètes sur la situation familiale ou l'adresse peut générer des erreurs de paie et exposer l'employeur à un manquement.
- Audit des champs : vérifier chaque donnée collectée au regard de la finalité déclarée
- Procédure de rectification : délai de réponse de 1 mois maximum (article 16)
- Revue périodique : planifier une vérification trimestrielle ou semestrielle des bases actives
Limitation de la conservation : durées, purges et archivage intermédiaire
Les données personnelles ne peuvent être conservées sous une forme identifiante que pendant la durée nécessaire à la finalité du traitement. Au-delà, elles doivent être supprimées, anonymisées ou archivées selon un régime distinct.
La CNIL distingue 3 phases de conservation :
| Phase | Description | Accès |
|---|---|---|
| Base active | Données utilisées couramment pour la finalité | Opérationnel courant |
| Archivage intermédiaire | Données nécessaires pour des obligations légales (fiscales, sociales) | Accès restreint, motivé |
| Archivage définitif | Données à valeur historique, statistique ou scientifique | Anonymisation ou accès très restreint |
Pour les données clients en B2B, le référentiel CNIL recommande une durée de conservation en base active de 3 ans à compter du dernier contact. Pour les données RH, les bulletins de paie doivent être conservés 5 ans, les documents relatifs aux charges sociales 6 ans.
La direction juridique doit formaliser une politique de purge automatisée, intégrée au système d'information. L'absence de politique de durée de conservation constitue l'un des manquements les plus fréquemment relevés lors des contrôles CNIL.
Définir des durées de conservation conformes suppose de croiser obligations légales sectorielles et exigences du RGPD.
Faire appel à un avocat en protection des données
Intégrité, confidentialité, sécurité : les obligations techniques clés
L'article 5.1.f impose de protéger les données contre tout traitement non autorisé, toute perte, destruction ou dégradation accidentelle. Cette obligation se traduit par des mesures techniques et organisationnelles « appropriées » — un standard apprécié au cas par cas selon la sensibilité des données et les risques identifiés.
Les mesures attendues incluent :
- Chiffrement des données au repos et en transit
- Contrôle d'accès basé sur les rôles (RBAC) avec journalisation des accès
- Pseudonymisation lorsque le traitement le permet
- Tests d'intrusion et audits de sécurité réguliers
- Plan de continuité et procédure de notification de violation (72 heures, article 33)
En 2024, la CNIL a sanctionné la société PAP à hauteur de 100 000 euros pour des défauts de sécurité incluant le stockage de mots de passe en clair et l'absence de politique de complexité des mots de passe. Ce type de manquement relève directement de l'article 5.1.f.
La direction juridique ne porte pas seule cette obligation. En revanche, elle doit s'assurer que la DSI ou le RSSI documente les mesures en place et que le niveau de sécurité reste proportionné aux risques identifiés dans l'analyse d'impact (AIPD) lorsqu'elle est requise.
Accountability : comment documenter et prouver la conformité à la CNIL
L'accountability (article 5.2) renverse la charge de la preuve. Le responsable de traitement ne doit pas seulement respecter les principes : il doit être en mesure de démontrer qu'il les respecte, à tout moment, sur demande du régulateur.
Ce principe se traduit par un corpus documentaire structuré :
- Registre des traitements (article 30) : description de chaque traitement, finalités, catégories de données, destinataires, durées, mesures de sécurité
- Analyses d'impact (AIPD, article 35) : obligatoires pour les traitements à risque élevé
- Politiques internes : politique de confidentialité, charte informatique, procédure de gestion des droits des personnes
- Contrats sous-traitants (article 28) : clauses RGPD obligatoires dans chaque contrat avec un prestataire traitant des données
- Registre des violations : documentation de chaque incident, même non notifié à la CNIL
Lors d'un contrôle, la CNIL demande systématiquement ces documents. L'absence de registre ou un registre incomplet constitue un manquement autonome, sanctionnable indépendamment de tout autre grief. En 2023, la formation restreinte de la CNIL a sanctionné le ministère de l'Intérieur pour défaut de tenue du registre, illustrant que l'accountability s'impose aussi aux acteurs publics.
L'accountability exige une documentation vivante, actualisée et auditée. Un avocat spécialisé peut structurer ce dispositif.
Trouver un avocat en protection des données
Conséquences du non-respect : sanctions, contentieux et jurisprudence récente
Le non-respect des principes RGPD de l'article 5 expose l'entreprise à 3 niveaux de risque.
Sanctions administratives. L'article 83.5 du RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En France, la CNIL a infligé en janvier 2025 une amende de 150 millions d'euros à Apple pour des manquements liés au consentement publicitaire sur l'App Store. En 2024, Amazon France Logistique a été sanctionné à hauteur de 32 millions d'euros pour un système de surveillance des salariés jugé excessif au regard du principe de minimisation.
Contentieux civils. Les personnes concernées peuvent agir en réparation devant les juridictions civiles (article 82 du RGPD). Les actions de groupe en matière de données personnelles, introduites en droit français par la loi du 18 novembre 2016, se multiplient. L'association NOYB a déposé plusieurs plaintes collectives en Europe, dont certaines visent des entreprises opérant en France.
Risque réputationnel. Les décisions de la CNIL sont publiées sur son site. Une sanction publique génère une couverture médiatique qui affecte la confiance des clients, partenaires et investisseurs.
| Type de risque | Base juridique | Plafond / conséquence |
|---|---|---|
| Amende administrative | Art. 83.5 RGPD | 20 M€ ou 4 % du CA mondial |
| Action en réparation | Art. 82 RGPD | Dommages-intérêts au réel |
| Action de groupe | Loi n°2016-1547 | Cessation du manquement + indemnisation |
| Publication de la sanction | Art. 83 RGPD | Atteinte réputationnelle |
La jurisprudence récente confirme que la CNIL ne réserve pas ses sanctions aux seuls cas de violation de données. Le simple défaut de documentation, l'absence de base légale valide ou une durée de conservation non définie suffisent à fonder une décision.
FAQ
Quels sont les 7 principes RGPD de l'article 5 ?
Les 7 principes sont : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; accountability. Ils s'appliquent de manière cumulative à tout traitement de données personnelles.
L'accountability oblige-t-elle à produire des documents spécifiques ?
Oui. Le responsable de traitement doit tenir un registre des traitements (article 30), réaliser des analyses d'impact lorsque nécessaire (article 35), formaliser des politiques internes et documenter les contrats avec les sous-traitants. Ces documents doivent être disponibles à tout moment en cas de contrôle CNIL.
Une entreprise peut-elle être sanctionnée sans violation de données ?
Oui. La CNIL sanctionne régulièrement des manquements aux principes de l'article 5 en l'absence de toute fuite ou violation. Un registre incomplet, une durée de conservation non définie ou un défaut de base légale suffisent à fonder une amende.
Comment déterminer la durée de conservation des données ?
La durée dépend de la finalité du traitement et des obligations légales applicables. La CNIL publie des référentiels sectoriels (3 ans pour les données prospects, 5 ans pour les bulletins de paie). La direction juridique doit croiser ces référentiels avec les contraintes propres à l'entreprise.
Le principe de minimisation interdit-il toute collecte large de données ?
Il n'interdit pas la collecte, mais impose qu'elle soit proportionnée à la finalité déclarée. Chaque donnée collectée doit être justifiable. Un audit régulier des champs de formulaires et des bases permet de vérifier cette proportionnalité et de supprimer les données superflues.
Pour aller plus loin
Chapitre II - Principes du RGPD - CNIL
Les six grands principes du RGPD - CNIL
Quels sont les grands principes des règles de protection des données - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
