RGPD : comprendre et appliquer la réglementation
Depuis le 25 mai 2018, le paysage numérique européen a connu une transformation majeure avec l’application du Règlement Général sur la Protection des Données. Cette réglementation, qui touche toutes les organisations traitant des informations personnelles de citoyens européens, a bouleversé les pratiques des entreprises et renforcé considérablement les droits des individus. Mais qu’est-ce que le RGPD exactement, et comment s’applique-t-il concrètement ?
Qu’est-ce que le RGPD ?
La signification de l’acronyme
Le RGPD désigne le Règlement Général sur la Protection des Données, traduit en anglais par GDPR (General Data Protection Regulation). Il s’agit d’un texte réglementaire européen adopté par le Parlement européen et le Conseil de l’Union européenne en avril 2016, qui a harmonisé les règles relatives au traitement des données personnelles au sein de l’espace européen.
Un cadre juridique renforcé
Cette réglementation est venue remplacer la directive européenne de 1995, devenue obsolète face à l’évolution des technologies numériques et au développement massif du commerce en ligne. En France, le RGPD s’inscrit dans la continuité de la loi Informatique et Libertés de 1978, qu’il complète et renforce, offrant aux citoyens un contrôle accru sur leurs informations personnelles.
Les objectifs fondamentaux
Le RGPD poursuit trois objectifs principaux : renforcer les droits des personnes sur leurs données, responsabiliser les acteurs qui collectent et traitent ces informations, et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des différents États membres.
Qui est concerné par le RGPD ?
Un champ d’application très large
Contrairement à une idée reçue, le RGPD ne concerne pas uniquement les grandes entreprises du CAC 40. Toutes les structures sont concernées, quelle que soit leur taille :
- TPE et micro-entreprises
- PME et ETI
- Associations et fondations
- Professions libérales (médecins, avocats, architectes…)
- Organismes publics et collectivités territoriales
- Startups et e-commerçants
Dès lors qu’une organisation collecte, stocke, utilise ou traite des données à caractère personnel, elle entre dans le périmètre d’application du règlement.
Une portée territoriale étendue du RGPD
Le principe de territorialité du RGPD est important à comprendre. Le règlement s’applique à toute organisation qui traite des données personnelles de résidents européens, même si cette organisation est établie hors de l’Union européenne. Une entreprise américaine ou asiatique ciblant des clients français doit donc se conformer aux exigences du RGPD.
Responsables de traitement et sous-traitants
Le RGPD distingue deux acteurs clés : le responsable de traitement, qui détermine les finalités et les moyens du traitement des données, et le sous-traitant, qui traite les données pour le compte du responsable. Les deux peuvent être tenus responsables en cas de manquement, ce qui impose aux entreprises de vérifier la conformité de leurs partenaires et prestataires.
Qu’est-ce qu’une donnée personnelle selon le RGPD ?
Définition et exemples concrets
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Voici quelques exemples courants :
Données d’identification directe :
- Nom, prénom
- Adresse postale
- Numéro de téléphone
- Adresse email
- Numéro de sécurité sociale
Données d’identification indirecte :
- Numéro client ou d’abonné
- Adresse IP
- Identifiant de connexion
- Données de géolocalisation
- Photographies et vidéos
- Empreintes digitales
Les catégories sensibles
Le RGPD accorde une protection plus accrue aux données dites sensibles. Leur traitement est interdit par principe, sauf exceptions strictement encadrées :
- Origine raciale ou ethnique
- Opinions politiques
- Convictions religieuses ou philosophiques
- Appartenance syndicale
- Données génétiques et biométriques
- Données concernant la santé
- Données relatives à la vie sexuelle ou l’orientation sexuelle
Fichiers numériques et papier
Point important souvent méconnu, le RGPD ne concerne pas uniquement les traitements informatisés. Les fichiers papier contenant des données personnelles sont également soumis aux mêmes obligations de protection et de sécurisation.
Quels sont les principes fondamentaux du RGPD ?
Le RGPD repose sur sept (7) grands principes qui doivent guider toute organisation dans son traitement des données personnelles :
Principe | Description | Exemple pratique |
Licéité, loyauté et transparence | Avoir une base légale pour traiter les données (consentement, contrat, obligation légale, intérêt légitime…) | Obtenir le consentement avant d’envoyer une newsletter |
Finalité déterminée | Définir clairement pourquoi on collecte les données et ne pas les utiliser à d’autres fins | Collecter un email uniquement pour la livraison, pas pour du marketing |
Minimisation des données | Collecter uniquement les données strictement nécessaires | Ne pas demander la date de naissance pour vendre des fournitures de bureau |
Exactitude | Maintenir les données à jour et corriger les inexactitudes | Permettre aux clients de modifier leurs informations en ligne |
Conservation limitée des données | Supprimer les données dès qu’elles ne sont plus nécessaires | Effacer les données de prospection après 3 ans sans contact |
Sécurité et confidentialité | Protéger les données contre les accès non autorisés | Chiffrement, mots de passe robustes, contrôle d’accès |
Responsabilité | Être en mesure de démontrer la conformité au RGPD par des preuves documentées | Tenir un registre des traitements, conserver les preuves de consentement, documenter les mesures de sécurité |
Les droits des personnes renforcés par le RGPD
Le RGPD confère aux personnes concernées huit droits fondamentaux sur leurs données personnelles :
Tableau récapitulatif des droits
Droit | Description | Délai de réponse |
Droit à l’information | Être informé de la collecte et du traitement de ses données | Au moment de la collecte |
Droit d’accès | Obtenir une copie de ses données et savoir comment elles sont utilisées | 1 mois maximum |
Droit de rectification | Faire corriger des données inexactes ou incomplètes | 1 mois maximum |
Droit à l’effacement | Demander la suppression de ses données (« droit à l’oubli ») | 1 mois maximum |
Droit à la limitation | Demander le gel temporaire du traitement de ses données | 1 mois maximum |
Droit à la portabilité | Récupérer ses données dans un format réutilisable | 1 mois maximum |
Droit d’opposition | Refuser un traitement, notamment à des fins de prospection | Immédiat pour la prospection |
Droit de ne pas faire l’objet d’une décision automatisée | Refuser un profilage ou une décision entièrement automatisée | Variable selon le cas |
Focus sur les droits les plus exercés
Le droit d’accès
Il permet à toute personne de savoir si une organisation détient des informations sur elle et d’en obtenir une copie complète. C’est souvent le premier droit exercé, car il permet de vérifier l’exactitude des données.
Le droit à l’effacement
C’est un droit applicable dans plusieurs situations : lorsque les données ne sont plus nécessaires, lorsque la personne retire son consentement, lorsque les données ont été collectées illégalement, ou pour respecter une obligation légale. Toutefois, certaines données ne peuvent être supprimées en raison d’obligations légales (factures à conserver 10 ans, par exemple).
Le droit à la portabilité
C’est l’un des droits nouveaux introduits par le RGPD. Il permet de récupérer ses données dans un format structuré (JSON, CSV, XML) pour les transmettre facilement à un autre fournisseur de services. Ce droit ne s’applique qu’aux données fournies par la personne elle-même ou générées par son activité, et uniquement lorsque le traitement repose sur le consentement ou l’exécution d’un contrat.
Quelles sont les obligations concrètes pour les entreprises ?
Le registre des traitements
Toute organisation doit tenir un registre recensant l’ensemble des traitements de données personnelles qu’elle effectue. Ce document doit contenir :
- La finalité du traitement (pourquoi ?)
- Les catégories de données traitées (quelles informations ?)
- Les personnes concernées (clients, salariés, prospects ?)
- Les destinataires des données (qui y accède ?)
- Les durées de conservation
- Les mesures de sécurité mises en place
- Les éventuels transferts hors UE
Ce registre peut être un simple fichier Excel. Il doit être régulièrement mis à jour et peut servir de preuve lors d’un contrôle de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Le recueil du consentement
Lorsque le traitement repose sur le consentement, celui-ci doit être :
- Libre : sans contrainte ni pression
- Spécifique : distinct pour chaque finalité
- Éclairé : avec une information claire et complète
- Univoque : par une action positive claire (case à cocher)
Important : une case pré-cochée ne constitue pas un consentement valable. Le refus doit être aussi simple que l’acceptation.
La gestion des cookies
Le RGPD a profondément modifié les pratiques en matière de cookies :
- Le consentement doit être obtenu AVANT le dépôt de cookies non essentiels
- Le refus doit être aussi simple que l’acceptation (un clic)
- Les cookies strictement nécessaires au fonctionnement du site ne nécessitent pas de consentement
- La durée de validité du consentement est limitée à 6 mois maximum
L’analyse d’impact (AIPD)
Une Analyse d’Impact relative à la Protection des Données doit être réalisée lorsqu’un traitement présente un risque élevé pour les droits et libertés des personnes. C’est notamment le cas pour :
- La surveillance systématique à grande échelle
- Le traitement à grande échelle de données sensibles
- L’évaluation ou la notation des personnes (scoring)
- Les décisions automatisées produisant des effets juridiques
- Le croisement massif de données
La CNIL met à disposition un logiciel gratuit (PIA) pour faciliter cette démarche.
Le Délégué à la Protection des Données (DPO)
La désignation d’un DPO est obligatoire pour :
- Tous les organismes publics (administrations, collectivités…)
- Les entreprises dont l’activité principale consiste en un traitement nécessitant un suivi régulier et systématique des personnes à grande échelle
- Les organismes traitant à grande échelle des données sensibles
Le DPO joue plusieurs rôles clés :
- Conseiller et informer l’organisation
- Contrôler le respect du RGPD
- Servir de point de contact avec la CNIL
- Agir en toute indépendance
La notification des violations de données
En cas de fuite, perte ou vol de données personnelles, l’organisation doit :
- Notifier la CNIL dans les 72 heures maximum
- Informer les personnes concernées si la violation présente un risque élevé pour leurs droits
- Documenter la violation et les mesures prises
Quel est le rôle de la CNIL ?
Une autorité de contrôle et de régulation
La CNIL est l’autorité française chargée de veiller au respect du RGPD. Ses missions sont multiples :
- Accompagner les professionnels dans leur mise en conformité
- Répondre aux questions et éditer des guides pratiques
- Proposer des formations gratuites en ligne
- Effectuer des contrôles
- Prononcer des sanctions en cas de manquement
Les pouvoirs de contrôle
La CNIL peut effectuer trois types de contrôles :
- Sur place : visite dans les locaux de l’organisme
- En ligne : vérification à distance des sites web, applications
- Sur pièces : demande de transmission de documents
Ces contrôles peuvent intervenir suite à des plaintes (plus de 14 000 en 2023), à des signalements, ou dans le cadre de programmes thématiques ciblant certains secteurs d’activité.
Quelles sont les sanctions en cas de non-respect du RGPD ?
Des amendes administratives dissuasives
Le RGPD prévoit deux niveaux de sanctions financières :
Niveau | Manquements concernés | Montant maximum |
Niveau 1 | · Absence de registre des traitements · Non-désignation d’un DPO obligatoire · Défaut de notification d’une violation · Non-respect du privacy by design | 10 millions € ou 2 % du CA mondial |
Niveau 2 | · Non-respect des droits des personnes · Absence de base légale · Violation des principes de traitement · Transfert illicite de données hors UE | 20 millions € ou 4 % du CA mondial |
Le montant le plus élevé est systématiquement retenu. La CNIL tient compte de plusieurs critères pour fixer le montant : la nature, la gravité et la durée de la violation, le caractère intentionnel, les mesures prises pour atténuer le dommage, le degré de coopération avec l’autorité, etc.
Exemples de sanctions récentes en France
Voici quelques sanctions marquantes prononcées par la CNIL :
- Google (2022) : 90 millions € pour non-respect des règles sur les cookies
- Discord (2022) : 800 000 € pour manquements en matière de conservation et de sécurité
- Criteo (2023) : 40 millions € pour défaut de consentement valide
- Carrefour France (2020) : 2,25 millions € pour multiples manquements aux droits des personnes
- TPE de 2 salariés (2020) : 7 300 € pour défaut d’information et de consentement
Ces exemples montrent que toutes les tailles d’entreprises sont concernées, des géants du numérique aux TPE.
Les sanctions pénales
Au-delà des sanctions administratives, le code pénal français prévoit :
- 5 ans d’emprisonnement et 300 000 € d’amende pour détournement de finalité
- 5 ans d’emprisonnement et 300 000 € d’amende pour conservation au-delà de la durée légale
- 5 ans d’emprisonnement et 300 000 € d’amende pour collecte frauduleuse ou déloyale
L’impact réputationnel
Les sanctions de la CNIL peuvent être rendues publiques, ce qui génère un risque majeur d’atteinte à la réputation et à la confiance des clients. Certaines décisions sont même publiées dans la presse ou sur des sites spécialisés, avec un impact commercial potentiellement très négatif.
Comment se mettre en conformité : le plan d’action en 6 étapes
Étape 1 : Désigner un pilote
Identifiez au sein de votre organisation une personne qui sera le chef d’orchestre de la conformité RGPD :
- Le DPO si sa désignation est obligatoire
- Un responsable informatique, juridique ou qualité
- Le dirigeant lui-même dans une petite structure
Étape 2 : Cartographier les traitements
Recensez précisément tous les fichiers et traitements de données personnelles :
- Fichiers clients et prospects
- Fichiers fournisseurs et partenaires
- Gestion de la paie et des ressources humaines
- Candidatures et recrutement
- Vidéosurveillance
- Géolocalisation des véhicules
- Outils marketing (CRM, emailing, réseaux sociaux)
- Cookies et analytics sur le site web
Pour chaque traitement, documentez : finalité, données collectées, base légale, destinataires, durée de conservation, mesures de sécurité.
Étape 3 : Prioriser les actions
Toutes les non-conformités n’ont pas le même niveau de gravité. Identifiez les risques prioritaires :
Priorité 1 – Actions urgentes :
- Traitements sans base légale
- Données sensibles non sécurisées
- Absence de registre des traitements
- Cookies sans consentement
Priorité 2 – Actions importantes :
- Durées de conservation non définies
- Information des personnes insuffisante
- Absence de procédure pour gérer les droits
- Clauses contractuelles avec les sous-traitants manquantes
Priorité 3 – Actions d’amélioration :
- Optimisation des mesures de sécurité
- Formation des équipes
- Mise en place d’analyses d’impact
- Documentation renforcée
Étape 4 : Gérer les risques
Pour chaque traitement, vérifiez que vous respectez les principes fondamentaux :
- Avez-vous une base légale claire ?
- Collectez-vous uniquement les données nécessaires ?
- Informez-vous correctement les personnes ?
- Les données sont-elles suffisamment sécurisées ?
- Respectez-vous les droits des personnes ?
- Les durées de conservation sont-elles définies et respectées ?
Étape 5 : Organiser les processus internes
Mettez en place des procédures opérationnelles :
- Processus de gestion des demandes d’exercice de droits
- Procédure de notification des violations de données
- Validation RGPD pour tout nouveau traitement
- Évaluation des sous-traitants
- Formation régulière des équipes
Étape 6 : Documenter la conformité
Conformément au principe d’accountability (responsabilité), comme vu plus haut, vous devez pouvoir démontrer votre conformité :
- Conservez les preuves de consentement
- Documentez vos procédures internes
- Tenez à jour votre registre des traitements
- Archivez les analyses d’impact
- Gardez trace des formations dispensées
- Conservez les contrats avec les sous-traitants
Cas particuliers et secteurs sensibles
Les données de santé
Les informations relatives à la santé bénéficient d’une protection renforcée :
- Interdiction de principe de leur traitement (sauf exceptions légales)
- Obligation de désigner un DPO
- Hébergement obligatoire chez un hébergeur de données de santé certifié (HDS)
- Application du Code de la santé publique en complément du RGPD
Les données RH et la surveillance des salariés
La gestion des ressources humaines implique de nombreux traitements sensibles :
- Recrutement (CV, entretiens, tests)
- Gestion administrative (contrats, congés, formation)
- Paie et avantages sociaux
- Évaluations et gestion de carrière
La surveillance des employés (vidéosurveillance, géolocalisation, contrôle de la messagerie) est autorisée sous conditions strictes :
- Reposer sur un intérêt légitime proportionné
- Être transparente (information préalable des salariés)
- Ne pas être permanente ou excessive
- Respecter la vie privée
Les transferts de données hors UE ?
Le transfert de données personnelles vers des pays situés hors de l’Union européenne est strictement encadré. Il nécessite :
Option 1 : Une décision d’adéquation de la Commission européenne
- Pays reconnus : Royaume-Uni, Suisse, Israël, Canada, Japon, Corée du Sud…
Option 2 : Des garanties appropriées
- Clauses contractuelles types (CCT) de la Commission européenne
- Règles d’entreprise contraignantes (BCR) pour les groupes internationaux
- Codes de conduite ou mécanismes de certification approuvés
Attention : les transferts vers les États-Unis nécessitent une vigilance particulière depuis l’invalidation du Privacy Shield. Le nouveau cadre Data Privacy Framework (DPF) est en vigueur depuis juillet 2023, mais fait l’objet de contestations.
Autres définitions marketing :