RGPD en entreprise : obligations, conformité et sanctions

Le RGPD : ce que chaque entreprise doit savoir

Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, s'applique à toute entreprise qui traite des données personnelles de résidents européens. Que vous soyez une TPE de 3 salariés ou un groupe du CAC 40, les obligations sont les mêmes dans leurs principes, même si leur mise en oeuvre est proportionnée à la taille et à la nature de vos activités.

Six ans après son entrée en application, force est de constater que beaucoup d'entreprises françaises ne sont toujours pas en conformité. La CNIL a prononcé plus de 200 sanctions en 2025, pour un montant total dépassant les 200 millions d'euros.

Les 6 principes fondamentaux du RGPD

1. Licéité, loyauté et transparence : les données doivent être collectées sur une base légale (consentement, contrat, obligation légale, intérêt légitime) et les personnes informées
2. Limitation des finalités : les données sont collectées pour des objectifs précis et ne peuvent pas être réutilisées pour un autre usage incompatible
3. Minimisation des données : ne collecter que les données strictement nécessaires à la finalité déclarée
4. Exactitude : les données doivent être tenues à jour et corrigées si nécessaire
5. Limitation de la conservation : les données ne peuvent être conservées au-delà de la durée nécessaire
6. Intégrité et confidentialité : des mesures techniques et organisationnelles appropriées doivent protéger les données

Les obligations concrètes de l'entreprise

Le registre des traitements

Toute entreprise de plus de 250 salariés doit tenir un registre des activités de traitement. En pratique, la CNIL recommande ce registre pour toutes les entreprises, quelle que soit leur taille, dès lors qu'elles traitent régulièrement des données personnelles (ce qui est le cas de quasiment toutes les entreprises).

Ce registre doit contenir : les finalités de chaque traitement, les catégories de données traitées, les destinataires, les transferts hors UE, les durées de conservation, et une description des mesures de sécurité.

Le Délégué à la Protection des Données (DPO)

La désignation d'un DPO est obligatoire pour les organismes publics, les entreprises dont l'activité principale consiste en un suivi régulier et systématique des personnes à grande échelle, et celles qui traitent des données sensibles à grande échelle. Pour les autres, c'est recommandé mais pas obligatoire.

Les droits des personnes concernées

Le RGPD confère aux individus huit droits fondamentaux que les entreprises doivent respecter et faciliter.

Le droit d'accès permet à toute personne de savoir si ses données sont traitées et d'en obtenir une copie. Le droit de rectification permet de corriger des données inexactes. Le droit à l'effacement (le fameux « droit à l'oubli ») permet de demander la suppression de ses données, sous certaines conditions.

Si le sujet vous intéresse, ne manquez pas Garantie légale de conformité : vos droits de consommateur.

Le droit à la portabilité, innovation majeure du RGPD, permet à l'individu de récupérer ses données dans un format structuré pour les transmettre à un autre prestataire. Pensez à un client qui change de banque ou d'opérateur téléphonique.

La notification des violations de données

En cas de violation de données (fuite, piratage, perte accidentelle), l'entreprise doit notifier la CNIL dans les 72 heures. Si la violation présente un risque élevé pour les droits des personnes, celles-ci doivent également être informées.

Dans la pratique, ce délai de 72 heures est très court. Un avocat spécialisé recommande de préparer en amont un plan de réponse aux incidents, avec des modèles de notification pré-rédigés et une chaîne de responsabilité claire.

Les transferts de données hors UE

Depuis l'invalidation du Privacy Shield par l'arrêt Schrems II (2020), le transfert de données vers les États-Unis a été considérablement encadré. Le Data Privacy Framework, adopté en 2023, a partiellement résolu la situation, mais reste fragile juridiquement.

Pour transférer des données hors UE, les entreprises doivent utiliser des clauses contractuelles types (CCT) de la Commission européenne ou vérifier que le pays destinataire bénéficie d'une décision d'adéquation.

Pour mieux comprendre ce mécanisme, consultez également Pratiques commerciales trompeuses : définition et sanctions.

Les sanctions de la CNIL

La CNIL dispose d'un arsenal de sanctions graduées : rappel à l'ordre, injonction de mise en conformité (avec ou sans astreinte), amende administrative. Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Les PME ne sont pas épargnées. En 2025, plusieurs entreprises de moins de 50 salariés ont été sanctionnées pour des manquements aux obligations de sécurité ou au droit d'accès des personnes concernées.

FAQ

Le RGPD s'applique-t-il aux petites entreprises ?

Oui. Le RGPD s'applique à toute entreprise traitant des données personnelles, quelle que soit sa taille. Les obligations sont proportionnées, mais les principes fondamentaux restent les mêmes. Une TPE qui gère un fichier clients est concernée.

Faut-il obtenir le consentement pour chaque traitement ?

Non. Le consentement est l'une des six bases légales du RGPD, mais pas la seule. Un traitement peut aussi reposer sur l'exécution d'un contrat, une obligation légale, l'intérêt vital, une mission d'intérêt public ou l'intérêt légitime du responsable de traitement.

Quelle est la durée de conservation des données clients ?

Il n'existe pas de durée universelle. La conservation doit être proportionnée à la finalité. À titre indicatif : 3 ans après le dernier contact pour les données de prospection, 5 ans après la fin de la relation contractuelle pour les données clients, 10 ans pour les documents comptables.