Guides & Ressources pratiques
Auto-entrepreneur : quelle activité choisir ? Métiers autorisés, réglementés et exclus
Traitement de données : définition juridique, obligations RGPD et cas pratiques pour les entreprises
Points clés de l'article
- Le traitement de données personnelles couvre toute opération sur une donnée identifiant une personne, de la collecte à la destruction.
- Le RGPD impose 7 principes cumulatifs : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité.
- Chaque traitement doit reposer sur l'une des 6 bases légales prévues à l'article 6 du RGPD, sous peine de nullité.
- Le responsable de traitement et le sous-traitant portent des obligations distinctes mais complémentaires, documentées dans un registre obligatoire.
- Les sanctions CNIL atteignent 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Traitement de données : définition juridique au sens du RGPD
Quelles opérations sont couvertes par un traitement de données personnelles ?
Les principes fondamentaux à respecter lors d'un traitement
Bases légales : sur quel fondement traiter des données personnelles ?
Obligations clés du responsable de traitement et du sous-traitant
Registre des activités de traitement : contenu et tenue
Sanctions CNIL et risques pour l'entreprise en cas de manquement
Comment sécuriser ses traitements de données : méthode et bonnes pratiques
Traitement de données : définition juridique au sens du RGPD
Le traitement de données personnelles est défini à l'article 4.2 du règlement général sur la protection des données (RGPD). Il désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, que le procédé soit automatisé ou non. Cette définition est volontairement large : elle englobe aussi bien une requête dans un logiciel CRM qu'un classement de dossiers papier contenant des noms et adresses.
Une donnée personnelle, au sens de l'article 4.1 du RGPD, est toute information se rapportant à une personne physique identifiée ou identifiable. Un nom, une adresse IP, un numéro de sécurité sociale, un identifiant client ou une donnée de géolocalisation entrent dans cette catégorie. Le critère déterminant n'est pas la nature de la donnée, mais sa capacité à permettre l'identification directe ou indirecte d'un individu.
En pratique, la quasi-totalité des activités d'une entreprise implique au moins un traitement de données personnelles : gestion de la paie, prospection commerciale, vidéosurveillance, gestion des accès aux locaux, suivi des candidatures. Or, selon le rapport annuel 2023 de la CNIL, 42 % des plaintes reçues portaient sur des traitements dont les responsables ignoraient qu'ils relevaient du RGPD. Pour un directeur juridique, cartographier ces opérations constitue le préalable à toute mise en conformité.
Quelles opérations sont couvertes par un traitement de données personnelles ?
L'article 4.2 du RGPD fournit une liste non exhaustive d'opérations constitutives d'un traitement. Leur diversité explique pourquoi les opérationnels peinent à identifier ce qui relève ou non du règlement.
| Opération | Exemple concret en entreprise |
|---|---|
| Collecte | Formulaire d'inscription sur un site web |
| Enregistrement | Stockage de CV dans un ATS (Applicant Tracking System) |
| Organisation | Classement de fichiers clients par segment |
| Conservation | Archivage de bulletins de paie numérisés |
| Consultation | Accès d'un manager au dossier RH d'un salarié |
| Transmission | Envoi de données salariales à un prestataire de paie |
| Effacement | Suppression de comptes utilisateurs inactifs |
| Destruction | Broyage de dossiers papier contenant des données de santé |
Chacune de ces opérations, prise isolément, constitue un traitement. La simple consultation d'une fiche client dans un ERP (Enterprise Resource Planning) suffit à déclencher l'application du RGPD. Cette granularité impose au directeur juridique de travailler avec chaque direction métier pour recenser l'ensemble des flux de données.
Les principes fondamentaux à respecter lors d'un traitement
L'article 5 du RGPD fixe 7 principes que tout traitement de données doit respecter de manière cumulative. Le non-respect d'un seul d'entre eux expose l'entreprise à une sanction.
- Licéité, loyauté, transparence : le traitement repose sur une base légale valide, la personne concernée est informée de manière claire.
- Limitation des finalités : les données sont collectées pour des objectifs déterminés, explicites et légitimes. Un fichier client constitué pour la facturation ne peut pas être réutilisé pour du profilage publicitaire sans base légale distincte.
- Minimisation : seules les données strictement nécessaires à la finalité sont collectées. Demander la date de naissance pour une inscription à une newsletter est, sauf justification, contraire à ce principe.
- Exactitude : les données inexactes doivent être rectifiées ou effacées sans délai.
- Limitation de la conservation : une durée de conservation proportionnée à la finalité doit être définie. La CNIL recommande par exemple 2 ans après le dernier contact pour les données de prospection B2B.
- Intégrité et confidentialité : des mesures techniques et organisationnelles garantissent la sécurité des données contre les accès non autorisés, la perte ou la destruction.
- Responsabilité (accountability) : le responsable de traitement doit pouvoir démontrer, à tout moment, sa conformité à l'ensemble de ces principes.
La conformité RGPD repose sur une documentation rigoureuse et une gouvernance juridique adaptée à chaque organisation.
Échangez avec un avocat spécialisé en protection des données
Bases légales : sur quel fondement traiter des données personnelles ?
L'article 6 du RGPD énumère 6 bases légales, et une seule doit être identifiée pour chaque traitement avant sa mise en œuvre. Le choix de la base légale conditionne les droits des personnes concernées et les obligations du responsable de traitement.
| Base légale | Cas d'usage typique | Point d'attention |
|---|---|---|
| Consentement | Inscription à une newsletter | Doit être libre, spécifique, éclairé et univoque ; retirable à tout moment |
| Exécution d'un contrat | Livraison d'une commande client | Limité aux données nécessaires à l'exécution |
| Obligation légale | Déclarations sociales et fiscales | La base légale doit être identifiée précisément (article de loi, décret) |
| Intérêt vital | Urgence médicale sur le lieu de travail | Usage exceptionnel, limité aux situations de danger |
| Mission d'intérêt public | Traitement par une autorité publique | Rarement applicable aux entreprises privées |
| Intérêt légitime | Vidéosurveillance des locaux, prospection B2B | Nécessite une mise en balance documentée avec les droits des personnes |
L'intérêt légitime est la base légale la plus fréquemment invoquée en entreprise, mais aussi la plus contestée lors des contrôles. La CNIL exige une analyse de proportionnalité formalisée, appelée balancing test. En l'absence de cette documentation, le traitement est réputé illicite.
Obligations clés du responsable de traitement et du sous-traitant
Le RGPD distingue deux rôles : le responsable de traitement, qui détermine les finalités et les moyens, et le sous-traitant, qui agit pour le compte du responsable. Leurs obligations sont complémentaires.
Le responsable de traitement doit :
- Désigner un délégué à la protection des données (DPO) lorsque les conditions de l'article 37 sont remplies (traitement à grande échelle, données sensibles, autorité publique).
- Réaliser une analyse d'impact relative à la protection des données (AIPD) pour tout traitement susceptible d'engendrer un risque élevé pour les droits des personnes.
- Notifier toute violation de données à la CNIL dans un délai de 72 heures et, si le risque est élevé, informer les personnes concernées.
- Encadrer contractuellement chaque sous-traitant par un accord conforme à l'article 28 du RGPD.
Le sous-traitant, de son côté, ne peut traiter les données que sur instruction documentée du responsable. Il doit garantir la confidentialité, assister le responsable dans ses obligations (AIPD, notification de violations) et tenir son propre registre des traitements.
Structurer les relations responsable / sous-traitant par des clauses conformes au RGPD réduit l'exposition de l'entreprise en cas de contrôle.
Consultez un avocat en protection des données
Registre des activités de traitement : contenu et tenue
L'article 30 du RGPD impose à toute organisation de plus de 250 salariés — et à toute organisation traitant des données sensibles ou de manière non occasionnelle — de tenir un registre des activités de traitement. En pratique, cette obligation concerne la quasi-totalité des entreprises.
Le registre doit contenir, pour chaque traitement :
- Le nom et les coordonnées du responsable de traitement et, le cas échéant, du DPO.
- Les finalités du traitement.
- Les catégories de personnes concernées et de données traitées.
- Les catégories de destinataires.
- Les transferts éventuels vers des pays tiers et les garanties associées.
- Les délais de conservation prévus.
- Une description générale des mesures de sécurité techniques et organisationnelles.
Ce registre n'est pas un document figé. Il doit être mis à jour à chaque nouveau traitement, modification de finalité ou changement de sous-traitant. La CNIL le demande systématiquement lors de ses contrôles : en 2023, 87 % des mises en demeure prononcées mentionnaient une insuffisance du registre.
Sanctions CNIL et risques pour l'entreprise en cas de manquement
Le RGPD prévoit deux niveaux de sanctions administratives. Les manquements aux obligations du responsable de traitement ou du sous-traitant (registre, AIPD, notification de violation) sont passibles d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Les manquements aux principes de traitement ou aux droits des personnes exposent à des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
En France, la CNIL a prononcé 42 sanctions en 2023, pour un montant cumulé de 89 millions d'euros. Les motifs les plus fréquents sont l'absence de base légale valide, le défaut d'information des personnes et l'insuffisance des mesures de sécurité.
Au-delà des amendes, les conséquences incluent :
- La publication de la décision, qui affecte la réputation de l'entreprise.
- L'injonction de cesser le traitement, qui peut paralyser une activité commerciale.
- Les actions de groupe exercées par des associations de protection des données.
- La responsabilité civile du dirigeant en cas de faute caractérisée de gestion.
La prévention du risque CNIL passe par un audit régulier des traitements et une gouvernance data formalisée.
Faites le point avec un avocat spécialisé
Comment sécuriser ses traitements de données : méthode et bonnes pratiques
La sécurisation des traitements de données repose sur une démarche structurée en 5 étapes, adaptable à toute taille d'entreprise.
Cartographier : recenser l'ensemble des traitements existants en interrogeant chaque direction métier (RH, marketing, IT, finance, achats). Chaque flux de données personnelles doit être identifié, y compris les traitements informels (fichiers Excel partagés, exports manuels).
Qualifier : pour chaque traitement, déterminer la base légale applicable, les catégories de données, les durées de conservation et les mesures de sécurité en place. Cette qualification alimente directement le registre.
Prioriser : identifier les traitements à risque élevé (données sensibles, profilage, transferts hors UE) et réaliser les AIPD correspondantes. La CNIL publie une liste de traitements soumis à AIPD obligatoire, mise à jour régulièrement.
Contractualiser : vérifier que chaque sous-traitant dispose d'un contrat conforme à l'article 28 du RGPD. Les clauses doivent préciser les instructions de traitement, les mesures de sécurité, les obligations de notification et les conditions de sous-traitance ultérieure.
Auditer : planifier des revues périodiques (annuelles au minimum) pour vérifier l'adéquation entre les pratiques réelles et la documentation. Les écarts identifiés font l'objet d'un plan de remédiation tracé.
Cette méthode permet au directeur juridique de piloter la conformité RGPD comme un processus continu, et non comme un projet ponctuel. Elle réduit l'exposition aux sanctions et facilite la démonstration de conformité exigée par le principe d'accountability.
FAQ
Qu'est-ce qu'un traitement de données personnelles au sens du RGPD ?
Un traitement de données personnelles désigne toute opération effectuée sur des données permettant d'identifier une personne physique : collecte, enregistrement, consultation, transmission, effacement ou destruction. Le procédé peut être automatisé (logiciel, base de données) ou manuel (dossier papier). La définition, prévue à l'article 4.2 du RGPD, est intentionnellement large pour couvrir l'ensemble des usages en entreprise.
Une simple consultation de données constitue-t-elle un traitement ?
Oui. L'article 4.2 du RGPD inclut explicitement la consultation parmi les opérations constitutives d'un traitement. Un manager qui consulte le dossier RH d'un salarié dans un SIRH effectue un traitement soumis au RGPD. L'entreprise doit donc encadrer les droits d'accès et tracer les consultations.
Le registre des traitements est-il obligatoire pour les PME ?
L'article 30 du RGPD prévoit une exemption pour les organisations de moins de 250 salariés, mais uniquement si les traitements sont occasionnels, ne portent pas sur des données sensibles et ne présentent pas de risque pour les droits des personnes. En pratique, la gestion de la paie ou d'un fichier client suffit à rendre le registre obligatoire, quelle que soit la taille de l'entreprise.
Quelle est la différence entre responsable de traitement et sous-traitant ?
Le responsable de traitement détermine les finalités (le pourquoi) et les moyens (le comment) du traitement. Le sous-traitant exécute le traitement pour le compte du responsable, selon ses instructions. Un éditeur SaaS qui héberge des données clients est généralement sous-traitant. Les deux portent des obligations propres au titre du RGPD et doivent formaliser leur relation par un contrat conforme à l'article 28.
Quel est le montant maximal des sanctions CNIL ?
Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé, le montant le plus élevé étant retenu. Ce plafond s'applique aux manquements les plus graves : absence de base légale, non-respect des droits des personnes ou transferts illicites hors UE. En 2023, la CNIL a infligé 89 millions d'euros de sanctions cumulées en France.
Pour aller plus loin
Traitement de données personnelles - CNIL
RGPD : de quoi parle-t-on ? - CNIL
Le registre des activités de traitement - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
