
Qui est concerné par le RGPD : le guide pour comprendre
Léna Cazenave
Diplômée d'un Master 2 en droit de la propriété intellectuelle de l'Université d'Aix-Marseille.
Suite à une création d’entreprise, le chef d’entreprise est soumis à de nombreuses obligations. Parmi elles, la mise en conformité est l’une des plus importantes, et pourtant, bien souvent négligée.
L’obligation de mise en conformité est récente, et découle du Règlement Général sur la Protection des Données, dit RGPD, dont les dispositions sont applicables en France depuis 2018. Legalstart fait le point avec vous.
Une mise en conformité au RGPD est une obligation incombant à toutes les entreprises de l’Union européenne. Ces entreprises doivent s’assurer que leur politique respecte bien les dispositions prévues par le RGPD.
Le RGPD, ou Règlement Général sur la Protection des Données, encadre le traitement des données personnelles au sein de l’Union européenne, et a été adopté en 2016. Les dispositions de ce règlement européen ont été transposées en droit français par la loi informatique et libertés, entrée en vigueur le 25 mai 2018.
Une donnée personnelle est définie par la CNIL comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette identification peut être faite directement (avec l’utilisation du nom de la personne par exemple), ou indirectement (avec l’utilisation de son numéro de téléphone par exemple).
Dès lors qu’une donnée personnelle est utilisée, il s’agit d’un traitement de donnée.
🛠️ En pratique : lorsqu’une entreprise effectue une mise en conformité, les cookies informatiques utilisés par cette dernière doivent respecter les obligations du RGPD.
☝️ Bon à savoir : un traitement de données n’est pas nécessairement numérique. L’utilisation d’un fichier papier comportant des informations sur une personne identifiée ou identifiable est également un traitement de donnée devant respecter les dispositions du RGPD.
Le règlement général sur la protection des données s’applique à tous les organismes établis sur le territoire de l’Union européenne ou dont l’activité cible directement des ressortissants des pays de l’Union européenne.
Le RGPD prévoit 6 grands principes devant être respectés pour qu’une entreprise se mette en conformité :
L’entreprise doit informer la personne concernée de manière transparente et ne pas utiliser ses données à son insu ou à des fins trompeuses.
Les données personnelles ne peuvent être utilisées que dans un but précis, explicite et légitime, annoncé dès leur collecte.
Seules les données strictement nécessaires au regard de la finalité poursuivie doivent être collectées et traitées.
L’entreprise doit veiller à ce que les données soient exactes et, si nécessaire, mises à jour régulièrement.
Les données doivent être supprimées ou anonymisées une fois leur objectif atteint ou dès qu’elles ne sont plus utiles.
L’entreprise est tenue de protéger les données personnelles contre tout accès non autorisé, perte, ou divulgation, en mettant en place des mesures de sécurité adaptées.
La mise en conformité d’une entreprise au RGPD passe par le respect de certaines obligations générales. L’une des obligations les plus importantes dans le traitement des données personnelles est la transparence. L’organisme qui collecte des données personnelles doit être le plus transparent possible avec les utilisateurs.
Pour ce faire, l’entreprise doit pouvoir donner des informations sur le traitement des données effectué. Ces informations doivent être claires, précises et accessibles pour permettre à tous les utilisateurs de donner sciemment leur consentement.
De plus, l’organisme doit préciser dans les conditions générales d’utilisation un certain nombre d’informations, notamment :
2 étapes sont nécessaires pour la mise en conformité au RGPD d'une entreprise :
Pour pouvoir se mettre en conformité, il faut tout d’abord analyser de quelle manière l’entreprise recense les données personnelles des utilisateurs.
Cette analyse peut prendre la forme d’une “cartographie”. Il s’agit d’une représentation visuelle permettant de faciliter la compréhension de l’analyse faite.
Une fois la cartographie des traitements des données réalisée, il faut établir un plan de mise en conformité au RGPD. Ce plan doit déterminer les actions à mener pour pouvoir se conformer aux dispositions prévues par le RGPD.
Lorsqu’une mise en conformité a été faite, il faut maintenir cette conformité au RGPD en organisant un processus interne permettant la vérification de la conformité au RGPD et l’appréhension les évènements futurs pouvant porter atteinte à la protection des données personnelles.
☝️ Bon à savoir : une attestation de mise en conformité peut être fournie par la CNIL à la demande d’un organisme. Cette attestation est délivrée après un contrôle effectué par la CNIL de la mise en conformité au RGPD .
Une entreprise qui ne se met pas en conformité s'expose à :
Le règlement général sur la protection des données (RGPD) prévoit que des sanctions peuvent être prononcées par une autorité de contrôle à l’encontre d’une entreprise en cas de non-conformité.
En France, l’autorité de contrôle de la conformité au RGPD est la CNIL (Commission Nationale de l'Informatique et des Libertés). La CNIL est compétente pour prononcer des sanctions administratives à l’encontre des organismes soumis au respect du RGPD.
Ces sanctions peuvent aller :
Il existe également des sanctions pénales pouvant être prononcées par le Tribunal judiciaire, découlant d’une absence de mise en conformité par un organisme :
⚠️ Attention : le respect des dispositions RGPD concerne votre entreprise mais également vos sous-traitants et/ou fournisseurs, à qui des données personnelles peuvent être transférées. Dans ce cas, il est nécessaire que ces derniers respectent les dispositions du RGPD. À cet égard, vous pouvez leur adresser un courrier de mise en conformité au RGPD.
La mise en conformité au RGPD est obligatoire pour tout organisme se trouvant dans l’Union européenne ou s’adressant à un marché d’un pays membre de l’Union européenne. Les associations sont donc également soumises au respect des dispositions prévues par le RGPD.
Le contrôle de la mise en conformité d’un organisme au RGPD est effectué par une autorité de contrôle désignée. En France, cette autorité de contrôle est la CNIL. Cette dernière est compétente pour sanctionner les manquements aux obligations prévues par le RGPD.
Oui, le but du RGPD est la protection des intérêts des utilisateurs. Ce règlement octroie donc le droit aux utilisateurs de demander à un organisme la suppression de ses données personnelles collectées. L’utilisateur a également le droit de demander l’accès à ses données, de s’opposer au traitement de ses données ou encore, exiger une rectification de ses données.
La mise en conformité au RGPD se fait en deux grandes étapes. D’abord, l’entreprise doit analyser tous les traitements de données personnelles qu’elle effectue : quelles données sont collectées, comment, par qui et dans quel but. Cette étape passe souvent par une cartographie des traitements, qui permet d’y voir plus clair.
Ensuite, il faut établir un plan d’action pour corriger ce qui n’est pas conforme : revoir les mentions légales, sécuriser les données, limiter les durées de conservation… Une fois conforme, l’entreprise doit rester vigilante en instaurant un suivi régulier pour garantir la protection des données dans le temps.
Principales sources législatives et réglementaires :
Note du document :
5,0 - 2 vote(s)
Léna Cazenave
Diplômée d'un Master 2 en droit de la propriété intellectuelle de l'Université d'Aix-Marseille.
Sous la direction de Pierre Aïdan, docteur en droit et diplômé de Harvard.Fiche mise à jour le
Vous avez des questions ?
Ces articles pourraient aussi vous intéresser :
Qui est concerné par le RGPD : le guide pour comprendre
RGPD et Association : le guide pour comprendre
Politique de confidentialité en 2025
RGPD : zoom sur les mentions d'information
Conformité au RGPD : quelles sont les nouvelles mentions légales ?
Conditions générales de vente : tout savoir pour être en conformité avec le RGPD
On a besoin de vous !
Si vous appréciez notre contenu, un avis sur Google nous aiderait énormément !