Lexique · juridique
RGPD
Aussi appelé : Règlement général sur la protection des données, GDPR, Règlement (UE) 2016/679, RGPD UE.
Le RGPD (Règlement général sur la protection des données) est le texte européen, applicable depuis mai 2018, qui encadre la collecte et le traitement des données personnelles. Il s'impose à toute organisation traitant des données de résidents de l'UE, sous peine de sanctions de la CNIL.
Le RGPD est le cadre juridique européen qui régit le traitement des données personnelles, c'est-à-dire toute information se rapportant à une personne identifiée ou identifiable : nom, adresse électronique, adresse IP, numéro client, géolocalisation, etc. Entré en application le 25 mai 2018, il harmonise les règles dans toute l'Union européenne et repose sur quelques principes simples : ne collecter que ce qui est nécessaire (minimisation), pour une finalité précise et annoncée, en s'appuyant sur une base légale valable (consentement, contrat, obligation légale, intérêt légitime).
Concrètement, il impose plusieurs obligations à toute structure qui traite des données. Vous devez tenir un registre des traitements décrivant ce que vous collectez, pourquoi et combien de temps vous le conservez ; recueillir un consentement libre et explicite quand c'est la base retenue (cases non précochées, possibilité de retrait à tout moment) ; et garantir les droits des personnes : accès, rectification, effacement, portabilité et opposition. Selon la nature et le volume des traitements, la désignation d'un DPO (délégué à la protection des données) peut être obligatoire ou simplement recommandée comme point de contact interne.
Les pièges les plus fréquents tiennent moins au texte qu'à sa mise en œuvre : un formulaire de contact qui collecte des champs inutiles, des données conservées « au cas où » sans durée définie, un prestataire (hébergeur, outil d'envoi d'e-mails, mesure d'audience) non couvert par un contrat de sous-traitance conforme, ou un transfert de données hors UE non encadré. En cas de manquement, la CNIL peut prononcer une mise en demeure puis des sanctions financières pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu — un risque réel, même pour une PME.
Pour une TPE/PME, l'idée reçue selon laquelle « le RGPD, c'est pour les grands groupes » est fausse : la taille de l'entreprise n'exonère de rien, c'est l'activité de traitement qui compte. Par où commencer ? Recensez les données que vous détenez (clients, prospects, salariés, candidats), supprimez ce qui est inutile, formalisez un registre simple, vérifiez la conformité de vos outils et de vos fournisseurs, et publiez une politique de confidentialité claire. La CNIL met d'ailleurs à disposition des modèles gratuits adaptés aux petites structures : la conformité est avant tout une démarche d'hygiène et de bon sens, pas un chantier réservé aux services juridiques.
Pour aller plus loin
Protection des données personnelles : par où commencer ?
Découvrez les principes clés et les bonnes pratiques en matière de protection des données personnelles.
Questions fréquentes
Le RGPD s'applique-t-il aux petites entreprises ?
Oui, sans exception de taille. Dès que vous traitez des données personnelles de résidents européens (clients, prospects, salariés), le RGPD s'applique, que vous soyez auto-entrepreneur ou multinationale. Certaines obligations sont allégées pour les petites structures, mais aucune n'en est totalement dispensée.
Quelle est la différence entre le RGPD et la CNIL ?
Le RGPD est le règlement européen qui fixe les règles. La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité française chargée de les faire appliquer : elle informe, contrôle, accompagne et sanctionne. Le RGPD est le texte, la CNIL est le gendarme en France.
Suis-je obligé de nommer un DPO ?
Pas systématiquement. La désignation d'un délégué à la protection des données est obligatoire pour les organismes publics et pour les entreprises dont l'activité de base implique un suivi à grande échelle ou le traitement de données sensibles. La plupart des TPE/PME n'y sont pas tenues, mais désigner un référent interne reste une bonne pratique.
Quelles sont les sanctions en cas de non-conformité ?
La CNIL peut adresser un avertissement, une mise en demeure, puis prononcer des amendes. Le plafond atteint 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. En pratique, pour une PME, les contrôles débouchent souvent d'abord sur une mise en demeure de corriger.
Par où commencer pour se mettre en conformité ?
Commencez par cartographier les données que vous détenez et leurs finalités, puis tenez un registre des traitements. Supprimez les données inutiles, fixez des durées de conservation, vérifiez vos contrats avec vos prestataires et publiez une politique de confidentialité claire. La CNIL propose des modèles gratuits adaptés aux petites structures.