RGPD : tout savoir sur la protection des données et comment se mettre en conformité

Qu'est-ce que le Règlement général sur la protection des données (RGPD) ? 

Le Règlement général sur la protection des données ( "RGPD") est un règlement adopté par l'Union européenne (UE) applicable depuis le 25 mai 2018 en France (1). Ce texte organise et harmonise les règles de traitement des données personnelles (collectées et traitées en entreprise, sur les sites internet, applications mobiles, dans le cadre de programmes de fidélités, la prospection, etc.), en vue de mieux les protéger.

🔍 Bon à savoir : le RGPD est fondé sur le principe de responsabilisation ("accountability") : concrètement, il prévoit que les entreprises doivent mettre en oeuvre des mécanismes et procédures internes afin de démontrer leur respect du RGPD.

Qui doit se mettre en conformité avec le RGPD ? Qui est concerné ?

Le RGPD s’applique à toutes les entreprises (et organismes) qui traitent des données personnelles dès lors (2) : 

• qu'elles sont établies sur le territoire de l’Union européenne ;
• ou qu'elles sont établies dans des pays tiers à l'UE mais proposent des biens et des services à des résidents européens.

⚠ Attention ! Si vous êtes dans l'un de ces 2 cas, vous ne pouvez pas déroger aux dispositions du RGPD, sous peine de sanctions.

Quelles données personnelles sont protégées par le RGPD ? 

Que signifie l'expression "données personnelles" ? Exemples

Une donnée personnelle est définie par le RGPD comme "toute information se rapportant à une personne physique identifiée ou identifiable" (2), comme les nom, prénom, adresse postale, adresse mail, numéro de téléphone, numéro de carte d'identité, numéro de Sécurité sociale, données de localisation GPS, etc.

Les données personnelles peuvent permettre d'identifier une personne physique de manière directe (son nom, par exemple), ou indirecte (numéro de téléphone, par exemple).

Quelles sont les données personnelles identifiées comme "sensibles" par le RGPD ?

Le RGPD interdit le traitement de toute une catégorie de données personnelles considérées comme “sensibles” (4), à savoir :

• l'origine raciale ou ethnique ;
• les opinions politiques ;
• les convictions religieuses ou philosophiques ;
• l'appartenance syndicale ;
• le traitement des données génétiques ;
• les données biométriques destinées à vous identifier de manière unique en tant que personne physique ;
• la santé ;
• la vie sexuelle ou l'orientation sexuelle d'une personne.

⚠ Attention : il reste possible de traiter ces données dans certains cas dérogatoires, notamment si leur utilisation est justifiée par l'intérêt public et autorisée par la CNIL, ou si la personne concernée a donné son consentement exprès pour cela.

Qu'entend-on par "traitement de données personnelles" ?

Traitement des données personnelles : définition

On parle de "traitement" d’une donnée personnelle pour désigner toute action qui s’y rapporte : collecte d'une donnée, enregistrement de celle-ci, conservation, modification, transmission, diffusion etc.

🔍 Bon à savoir : le traitement d'une donnée personnelle n’est pas nécessairement informatisé (on parle aussi de "traitement" pour désigner, par exemple, la collecte de données personnelles par voie de formulaire papier). 

Focus sur la notion de "finalité de traitement"

Tout traitement des données, quel qu'il soit, doit poursuivre une "finalité" (= un objectif) spécifique et déterminée. 

Le principe de finalité est la pierre angulaire du RGPD : c’est le “pourquoi” du traitement, ce à quoi il va servir. Il faut déterminer l’objectif que vise le traitement (ex : gestion de prospects, recrutement, gestion du personnel, etc.). 

Cet objectif doit être légitime, clair et compréhensible et conditionne la durée de conservation des données.

Dans quel cas un traitement de données personnelles est-il autorisé (licite) ?

Selon le RGPD, un traitement de données personnelles n'est considéré comme licite que si au moins l'une des conditions suivantes est remplie (5) : 

• la personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques ;
• le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
• le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable de traitement est soumis ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d'une autre personne physique ;
• le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées.

🔍 Bon à savoir : on parle de "responsable du traitement" pour désigner la personne (physique, morale, autorité, etc.) qui définit les objectifs et les moyens du traitement des données personnelles. Si vous êtes employeur, vous êtes considéré comme le responsable du traitement des données personnelles de vos salariés qui intervient dans le cadre de l'exécution de leur contrat de travail.

Quels sont les 4 principes qui régissent le traitement de données personnelles, selon la CNIL ? 

Principes de minimisation et de finalité	Collecte des seules données nécessaires pour atteindre le but (la finalité) déterminé et légitime*. Limitation  des possibilités d'utilisation ou de réutilisation des données dans le futur.
Principe de transparence et de loyauté	Information de la personne concernée du traitement de ses données, et de ses droits en la matière. Organisation des modalités permettant à celle-ci d'exercer son droit de consultation, d'accès, de rectification ou de suppression des données.
Principe de conservation limitée	Conservation des données personnelles pour le seul temps nécessaire à l'atteinte de l'objectif fixé.
Principe de sécurité	Sécurisation du traitement de données via la mise en place de mesures techniques ou organisationnelles adéquates (chiffrement des données, amélioration de la résilience des systèmes informatiques, mise à jour régulière des appareils informatiques, habilitation stricte des personnes autorisées à avoir accès aux données, etc).

* 🗒Actualité CNIL : dans le cadre d'une procédure de recrutement, une société demandait notamment aux candidats à l'embauche de préciser leur lieu de naissance, leur nationalité, leur situation de famille (situation de couple, profession du conjoint, le nombre d'enfants ainsi que leur âge) ainsi que l'ensemble des salaires perçus dans les entreprises précédentes (6). 
Après avoir indiqué que certaines informations demandées aux candidats étaient interdites puisque relatives à leur vie privée, la CNIL a rappelé à la société le principe de minimisation, selon lequel les informations demandées doivent être limitées au travers du seul prisme de recrutement de la personne physique. Après une mise en demeure, la société s'est conformée à ce principe.

Traçabilité des données traitées : qu'est-ce que le registre des activités de traitement des données ? 

Le RGPD oblige chaque responsable de traitement (parmi lesquels figurent les entreprises) à tenir un registre des activités de traitement effectuées sous sa responsabilité, qui constitue une véritable cartographie des informations traitées par votre entreprise (7).

Il centralise l’ensemble des fichiers liés aux traitements des données personnelles, et doit contenir un certain nombre de mentions obligatoires. Pour en avoir le détail, téléchargez notre dossier spécial !

Êtes-vous obligé de désigner un Délégué à la Protection des Données (DPD ou DPO) ?

Non.

Pour garantir la conformité de votre entreprise au RGPD, il peut être nécessaire de désigner un responsable chargé de superviser le traitement des données personnelles. Ce rôle peut être assuré par un délégué à la protection des données (DPD), également appelé "data protection officer (DPO)".

Dans certains cas néanmoins, la désignation d'un DPD est obligatoire, notamment lorsque les données, de par leur sensibilité, nécessitent un suivi régulier (8). Pour en savoir plus, téléchargez notre dossier spécial !

🔍 Bon à savoir :  Le DPD (ou DPO) a pour mission :

• d’informer et de conseiller le responsable de traitement ;
• de contrôler l’application du RGPD au sein de l'entreprise ;
• de servir d’intermédiaire entre l’entreprise et la CNIL ;
• d’être le point de contact des personnes concernées (clients, fournisseurs, salariés, etc.) ;
• d’intervenir dans les décisions liées aux traitements de données ;
• d’être alerté en cas de fuite de données et d’assurer le signalement ;
• de vérifier les analyses d’impact.

Quels sont les droits des personnes physiques dont les données personnelles sont collectées ?

Le RGPD consacre de nombreux droits aux personnes dont les données personnelles sont collectées, parmi lesquels celui (9) : 

• d’être informé de la collecte de leurs données et des finalités du traitement (droit à l'information) ; 
• d'obtenir gratuitement une copie des données la concernant (droit d'accès) ;
• de faire rectifier les données qui se révéleraient inexactes ou de les compléter (droit de rectification) ;
• de faire effacer des données, sous conditions, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son consentement ("droit à l'oubli" ou "droit à l'effacement") ;
• de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données, sauf motif légitime du responsable du traitement (droit d'opposition).

🔍 Pour en savoir sur votre obligation d'information de vos salariés en matière de RGPD, retrouvez notre actualité spéciale : RGPD : focus sur l'obligation d'information des salariés par l'employeur

Quel est le rôle de la CNIL dans le respect du RGPD en France ? Quelles sanctions en cas de manquements ?

La CNIL est l'autorité compétente pour s'assurer du respect du RGPD en France (10). Elle a pour mission de réguler les traitements de données personnelles effectués : 

• en accompagnant les professionnels dans leur mise en conformité au RGPD ;
• en informant les particuliers sur leurs droits.

Dans le cadre de sa mission, la CNIL procède à des contrôles et a un pouvoir de sanction en cas de violation de données personnelles.

Dans le cadre de son activité répressive, la CNIL dispose de 2 procédures de sanction : 

• la procédure ordinaire, avec des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL peut aussi infliger des rappels à l’ordre, des amendes administratives ainsi que limiter ou suspendre des traitements ou des flux de données ;
• la procédure simplifiée, avec des sanctions moins importantes telles qu'un rappel à l’ordre, une mise en conformité sous astreinte ou encore une amende administrative d’un montant maximal de 20.000 euros.

En 2024, selon les dernières données publiées, la CNIL a prononcé 87 sanctions (à hauteur de 55 millions d'euros), 180 mises en demeure et 64 rappels aux obligations légales (11) !

L'accompagnement pour une mise en conformité au RGPD : audit, formation, agences spécialisées

Si vous avez besoin d’un accompagnement personnalisé pour assurer la mise en conformité de votre entreprise au RGPD, plusieurs acteurs peuvent vous aider.

Des agences spécialisées, certains cabinets d'expertise-comptable ou des avocats proposent des services adaptés à vos besoins, comme des formations pour sensibiliser vos équipes aux bonnes pratiques en matière de protection des données. Ils peuvent également réaliser des audits afin d’identifier d’éventuelles non-conformités et de vous fournir des recommandations concrètes pour y remédier.

Ces experts peuvent vous enfin aider à rédiger les documents obligatoires (registre des traitements, politiques de confidentialité, contrats avec les sous-traitants, charte informatique) et vous proposer un suivi régulier pour assurer votre conformité et anticiper les évolutions réglementaires.

RGPD, IA, Cybersécurité : Visionnez notre webconférence sur comment protéger votre entreprise et réagir face aux attaques ?