Guides & Ressources pratiques
Données personnelles : définition et enjeux pour l'entreprise
Utilisation de données personnelles sans autorisation : risques et recours
Points clés de l'article
- Tout traitement de données personnelles sans base légale valide constitue un usage non autorisé au sens du RGPD.
- Le règlement prévoit 6 bases légales limitatives : consentement, contrat, obligation légale, intérêt vital, mission publique, intérêt légitime.
- Les sanctions CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
- En cas d'usage non autorisé constaté, l'entreprise doit notifier la CNIL sous 72 heures si une violation de données est caractérisée.
- Les personnes concernées disposent de recours directs auprès de la CNIL et devant les juridictions civiles ou pénales.
- La sécurisation passe par un registre des traitements à jour, des analyses d'impact et un accompagnement juridique spécialisé.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Utilisation de données personnelles sans autorisation : risques et recours
Quand l'utilisation de données personnelles est-elle sans autorisation ?
Les six bases légales prévues par le RGPD
Risques et sanctions encourus par l'entreprise
Que faire en cas d'usage non autorisé constaté ?
Recours des personnes et rôle de la CNIL
Sécuriser la licéité de vos traitements de données
Se faire accompagner par un avocat RGPD
Utilisation de données personnelles sans autorisation : risques et recours
En 2024, la CNIL a prononcé plus de 87 millions d'euros de sanctions, dont plusieurs pour des traitements dépourvus de base légale. Pour une direction juridique, l'utilisation de données personnelles sans autorisation représente un risque financier, réputationnel et opérationnel direct. Ce guide détaille les situations constitutives d'un usage non autorisé, les sanctions encourues et les actions concrètes pour sécuriser la licéité de chaque traitement.
Quand l'utilisation de données personnelles est-elle sans autorisation ?
Une donnée personnelle désigne toute information permettant d'identifier directement ou indirectement une personne physique : nom, adresse e-mail, adresse IP, identifiant client, données de géolocalisation. Le RGPD (règlement général sur la protection des données, applicable depuis mai 2018) impose que chaque traitement repose sur l'une des 6 bases légales prévues à son article 6.
L'utilisation est considérée comme non autorisée dans 3 cas principaux :
- Absence de base légale : l'entreprise collecte ou exploite des données sans avoir identifié ni documenté la base juridique applicable.
- Détournement de finalité : les données collectées pour un objectif précis (exécution d'un contrat, par exemple) sont réutilisées pour un autre objectif incompatible (prospection commerciale non consentie).
- Consentement vicié : le consentement a été recueilli de manière ambiguë, pré-cochée ou sans information suffisante, ce qui le rend juridiquement invalide.
| Situation | Exemple concret | Qualification RGPD |
|---|---|---|
| Absence de base légale | Fichier prospects acheté sans consentement des personnes | Traitement illicite (art. 6) |
| Détournement de finalité | Données RH utilisées pour du profilage marketing | Violation du principe de limitation des finalités (art. 5.1.b) |
| Consentement vicié | Case pré-cochée sur un formulaire en ligne | Consentement non valable (art. 7) |
En pratique, la CNIL vérifie systématiquement lors de ses contrôles si chaque traitement est rattaché à une base légale documentée dans le registre des traitements.
Les six bases légales prévues par le RGPD
L'article 6 du RGPD énumère de manière limitative les 6 fondements autorisant un traitement de données personnelles. Aucun traitement ne peut reposer sur un fondement non listé.
| Base légale | Définition | Cas d'usage typique |
|---|---|---|
| Consentement | Accord libre, spécifique, éclairé et univoque | Newsletter, cookies non essentiels |
| Exécution d'un contrat | Traitement nécessaire à l'exécution ou la préparation d'un contrat | Livraison d'une commande, gestion de paie |
| Obligation légale | Traitement imposé par un texte de loi | Conservation de factures (Code de commerce), déclarations sociales |
| Intérêt vital | Protection de la vie de la personne concernée | Urgence médicale en entreprise |
| Mission d'intérêt public | Traitement lié à une mission de service public | Peu applicable au secteur privé |
| Intérêt légitime | Intérêt du responsable de traitement, sous réserve de balance avec les droits des personnes | Sécurité informatique, prévention de la fraude |
Le choix de la base légale doit être effectué avant la mise en œuvre du traitement et documenté dans le registre prévu à l'article 30. Un changement de base légale en cours de traitement est en principe interdit par les lignes directrices du Comité européen de la protection des données (CEPD).
Identifier la bonne base légale pour chaque traitement exige une analyse juridique précise, adaptée à votre secteur et à vos flux de données.
Consultez un avocat spécialisé en protection des données
Risques et sanctions encourus par l'entreprise
Les conséquences d'une utilisation de données personnelles sans autorisation se déclinent sur 3 plans.
Sanctions administratives de la CNIL
La CNIL dispose d'un pouvoir de sanction gradué :
- Mise en demeure avec délai de mise en conformité.
- Injonction de cesser le traitement, assortie d'une astreinte pouvant atteindre 100 000 € par jour de retard.
- Amende administrative : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
En 2023, Criteo a été sanctionné à hauteur de 40 millions d'euros pour absence de consentement valide au dépôt de cookies. En 2022, la CNIL a infligé 60 millions d'euros à Microsoft Ireland pour le même motif.
Sanctions pénales
L'article 226-21 du Code pénal punit le détournement de finalité d'un traitement de données de 5 ans d'emprisonnement et 300 000 € d'amende. La collecte frauduleuse (art. 226-18) est passible des mêmes peines.
Préjudice réputationnel et opérationnel
La CNIL publie ses décisions de sanction. Cette publicité entraîne un risque d'image direct auprès des clients, partenaires et investisseurs. En cas d'injonction de suppression de données, l'entreprise peut perdre des bases de données entières, avec un impact opérationnel immédiat sur ses activités commerciales.
Que faire en cas d'usage non autorisé constaté ?
Lorsqu'une direction juridique identifie un traitement sans base légale, la réaction doit suivre un séquençage précis.
Étape 1 : qualifier la situation
Déterminer si l'usage non autorisé constitue une simple non-conformité documentaire ou une violation de données au sens de l'article 33 du RGPD (accès non autorisé, divulgation, perte de données). Cette qualification conditionne les obligations de notification.
Étape 2 : notifier si nécessaire
Si une violation de données est caractérisée et présente un risque pour les droits des personnes, la notification à la CNIL doit intervenir dans un délai de 72 heures après la prise de connaissance. Si le risque est élevé, les personnes concernées doivent également être informées individuellement (art. 34).
Étape 3 : cesser ou régulariser le traitement
- Suspendre immédiatement le traitement litigieux.
- Documenter l'incident dans un registre interne des violations.
- Identifier la base légale applicable ou, à défaut, procéder à la suppression des données.
Étape 4 : évaluer l'exposition
Estimer le volume de données concernées, le nombre de personnes affectées et la durée de l'infraction. Ces éléments déterminent le niveau de risque de sanction.
Face à un incident de données, un accompagnement juridique spécialisé permet de sécuriser la notification CNIL et de limiter l'exposition de l'entreprise.
Trouvez un avocat en protection des données
Recours des personnes et rôle de la CNIL
Droits des personnes concernées
Toute personne dont les données ont été utilisées sans autorisation dispose de plusieurs recours :
- Réclamation auprès de la CNIL : la procédure est gratuite et peut être effectuée en ligne. La CNIL instruit la plainte et peut déclencher un contrôle.
- Action en justice civile : l'article 82 du RGPD ouvre droit à réparation du préjudice matériel ou moral subi. En France, le tribunal judiciaire est compétent.
- Plainte pénale : pour les infractions prévues aux articles 226-16 à 226-24 du Code pénal.
- Action de groupe : depuis la loi du 18 novembre 2016, une association agréée peut exercer une action de groupe en matière de données personnelles.
Rôle de la CNIL dans le contrôle
La CNIL réalise environ 340 contrôles par an (chiffre 2023). Ces contrôles peuvent être déclenchés sur plainte, sur signalement ou dans le cadre de thématiques prioritaires annuelles. En 2024, les thématiques incluaient les fichiers clients, les données de mineurs et les applications mobiles.
Lors d'un contrôle, la CNIL vérifie notamment :
- L'existence et la complétude du registre des traitements.
- La documentation de la base légale pour chaque traitement.
- Les mécanismes de recueil du consentement.
- Les mesures de sécurité techniques et organisationnelles.
Sécuriser la licéité de vos traitements de données
La prévention repose sur un dispositif structuré, articulé autour de 4 piliers.
1. Cartographier les traitements : recenser l'ensemble des traitements de données personnelles dans un registre conforme à l'article 30. Chaque fiche doit mentionner la finalité, la base légale, les catégories de données, les destinataires et les durées de conservation.
2. Réaliser des analyses d'impact (AIPD) : l'article 35 du RGPD impose une analyse d'impact pour les traitements présentant un risque élevé (profilage, vidéosurveillance, traitement à grande échelle de données sensibles). La CNIL publie une liste des traitements soumis à cette obligation.
3. Formaliser les processus de consentement : lorsque le consentement est la base légale retenue, il doit être recueilli par un acte positif clair, documenté, et révocable à tout moment. Les preuves de consentement doivent être conservées.
4. Former les équipes opérationnelles : les directions marketing, RH et IT sont les premières concernées. Une formation annuelle réduit le risque d'usage non conforme au quotidien.
Structurer un programme de conformité RGPD adapté à la taille et au secteur de votre entreprise nécessite une expertise juridique ciblée.
Accédez à un avocat spécialisé en protection des données
Se faire accompagner par un avocat RGPD
La conformité RGPD mobilise des compétences transversales : droit des données, droit du numérique, droit du travail (pour les données RH), droit de la consommation (pour les données clients). Pour une direction juridique dont les ressources internes sont limitées, l'externalisation de certains dossiers permet de maintenir un niveau de conformité sans surcharger l'équipe.
Un avocat spécialisé en protection des données intervient sur plusieurs axes :
- Audit de conformité du registre des traitements et des bases légales.
- Rédaction ou révision des clauses contractuelles avec les sous-traitants (art. 28 RGPD).
- Accompagnement lors des contrôles CNIL : préparation, présence sur site, rédaction des observations.
- Gestion des violations de données : qualification, notification, communication de crise.
- Contentieux : défense devant la formation restreinte de la CNIL ou les juridictions civiles et pénales.
L'enjeu pour le directeur juridique est d'accéder à une expertise immédiatement opérationnelle, calibrée sur le besoin précis, sans engagement structurel de long terme.
FAQ
Qu'est-ce qu'une donnée personnelle au sens du RGPD ?
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut le nom, l'adresse e-mail, l'adresse IP, un numéro de client ou des données de localisation. Le critère déterminant est la possibilité d'identifier la personne, directement ou par recoupement.
Quelle est la différence entre consentement et intérêt légitime ?
Le consentement suppose un accord explicite de la personne, recueilli avant le traitement. L'intérêt légitime permet de traiter des données sans consentement, à condition que l'intérêt du responsable de traitement ne porte pas une atteinte disproportionnée aux droits de la personne. Cette balance doit être documentée par écrit.
Quel est le délai pour notifier une violation de données à la CNIL ?
Le responsable de traitement doit notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation, sauf si celle-ci n'engendre aucun risque pour les droits des personnes. Au-delà de ce délai, le retard doit être justifié.
Une entreprise peut-elle changer de base légale en cours de traitement ?
En principe, non. Le CEPD considère qu'un changement de base légale après le lancement du traitement est incompatible avec le principe de loyauté. L'entreprise doit choisir et documenter la base légale avant la collecte des données.
Comment réagir face à un contrôle CNIL ?
L'entreprise doit coopérer avec les agents de contrôle et mettre à disposition le registre des traitements, les preuves de consentement et les analyses d'impact. Il est recommandé de prévenir immédiatement la direction juridique et, si nécessaire, de se faire assister par un avocat spécialisé pendant le contrôle.
Pour aller plus loin
Les bases légales d’un traitement de données - CNIL
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles - Légifrance
Adresser une plainte à la CNIL - CNIL
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
