Guides & Ressources pratiques
Déclaration tardive accident du travail : obligations et risques employeur
Protection des données en entreprise : définition, cadre RGPD et obligations en 2026
Points clés de l'article
- La protection des données en entreprise couvre toute information permettant d'identifier directement ou indirectement une personne physique, y compris les données des salariés, clients et prospects.
- Le cadre légal repose sur le RGPD, la loi Informatique et Libertés, et s'élargit en 2025-2026 avec l'IA Act et le Data Act.
- Quatre acteurs clés structurent la conformité : le responsable de traitement, le sous-traitant, le DPO et la CNIL.
- Les obligations concrètes portent sur le registre des traitements, l'information des personnes, la sécurité technique et la notification des violations sous 72 heures.
- Les sanctions CNIL peuvent atteindre 4 % du chiffre d'affaires mondial annuel, auxquelles s'ajoutent des actions de groupe et un risque réputationnel.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Protection des données en entreprise : définition juridique et périmètre
Cadre légal applicable : RGPD, loi Informatique et Libertés, IA Act, Data Act
Données personnelles vs données sensibles : ce que recouvre la notion
Acteurs concernés : responsable de traitement, sous-traitant, DPO
Obligations principales : registre, information, sécurité, notification
Sanctions et contentieux en cas de manquement
Différence avec la cybersécurité et la confidentialité business
Protection des données en entreprise : définition juridique et périmètre
La protection des données en entreprise désigne l'ensemble des règles qui encadrent la collecte, le stockage, l'utilisation et la suppression des informations relatives à des personnes physiques identifiées ou identifiables. En droit européen, cette notion repose sur l'article 4 du RGPD, qui définit la « donnée à caractère personnel » de manière large : un nom, une adresse IP, un identifiant de badge, un numéro de sécurité sociale ou même une combinaison de données anonymisées permettant une ré-identification entrent dans ce périmètre.
Pour une direction juridique, le périmètre concret dépasse les seules bases clients. Il inclut les données RH (contrats, bulletins de paie, évaluations), les données prospects issues du CRM, les logs de connexion des collaborateurs, les enregistrements de vidéosurveillance et les cookies déposés sur les sites web de l'entreprise. Chaque flux de données impliquant une personne physique — salarié, candidat, client, fournisseur personne physique — active les obligations légales.
Le périmètre s'apprécie aussi géographiquement. Le RGPD s'applique dès lors qu'une entreprise établie dans l'UE traite des données, ou qu'une entreprise hors UE cible des résidents européens. Une filiale française d'un groupe américain est donc soumise au RGPD pour l'ensemble des traitements réalisés depuis le territoire européen, indépendamment de la localisation des serveurs.
Cadre légal applicable : RGPD, loi Informatique et Libertés, IA Act, Data Act
Le socle réglementaire repose sur 2 textes principaux. Le RGPD (règlement 2016/679), applicable depuis le 25 mai 2018, harmonise les règles au niveau européen. La loi Informatique et Libertés du 6 janvier 1978, modifiée en 2019, complète le RGPD en droit français, notamment sur les traitements régaliens et les données de santé.
À ce socle s'ajoutent 2 règlements européens qui élargissent le cadre à partir de 2025-2026. L'IA Act (règlement 2024/1689), entré en vigueur le 1er août 2024 avec une application progressive, impose des obligations spécifiques lorsque des données personnelles alimentent des systèmes d'intelligence artificielle classés à haut risque — recrutement automatisé, scoring crédit, vidéosurveillance intelligente. Le Data Act (règlement 2023/2854), applicable à compter du 12 septembre 2025, encadre le partage de données générées par les objets connectés et les services cloud, avec des implications directes sur la portabilité et l'accès aux données à caractère personnel.
Pour la direction juridique, cette superposition signifie qu'un même traitement — par exemple un outil de scoring RH alimenté par un algorithme d'IA — peut relever simultanément du RGPD, de l'IA Act et, si les données proviennent d'objets connectés professionnels, du Data Act.
Un cadre réglementaire qui se complexifie exige un accompagnement juridique ciblé sur la protection des données.
Consultez un avocat spécialisé en protection des données
Données personnelles vs données sensibles : ce que recouvre la notion
Le RGPD distingue 2 catégories de données, soumises à des régimes différents. Les données personnelles couvrent toute information se rapportant à une personne physique identifiable : nom, email professionnel, géolocalisation, identifiant technique. Leur traitement est licite dès lors qu'il repose sur l'une des 6 bases légales prévues à l'article 6 du RGPD (consentement, contrat, obligation légale, intérêt vital, mission de service public, intérêt légitime).
Les données sensibles, définies à l'article 9, relèvent d'un régime d'interdiction de principe. Elles concernent l'origine ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, les données génétiques, biométriques, de santé ou relatives à la vie sexuelle. Leur traitement n'est autorisé que dans des cas limitativement énumérés : consentement explicite, obligation en droit du travail, intérêt public dans le domaine de la santé publique, entre autres.
| Critère | Données personnelles | Données sensibles |
|---|---|---|
| Base juridique | Article 6 RGPD — 6 bases légales | Article 9 RGPD — interdiction de principe + exceptions |
| Exemples | Nom, email, adresse IP, n° de badge | Données de santé, opinions politiques, biométrie |
| Régime | Traitement autorisé sous conditions | Traitement interdit sauf dérogation expresse |
| Niveau de sécurité attendu | Mesures proportionnées au risque | Mesures renforcées (chiffrement, accès restreint) |
En pratique, une direction juridique doit cartographier précisément les traitements impliquant des données sensibles. Un fichier RH contenant les arrêts maladie ou les affiliations syndicales entre dans cette catégorie et nécessite des mesures de protection renforcées.
Acteurs concernés : responsable de traitement, sous-traitant, DPO
La conformité RGPD repose sur une répartition claire des rôles entre 3 acteurs principaux.
Le responsable de traitement est la personne morale (l'entreprise) qui détermine les finalités et les moyens du traitement. C'est sur lui que pèsent les obligations de conformité et les sanctions. En pratique, la direction générale ou la direction juridique porte cette responsabilité au sein de l'organisation.
Le sous-traitant est toute entité qui traite des données pour le compte du responsable : hébergeur cloud, prestataire de paie, éditeur SaaS, centre d'appels externalisé. L'article 28 du RGPD impose un contrat écrit précisant les instructions de traitement, les mesures de sécurité et les obligations de notification. Depuis 2018, le sous-traitant est directement sanctionnable par la CNIL.
Le DPO (Data Protection Officer, ou délégué à la protection des données) est obligatoire dans 3 cas : organismes publics, entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. Même hors obligation, la CNIL recommande sa désignation. En France, plus de 31 000 organismes avaient désigné un DPO auprès de la CNIL fin 2023.
| Acteur | Rôle | Responsabilité RGPD |
|---|---|---|
| Responsable de traitement | Définit les finalités et moyens | Responsabilité principale, sanctionnable |
| Sous-traitant | Traite pour le compte du responsable | Responsabilité propre depuis le RGPD, sanctionnable |
| DPO | Conseille, contrôle, interface CNIL | Pas de responsabilité personnelle, rôle consultatif |
Identifier le bon interlocuteur juridique est une étape structurante pour toute mise en conformité.
Trouvez un avocat en protection des données
Obligations principales : registre, information, sécurité, notification
Le RGPD impose 4 blocs d'obligations opérationnelles que la direction juridique doit piloter ou superviser.
Registre des traitements
L'article 30 du RGPD rend obligatoire la tenue d'un registre des activités de traitement pour toute entreprise de plus de 250 salariés, et pour les entreprises de taille inférieure dès lors que le traitement est régulier ou porte sur des données sensibles. Ce registre recense chaque traitement : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité. La CNIL met à disposition un modèle de registre téléchargeable.
Information des personnes
Les articles 13 et 14 imposent une information claire et accessible des personnes concernées au moment de la collecte. Cette information doit préciser l'identité du responsable, la finalité, la base légale, la durée de conservation et les droits exercables (accès, rectification, effacement, portabilité, opposition). En pratique, cela se traduit par des mentions légales sur les formulaires, des politiques de confidentialité et des clauses dans les contrats de travail.
Sécurité des données
L'article 32 exige des mesures techniques et organisationnelles « appropriées au risque » : chiffrement, pseudonymisation, gestion des accès, journalisation, tests de pénétration. Le niveau de sécurité doit être proportionné à la sensibilité des données et à la probabilité d'une violation.
Notification des violations
En cas de violation de données (accès non autorisé, perte, destruction), l'article 33 impose une notification à la CNIL dans un délai de 72 heures après la prise de connaissance. Si la violation présente un risque élevé pour les personnes, celles-ci doivent également être informées (article 34). En 2023, la CNIL a reçu 4 668 notifications de violations de données, soit une hausse de 14 % par rapport à 2022.
Sanctions et contentieux en cas de manquement
Le régime de sanctions du RGPD est gradué mais dissuasif. L'article 83 prévoit 2 paliers d'amendes administratives :
- Jusqu'à 10 millions d'euros ou 2 % du CA mondial annuel pour les manquements aux obligations du responsable ou du sous-traitant (registre, sécurité, DPO).
- Jusqu'à 20 millions d'euros ou 4 % du CA mondial annuel pour les violations des principes fondamentaux (licéité, consentement, droits des personnes, transferts hors UE).
En France, la CNIL a prononcé des sanctions record ces dernières années. En 2024, elle a infligé une amende de 50 millions d'euros à un acteur du numérique pour défaut de consentement sur les cookies. Les PME ne sont pas épargnées : des amendes de 20 000 à 500 000 euros ont été prononcées contre des entreprises de taille intermédiaire pour absence de registre ou défaut de sécurité.
Au-delà des amendes, le contentieux civil se développe. Depuis la directive 2020/1828, les actions de groupe (class actions) en matière de données personnelles sont facilitées en Europe. Le risque réputationnel s'ajoute au risque financier : la CNIL publie systématiquement les décisions de sanction sur son site.
Face à un risque de sanction pouvant atteindre 4 % du CA mondial, structurer sa conformité avec un avocat spécialisé est un investissement mesurable.
Accédez à un avocat en protection des données
Différence avec la cybersécurité et la confidentialité business
La protection des données personnelles, la cybersécurité et la confidentialité business répondent à des logiques juridiques distinctes, bien qu'elles se recoupent en pratique.
La protection des données personnelles relève du RGPD et vise à garantir les droits des personnes physiques sur leurs informations. Son périmètre est défini par la nature de la donnée (personnelle ou non) et non par le support technique.
La cybersécurité, encadrée notamment par la directive NIS 2 (transposée en droit français en 2024-2025), porte sur la sécurité des systèmes d'information dans leur ensemble. Elle protège l'infrastructure technique contre les attaques, indépendamment de la nature des données. Une entreprise peut être conforme au RGPD tout en étant vulnérable sur le plan cyber, et inversement.
La confidentialité business (secret des affaires, clauses de confidentialité) protège les informations stratégiques de l'entreprise — plans financiers, algorithmes propriétaires, stratégies commerciales. Elle relève du Code de commerce (articles L. 151-1 et suivants) et du droit des contrats, sans lien direct avec les droits des personnes physiques.
| Domaine | Objet protégé | Cadre juridique principal | Autorité de contrôle |
|---|---|---|---|
| Protection des données | Données des personnes physiques | RGPD, loi Informatique et Libertés | CNIL |
| Cybersécurité | Systèmes d'information | Directive NIS 2, Code de la défense | ANSSI |
| Confidentialité business | Informations stratégiques | Code de commerce, droit des contrats | Juridictions civiles et commerciales |
Pour la direction juridique, ces 3 chantiers doivent être coordonnés. Une fuite de données peut simultanément constituer une violation RGPD (notification CNIL sous 72 heures), un incident de cybersécurité (déclaration ANSSI si l'entreprise est un opérateur essentiel) et une atteinte au secret des affaires (action en responsabilité civile).
FAQ
Quand la désignation d'un DPO est-elle obligatoire ?
La désignation d'un DPO est obligatoire dans 3 cas prévus à l'article 37 du RGPD : lorsque le traitement est effectué par un organisme public, lorsque l'activité de base du responsable implique un suivi régulier et systématique des personnes à grande échelle, ou lorsque l'activité de base porte sur un traitement à grande échelle de données sensibles. En dehors de ces cas, la désignation reste recommandée par la CNIL.
Quel est le délai pour notifier une violation de données à la CNIL ?
Le responsable de traitement dispose de 72 heures après avoir pris connaissance d'une violation pour la notifier à la CNIL via son téléservice en ligne. Si la notification ne peut pas être complète dans ce délai, une notification initiale doit être transmise, puis complétée ultérieurement. Le non-respect de ce délai constitue un manquement sanctionnable.
Les sous-traitants peuvent-ils être directement sanctionnés par la CNIL ?
Oui. Depuis l'entrée en vigueur du RGPD, les sous-traitants sont directement responsables du respect de leurs obligations propres (sécurité, registre, coopération avec l'autorité de contrôle). La CNIL a déjà sanctionné des sous-traitants pour défaut de sécurité, indépendamment de la responsabilité du donneur d'ordre.
Quelle différence entre le RGPD et l'IA Act pour la protection des données ?
Le RGPD encadre tout traitement de données personnelles, quelle que soit la technologie utilisée. L'IA Act ajoute des obligations spécifiques lorsque des systèmes d'intelligence artificielle classés à haut risque utilisent ces données : évaluation de conformité, transparence algorithmique, supervision humaine. Les 2 textes s'appliquent de manière cumulative.
Le registre des traitements est-il obligatoire pour les PME ?
Le registre est obligatoire pour toute entreprise de plus de 250 salariés. Pour les entreprises de taille inférieure, il devient obligatoire dès lors que le traitement n'est pas occasionnel, qu'il porte sur des données sensibles ou qu'il est susceptible de comporter un risque pour les droits des personnes. En pratique, la CNIL considère que la quasi-totalité des entreprises sont concernées.
Pour aller plus loin
Règlement général sur la protection des données : ce qui change pour les professionnels - CNIL
Obligations en matière de protection des données personnelles (RGPD) - Service-Public.fr
Appliquer le RGPD dans une TPE ou PME : les questions/réponses de la CNIL - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
