Innovation
Avocat freelance ou cabinet d'avocat : que choisissent les entreprises en 2025 ?
RGPD : définition, obligations et sanctions pour les entreprises
Points clés de l'article
- Le RGPD (Règlement Général sur la Protection des Données) encadre depuis mai 2018 tout traitement de données personnelles lié à des personnes situées dans l'UE, quel que soit le lieu d'établissement du responsable de traitement.
- Le règlement repose sur 7 principes directeurs — licéité, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité/confidentialité et responsabilité (accountability) — qui structurent chaque obligation opérationnelle.
- Les entreprises doivent tenir un registre des traitements, réaliser des analyses d'impact, encadrer les transferts hors UE, notifier les violations de données à la CNIL sous 72 heures et, dans certains cas, désigner un DPO.
- Les sanctions administratives peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- La mise en conformité repose sur un pilotage structuré : cartographie des traitements, gouvernance interne, documentation probante et audits réguliers.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
RGPD : que signifie cet acronyme et à quoi sert-il ?
Quel est le périmètre d'application du RGPD ?
Les 7 grands principes à retenir du RGPD
Quelles obligations concrètes pour les entreprises ?
Violation de données : quelles règles en cas d'incident ?
Quelles sanctions en cas de non-conformité au RGPD ?
Comment sécuriser la conformité RGPD de son entreprise ?
RGPD : que signifie cet acronyme et à quoi sert-il ?
Le RGPD — Règlement Général sur la Protection des Données — désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil, adopté le 27 avril 2016 et applicable depuis le 25 mai 2018. Ce texte constitue le cadre juridique unifié de la protection des données personnelles dans l'ensemble de l'Union européenne.
Son objectif est double. D'une part, il harmonise les règles applicables aux 27 États membres en remplaçant la directive 95/46/CE, qui laissait subsister des divergences nationales significatives. D'autre part, il renforce les droits des personnes physiques sur leurs données — droit d'accès, de rectification, d'effacement, de portabilité — tout en imposant aux organisations une logique de responsabilité documentée.
En France, le RGPD s'articule avec la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 20 juin 2018. La CNIL (Commission Nationale de l'Informatique et des Libertés) assure le rôle d'autorité de contrôle nationale. Elle a prononcé en 2024 plus de 87 millions d'euros de sanctions cumulées, contre 89 millions en 2023, confirmant un niveau de contrôle soutenu.
Pour une direction juridique, la définition du RGPD ne se limite pas à un texte réglementaire. Il s'agit d'un cadre de gouvernance qui irrigue l'ensemble des processus de l'entreprise : ressources humaines, marketing, relation client, sous-traitance, systèmes d'information. Chaque traitement de données personnelles — de la collecte d'un CV à l'envoi d'une newsletter — entre dans son périmètre.
Ce que recouvre la notion de « donnée personnelle »
Le RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable (article 4). Cette définition est volontairement large : un nom, une adresse IP, un identifiant de cookie, un numéro de sécurité sociale ou une donnée de géolocalisation constituent des données personnelles dès lors qu'ils permettent, directement ou par recoupement, d'identifier un individu.
Le règlement distingue par ailleurs les données sensibles (article 9) — origine ethnique, opinions politiques, données de santé, données biométriques — dont le traitement est en principe interdit, sauf exceptions limitativement énumérées.
Quel est le périmètre d'application du RGPD ?
Critère matériel : tout traitement automatisé ou structuré
Le RGPD s'applique à tout traitement de données personnelles, qu'il soit automatisé (base de données, CRM, algorithme) ou contenu dans un fichier structuré (article 2). Seules échappent à son champ les activités purement personnelles ou domestiques et les traitements liés à la sécurité nationale relevant des États membres.
Critère territorial : au-delà des frontières de l'UE
Le périmètre d'application du RGPD repose sur deux critères alternatifs définis à l'article 3 :
| Critère | Condition d'application | Exemple concret |
|---|---|---|
| Établissement | Le responsable de traitement ou le sous-traitant dispose d'un établissement dans l'UE | Filiale française d'un groupe américain |
| Ciblage | Le traitement vise des personnes situées dans l'UE (offre de biens/services ou suivi de comportement) | Site e-commerce basé en Suisse livrant en France |
Ce mécanisme d'extraterritorialité signifie qu'une entreprise établie hors de l'UE est soumise au RGPD dès qu'elle cible des résidents européens. Elle doit alors désigner un représentant dans l'Union (article 27).
En pratique, toute entreprise opérant sur le marché français — qu'elle y soit physiquement implantée ou non — entre dans le champ du règlement dès lors qu'elle traite des données de personnes situées en France.
Cadrer le périmètre d'application du RGPD au sein de votre organisation suppose un accompagnement juridique adapté à votre structure et à vos flux de données.
Consulter un avocat spécialisé en protection des données
Les 7 grands principes à retenir du RGPD
Le RGPD repose sur 7 principes fondamentaux, énoncés aux articles 5 et 24. Ils constituent la grille de lecture à partir de laquelle chaque traitement doit être conçu et documenté.
| # | Principe | Signification opérationnelle |
|---|---|---|
| 1 | Licéité, loyauté, transparence | Chaque traitement repose sur une base légale (consentement, contrat, obligation légale, intérêt légitime…) et la personne concernée est informée de manière claire |
| 2 | Limitation des finalités | Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être réutilisées de manière incompatible |
| 3 | Minimisation | Seules les données strictement nécessaires à la finalité déclarée sont collectées |
| 4 | Exactitude | Les données inexactes doivent être rectifiées ou effacées sans délai |
| 5 | Limitation de conservation | Les données ne sont conservées sous une forme identifiante que le temps nécessaire à la finalité du traitement |
| 6 | Intégrité et confidentialité | Des mesures techniques et organisationnelles garantissent la sécurité des données contre tout accès non autorisé, perte ou destruction |
| 7 | Responsabilité (accountability) | Le responsable de traitement doit démontrer, preuves à l'appui, sa conformité à l'ensemble des principes précédents |
Le principe d'accountability (article 24) constitue le pivot du dispositif. Il inverse la charge de la preuve : ce n'est pas à la CNIL de démontrer la non-conformité, mais à l'entreprise de prouver qu'elle respecte le règlement. Cette logique impose une documentation rigoureuse et actualisée de chaque traitement.
Quelles obligations concrètes pour les entreprises ?
Le registre des activités de traitement
L'article 30 du RGPD impose à tout responsable de traitement et à tout sous-traitant de tenir un registre des activités de traitement. Ce document recense, pour chaque traitement : sa finalité, les catégories de données traitées, les destinataires, les durées de conservation et les mesures de sécurité appliquées.
Les entreprises de moins de 250 salariés en sont dispensées uniquement si leurs traitements sont occasionnels, ne portent pas sur des données sensibles et ne présentent pas de risque pour les droits des personnes. En pratique, cette exception couvre très peu de cas.
L'analyse d'impact (AIPD)
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'article 35 impose la réalisation d'une analyse d'impact relative à la protection des données (AIPD). La CNIL a publié une liste de 14 types de traitements soumis à cette obligation, parmi lesquels : la vidéosurveillance à grande échelle, le profilage systématique ou le traitement de données de santé.
La désignation d'un DPO
La désignation d'un délégué à la protection des données (DPO, Data Protection Officer) est obligatoire dans 3 cas (article 37) :
- L'organisme est une autorité ou un organisme public
- L'activité de base implique un suivi régulier et systématique des personnes à grande échelle
- L'activité de base porte sur des données sensibles ou relatives à des condamnations pénales à grande échelle
En dehors de ces cas, la désignation reste recommandée par la CNIL. En France, plus de 31 000 organismes avaient désigné un DPO auprès de la CNIL fin 2023.
L'encadrement des transferts hors UE
Tout transfert de données personnelles vers un pays situé hors de l'Espace économique européen doit être encadré par un mécanisme reconnu par le RGPD (chapitre V) : décision d'adéquation de la Commission européenne, clauses contractuelles types (CCT), règles d'entreprise contraignantes (Binding Corporate Rules) ou, depuis juillet 2023, le Data Privacy Framework pour les transferts vers les États-Unis.
Structurer vos obligations RGPD — registre, AIPD, transferts — nécessite un diagnostic juridique précis adapté à votre secteur d'activité.
Être accompagné par un avocat en protection des données
Violation de données : quelles règles en cas d'incident ?
Le RGPD définit la violation de données personnelles comme une faille de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération ou la divulgation non autorisée de données (article 4, point 12).
Notification à la CNIL
L'article 33 impose au responsable de traitement de notifier toute violation à l'autorité de contrôle compétente dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits des personnes. En 2023, la CNIL a reçu 4 668 notifications de violations de données, soit une hausse de 14 % par rapport à 2022.
La notification doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées pour y remédier.
Communication aux personnes concernées
Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'article 34 impose en outre une communication directe aux personnes concernées, dans des termes clairs et compréhensibles.
Documentation systématique
Indépendamment de la notification, l'article 33(5) exige que toute violation soit documentée en interne : faits, effets, mesures correctives. Cette documentation doit être accessible en cas de contrôle.
Quelles sanctions en cas de non-conformité au RGPD ?
Le RGPD prévoit un régime de sanctions administratives à deux niveaux, défini à l'article 83 :
| Niveau | Plafond | Manquements visés |
|---|---|---|
| Niveau 1 | 10 millions € ou 2 % du CA annuel mondial | Obligations du responsable de traitement ou du sous-traitant (registre, DPO, sécurité, notification) |
| Niveau 2 | 20 millions € ou 4 % du CA annuel mondial | Principes fondamentaux du traitement, droits des personnes, transferts hors UE |
Le montant retenu est toujours le plus élevé entre le forfait et le pourcentage du chiffre d'affaires. Les sanctions sont prononcées par l'autorité de contrôle nationale — en France, la formation restreinte de la CNIL.
Exemples de sanctions prononcées en France
- Criteo : 40 millions d'euros en juin 2023 pour absence de consentement valide au dépôt de cookies publicitaires et défaut de transparence.
- Clearview AI : 20 millions d'euros en octobre 2022 pour collecte et utilisation illicites de photographies faciales sans base légale.
- Amazon France Logistique : 32 millions d'euros en janvier 2024 pour surveillance excessive des salariés via des scanners d'activité.
Au-delà des amendes, la CNIL peut prononcer des injonctions de mise en conformité, des limitations temporaires de traitement ou des astreintes journalières. Le risque réputationnel associé à la publication des décisions constitue un levier de pression supplémentaire : chaque sanction est rendue publique sur le site de la CNIL.
Anticiper les risques de sanction CNIL passe par un audit de conformité mené avec un avocat maîtrisant les pratiques de l'autorité de contrôle.
Trouver un avocat en protection des données
Comment sécuriser la conformité RGPD de son entreprise ?
La mise en conformité RGPD n'est pas un projet ponctuel. Elle s'inscrit dans une démarche continue, articulée autour de 5 étapes structurantes.
1. Cartographier les traitements
Le point de départ consiste à recenser l'ensemble des traitements de données personnelles opérés par l'entreprise : données clients, données salariés, données fournisseurs, cookies, vidéosurveillance, géolocalisation. Cette cartographie alimente directement le registre prévu à l'article 30.
2. Qualifier les bases légales
Chaque traitement doit reposer sur l'une des 6 bases légales prévues à l'article 6 : consentement, exécution d'un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public ou intérêt légitime. Le choix de la base légale conditionne les droits dont disposent les personnes concernées.
3. Mettre en place la gouvernance interne
La conformité repose sur une organisation interne claire :
- Désignation d'un DPO (obligatoire ou volontaire)
- Définition des rôles et responsabilités entre directions (juridique, IT, RH, marketing)
- Formation des collaborateurs exposés aux données personnelles
- Mise en place de procédures de gestion des demandes d'exercice des droits
4. Documenter pour prouver
Le principe d'accountability impose de constituer un dossier de conformité comprenant :
- Le registre des traitements
- Les analyses d'impact réalisées
- Les politiques de confidentialité
- Les contrats de sous-traitance intégrant les clauses de l'article 28
- Les preuves de consentement collectées
- Les procédures de notification des violations
5. Auditer et actualiser régulièrement
La conformité se dégrade si elle n'est pas maintenue. Tout nouveau traitement, tout changement de prestataire, toute évolution réglementaire impose une mise à jour du dispositif. La CNIL recommande un audit annuel de conformité.
Sécuriser durablement votre conformité RGPD suppose un accompagnement juridique régulier, calibré sur l'évolution de vos traitements et de la doctrine CNIL.
Consulter un avocat spécialisé en protection des données
FAQ
Le RGPD s'applique-t-il aux petites entreprises ?
Oui. Le RGPD s'applique à toute organisation traitant des données personnelles de personnes situées dans l'UE, quelle que soit sa taille. L'exemption de registre pour les entreprises de moins de 250 salariés ne concerne que les traitements occasionnels ne portant pas sur des données sensibles, ce qui exclut la plupart des cas courants (fichier clients, gestion de paie).
Quelle différence entre responsable de traitement et sous-traitant au sens du RGPD ?
Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. Un prestataire d'hébergement cloud ou un éditeur de logiciel SaaS agit généralement comme sous-traitant. Le RGPD impose un contrat écrit entre les deux (article 28).
Le consentement est-il toujours obligatoire pour traiter des données personnelles ?
Non. Le consentement n'est qu'une des 6 bases légales prévues à l'article 6 du RGPD. Un traitement peut reposer sur l'exécution d'un contrat (ex. : gestion d'une commande), une obligation légale (ex. : déclarations sociales) ou l'intérêt légitime du responsable de traitement, sous réserve de ne pas porter atteinte aux droits de la personne concernée.
Que risque une entreprise qui ne notifie pas une violation de données à la CNIL ?
L'absence de notification dans le délai de 72 heures constitue un manquement sanctionnable au titre de l'article 83(4) du RGPD. L'amende peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. La CNIL a déjà sanctionné des entreprises pour notification tardive, indépendamment de la gravité de la violation elle-même.
Un DPO peut-il être externe à l'entreprise ?
Oui. L'article 37(6) du RGPD autorise la désignation d'un DPO externe, qu'il s'agisse d'un consultant indépendant ou d'un prestataire spécialisé. Le DPO externe doit disposer des compétences requises et exercer ses missions en toute indépendance, sans conflit d'intérêts avec d'autres fonctions qu'il pourrait assurer pour l'entreprise.
Pour aller plus loin
RGPD : de quoi parle-t-on ? - CNIL
LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles - Légifrance
Les six grands principes du RGPD - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
