Guides & Ressources pratiques
Attestation de salaire employeur : obligations, modèle et transmission
RGPD en entreprise : définition, obligations et démarches de conformité
Points clés de l'article
- Le RGPD s'applique à toute entreprise traitant des données personnelles de résidents européens, quelle que soit sa taille ou son secteur.
- Six principes fondamentaux encadrent chaque traitement : licéité, finalité, minimisation, exactitude, limitation de conservation et intégrité.
- Le registre des traitements est obligatoire pour toute entreprise de plus de 250 salariés, et pour toute entreprise réalisant des traitements à risque.
- La désignation d'un DPO est imposée dans 3 cas précis ; elle reste recommandée dans tous les autres.
- L'AIPD doit être conduite avant tout traitement susceptible d'engendrer un risque élevé pour les droits des personnes.
- Les sanctions de la CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
RGPD en entreprise : définition et champ d'application
Les principes fondamentaux du RGPD (licéité, minimisation, finalité)
Le registre des traitements : qui, quand, comment
La désignation du DPO : obligation ou recommandation
L'analyse d'impact relative à la protection des données (AIPD)
Droits des personnes concernées et procédures associées
Sanctions CNIL et risques de non-conformité
Externaliser sa conformité RGPD : quand et comment
RGPD en entreprise : définition et champ d'application
Le RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018, constitue le cadre juridique unifié de la protection des données personnelles au sein de l'Union européenne. Il s'applique directement dans les 27 États membres, sans transposition nationale nécessaire, bien que la loi Informatique et Libertés modifiée en précise certaines modalités en France.
Son champ d'application est volontairement large. Le RGPD en entreprise concerne tout organisme — société, association, administration — qui collecte, stocke, utilise ou transmet des données personnelles de personnes physiques situées dans l'UE. Une donnée personnelle désigne toute information permettant d'identifier directement ou indirectement une personne : nom, adresse e-mail, adresse IP, numéro de sécurité sociale, données de géolocalisation.
Le critère déterminant n'est pas la localisation du siège social, mais le lieu de résidence des personnes dont les données sont traitées. Une entreprise basée aux États-Unis qui propose un service à des clients français entre donc dans le périmètre du RGPD. En pratique, cela signifie que la quasi-totalité des entreprises opérant en France sont concernées, du groupe coté en bourse à la PME de 15 salariés disposant d'un fichier clients.
Pour la direction juridique, le RGPD crée une obligation de conformité permanente (accountability), c'est-à-dire la capacité de démontrer à tout moment que l'entreprise respecte ses obligations. Ce n'est pas une démarche ponctuelle, mais un processus continu de documentation, de contrôle et d'adaptation.
Les principes fondamentaux du RGPD (licéité, minimisation, finalité)
Le RGPD repose sur 6 principes énoncés à son article 5. Chaque traitement de données doit les respecter cumulativement.
| Principe | Signification concrète |
|---|---|
| Licéité, loyauté, transparence | Le traitement repose sur une base légale valide (consentement, contrat, obligation légale, intérêt légitime, etc.) et la personne est informée de manière claire. |
| Limitation des finalités | Les données sont collectées pour un objectif précis et défini à l'avance. Elles ne peuvent pas être réutilisées pour un autre objectif incompatible. |
| Minimisation | Seules les données strictement nécessaires à la finalité déclarée sont collectées. |
| Exactitude | Les données doivent être tenues à jour. Les données inexactes doivent être rectifiées ou supprimées sans délai. |
| Limitation de conservation | Les données ne sont conservées que le temps nécessaire à l'objectif poursuivi. |
| Intégrité et confidentialité | Des mesures techniques et organisationnelles appropriées protègent les données contre l'accès non autorisé, la perte ou la destruction. |
En pratique, ces principes se traduisent par des choix concrets : paramétrer un formulaire web pour ne collecter que les champs indispensables, définir des durées de conservation par catégorie de données, ou encore chiffrer les bases de données contenant des informations sensibles.
Structurer la conformité RGPD de votre entreprise suppose d'identifier précisément les traitements à risque et les bases légales applicables.
Consultez un avocat spécialisé en protection des données
Le registre des traitements : qui, quand, comment
Le registre des traitements est le document central de la conformité RGPD. L'article 30 du règlement impose sa tenue à toute entreprise de plus de 250 salariés. En dessous de ce seuil, l'obligation s'applique dès lors que l'entreprise réalise des traitements non occasionnels, traite des données sensibles (santé, opinions politiques, données biométriques) ou des données relatives à des condamnations pénales.
En pratique, la CNIL considère que la quasi-totalité des entreprises sont concernées, car la gestion de la paie ou d'un fichier clients constitue un traitement non occasionnel.
Le registre doit contenir, pour chaque traitement :
- Le nom et les coordonnées du responsable de traitement
- La finalité du traitement (ex. : gestion des candidatures RH)
- Les catégories de données collectées
- Les catégories de destinataires
- Les transferts éventuels hors UE
- Les durées de conservation prévues
- Les mesures de sécurité mises en œuvre
La direction juridique pilote généralement la création et la mise à jour de ce registre, en coordination avec la DSI et les directions métiers. La CNIL met à disposition un modèle de registre simplifié téléchargeable sur son site.
La désignation du DPO : obligation ou recommandation
Le DPO (Data Protection Officer, ou délégué à la protection des données) est le référent interne ou externe chargé de superviser la conformité RGPD. Sa désignation est obligatoire dans 3 cas définis par l'article 37 du règlement :
- L'organisme est une autorité ou un organisme public.
- Les activités de base du responsable de traitement exigent un suivi régulier et systématique des personnes à grande échelle (ex. : banque, assurance, plateforme numérique).
- Les activités de base portent sur le traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales.
En dehors de ces 3 cas, la désignation reste recommandée par la CNIL. En France, plus de 80 000 organismes avaient désigné un DPO auprès de la CNIL fin 2023.
Le DPO peut être un salarié de l'entreprise ou un prestataire externe. Il doit disposer de compétences juridiques et techniques suffisantes, et bénéficier d'une indépendance fonctionnelle : il ne peut pas recevoir d'instructions sur l'exercice de ses missions et ne peut pas être sanctionné pour leur exécution. Il rend compte directement au niveau le plus élevé de la direction.
La question du DPO interne ou externalisé dépend de la volumétrie des traitements et des compétences disponibles en interne.
Échangez avec un avocat en protection des données pour structurer votre gouvernance
L'analyse d'impact relative à la protection des données (AIPD)
L'AIPD (analyse d'impact relative à la protection des données) est une évaluation formalisée des risques qu'un traitement fait peser sur les droits et libertés des personnes concernées. L'article 35 du RGPD l'impose avant la mise en œuvre de tout traitement susceptible d'engendrer un risque élevé.
La CNIL a publié une liste de 14 types de traitements pour lesquels l'AIPD est systématiquement requise en France. Parmi eux :
- Les traitements de données de santé à grande échelle
- Les dispositifs de vidéosurveillance sur la voie publique
- Les traitements de profilage produisant des effets juridiques
- Les traitements croisant des bases de données à grande échelle
L'AIPD doit décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement au regard de la finalité, identifier les risques pour les droits des personnes et déterminer les mesures prévues pour les atténuer. La CNIL met à disposition un logiciel gratuit (PIA) pour faciliter cette démarche.
Lorsque l'AIPD révèle un risque résiduel élevé malgré les mesures envisagées, l'entreprise doit consulter la CNIL avant de mettre en œuvre le traitement.
Droits des personnes concernées et procédures associées
Le RGPD confère aux personnes dont les données sont traitées un ensemble de droits que l'entreprise doit être en mesure de satisfaire dans un délai d'un mois à compter de la demande :
| Droit | Contenu |
|---|---|
| Droit d'accès (art. 15) | Obtenir la confirmation que des données sont traitées et en recevoir une copie. |
| Droit de rectification (art. 16) | Faire corriger des données inexactes ou compléter des données incomplètes. |
| Droit à l'effacement (art. 17) | Demander la suppression des données dans certains cas (retrait du consentement, données non nécessaires). |
| Droit à la portabilité (art. 20) | Recevoir ses données dans un format structuré et lisible par machine. |
| Droit d'opposition (art. 21) | S'opposer au traitement fondé sur l'intérêt légitime ou la prospection commerciale. |
| Droit à la limitation (art. 18) | Obtenir le gel temporaire du traitement dans certaines situations. |
La direction juridique doit mettre en place une procédure interne de gestion de ces demandes : canal de réception identifié (adresse e-mail dédiée, formulaire en ligne), vérification de l'identité du demandeur, traçabilité du traitement de la demande et archivage de la réponse. Le non-respect du délai d'un mois constitue un manquement sanctionnable par la CNIL.
Formaliser les procédures de réponse aux demandes d'exercice de droits est un prérequis de conformité souvent sous-estimé.
Faites-vous accompagner par un avocat spécialisé
Sanctions CNIL et risques de non-conformité
La CNIL dispose d'un pouvoir de contrôle et de sanction gradué. En 2023, elle a prononcé 42 sanctions pour un montant cumulé de plus de 89 millions d'euros.
Le barème des sanctions administratives prévu par le RGPD distingue 2 paliers :
- Jusqu'à 10 millions d'euros ou 2 % du CA annuel mondial pour les manquements aux obligations du responsable de traitement (registre, DPO, sécurité, AIPD).
- Jusqu'à 20 millions d'euros ou 4 % du CA annuel mondial pour les violations des principes fondamentaux, des droits des personnes ou des règles de transfert hors UE.
Le montant le plus élevé entre la somme forfaitaire et le pourcentage du chiffre d'affaires est retenu. En France, la sanction la plus élevée prononcée par la CNIL a atteint 150 millions d'euros en janvier 2023 à l'encontre d'un acteur du numérique pour des manquements liés aux cookies.
Au-delà des sanctions financières, les risques incluent la mise en demeure publique (atteinte réputationnelle), l'injonction de cesser un traitement (impact opérationnel) et les actions de groupe introduites par des associations de défense des droits.
Externaliser sa conformité RGPD : quand et comment
Piloter la conformité RGPD mobilise des compétences juridiques, techniques et organisationnelles. Pour les directions juridiques, l'arbitrage entre ressources internes et accompagnement externe dépend de plusieurs facteurs :
- Volume et complexité des traitements : une entreprise traitant des données de santé ou opérant des transferts hors UE a des besoins de conformité plus exigeants qu'une société de services B2B classique.
- Compétences internes disponibles : la présence d'un juriste formé au RGPD ou d'un DPO interne réduit le besoin d'externalisation.
- Budget : le coût d'un DPO externalisé varie selon la taille de l'entreprise, mais reste inférieur au recrutement d'un profil dédié pour les structures de moins de 500 salariés.
L'externalisation peut porter sur des missions ponctuelles (audit de conformité, réalisation d'une AIPD, rédaction du registre) ou sur un accompagnement continu (DPO externalisé, veille réglementaire, gestion des violations de données).
Le recours à un avocat spécialisé en protection des données présente un avantage spécifique : le secret professionnel couvre les échanges, ce qui protège l'entreprise en cas de contrôle ultérieur de la CNIL. Ce point est particulièrement pertinent lorsque l'audit révèle des non-conformités que l'entreprise doit corriger avant toute notification.
Identifier les écarts de conformité et prioriser les actions correctives nécessite une expertise juridique adaptée à votre secteur.
Trouvez un avocat en protection des données sur Swim Legal
FAQ
Le RGPD s'applique-t-il aux TPE et PME ?
Oui. Le RGPD s'applique à toute entreprise traitant des données personnelles, quelle que soit sa taille. Seules certaines obligations, comme la tenue du registre des traitements, sont modulées en fonction du nombre de salariés et de la nature des traitements réalisés.
Quelle est la différence entre responsable de traitement et sous-traitant au sens du RGPD ?
Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, sur instruction de celui-ci. Un prestataire de paie externalisée, par exemple, agit comme sous-traitant. Le RGPD impose un contrat écrit entre les deux.
Faut-il obligatoirement recueillir le consentement pour traiter des données personnelles ?
Non. Le consentement est l'une des 6 bases légales prévues par l'article 6 du RGPD. Un traitement peut aussi reposer sur l'exécution d'un contrat, une obligation légale, l'intérêt légitime du responsable de traitement, la sauvegarde des intérêts vitaux ou l'exécution d'une mission d'intérêt public.
Que faire en cas de violation de données personnelles ?
L'entreprise doit notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits des personnes. Si le risque est élevé, les personnes concernées doivent également être informées directement.
Un DPO externalisé a-t-il la même valeur juridique qu'un DPO interne ?
Oui. Le RGPD ne distingue pas entre DPO interne et externe. Les deux disposent des mêmes prérogatives et des mêmes obligations d'indépendance. Le choix dépend des ressources et de la stratégie de l'entreprise.
Pour aller plus loin
RGPD : par où commencer ? - CNIL
Obligations en matière de protection des données personnelles (RGPD) - Service-Public Entreprendre
Le règlement général sur la protection des données (RGPD), mode d'emploi - economie.gouv.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
