RGPD en pratique

---

Ce que dit le RGPD

Les principes fondamentaux

Le RGPD repose sur six principes que toute organisation traitant des données personnelles doit respecter :

La licéité, la loyauté et la transparence : les données doivent être collectées et traitées de façon légale, honnête et transparente vis-à-vis des personnes concernées.

La limitation des finalités : les données collectées pour un objectif précis ne peuvent pas être utilisées pour un autre objectif incompatible.

La minimisation des données : seules les données strictement nécessaires à la finalité déclarée peuvent être collectées. Pas de collecte "au cas où".

L'exactitude : les données doivent être tenues à jour et les inexactitudes corrigées.

La limitation de conservation : les données ne peuvent pas être conservées indéfiniment. Une durée de conservation adaptée à la finalité doit être définie.

L'intégrité et la confidentialité : les données doivent être protégées contre les accès non autorisés, les pertes et les destructions.

Qui est concerné ?

Toute organisation — quelle que soit sa taille, son secteur ou sa nationalité — qui collecte ou traite des données personnelles de personnes se trouvant dans l'Union Européenne est soumise au RGPD. Une "donnée personnelle" est toute information permettant d'identifier directement ou indirectement une personne physique : nom, prénom, email, adresse IP, numéro de téléphone, photo, données de localisation, habitudes de navigation, etc.

En pratique, cela concerne quasiment toutes les entreprises : une simple liste de prospects avec leurs emails, une base clients, un site web avec cookies analytiques — tout cela entre dans le champ du RGPD.

---

Les bases légales du traitement

Avant de collecter ou de traiter des données, vous devez identifier la base légale qui justifie ce traitement. Il en existe six, dont trois sont les plus couramment utilisées par les entreprises :

Le consentement : la personne a donné son accord explicite, libre, éclairé et spécifique. C'est la base utilisée pour les newsletters, les cookies non essentiels, les communications marketing. Le consentement doit être aussi simple à retirer qu'à donner.

L'exécution d'un contrat : le traitement est nécessaire à l'exécution d'un contrat auquel la personne est partie. C'est la base utilisée pour traiter les données d'un client dans le cadre de sa commande (adresse de livraison, coordonnées bancaires).

L'intérêt légitime : le traitement est nécessaire aux intérêts légitimes du responsable de traitement ou d'un tiers, sauf si les intérêts de la personne concernée prévalent. C'est la base utilisée pour la prospection B2B, la prévention de la fraude, la sécurité informatique. Elle nécessite une analyse de proportionnalité.

---

Les obligations pratiques

1. Le registre des traitements

Le registre des activités de traitement est le document central de la conformité RGPD. Obligatoire pour toutes les organisations de plus de 250 salariés, et fortement recommandé pour les plus petites, il recense l'ensemble des traitements de données personnelles réalisés par l'entreprise.

Pour chaque traitement, le registre documente :

• La finalité du traitement (pourquoi ?)
• Les catégories de données traitées (quelles données ?)
• Les catégories de personnes concernées (qui ?)
• Les destinataires des données (à qui sont-elles transmises ?)
• Les durées de conservation
• Les mesures de sécurité mises en place
• Les transferts hors UE éventuels

Exemples de traitements à documenter dans une PME :

• Gestion de la clientèle (CRM)
• Gestion des ressources humaines (paie, dossiers salariés)
• Prospection commerciale (base prospects, emailing)
• Comptabilité et facturation
• Vidéosurveillance des locaux
• Site web et cookies

La CNIL propose un modèle de registre téléchargeable gratuitement sur cnil.fr.

2. L'information des personnes

Toute personne dont vous collectez des données doit être informée, au moment de la collecte, de :

• L'identité et les coordonnées du responsable de traitement
• La finalité et la base légale du traitement
• Les destinataires éventuels des données
• La durée de conservation
• Ses droits (accès, rectification, suppression, opposition, portabilité, limitation)
• Le droit d'introduire une réclamation auprès de la CNIL

Cette information se matérialise par :

• Une politique de confidentialité sur le site web
• Des mentions d'information sur les formulaires de collecte (papier ou numérique)
• Une notice d'information remise aux salariés et aux candidats à l'embauche

3. La gestion des cookies

Les cookies sont l'une des obligations RGPD les plus visibles pour les visiteurs d'un site. La règle est simple : seuls les cookies strictement nécessaires au fonctionnement du site peuvent être déposés sans consentement préalable. Tous les autres (analytics, publicité, réseaux sociaux, chatbots) nécessitent un consentement explicite avant dépôt.

Les obligations du bandeau cookies :

• Proposer un choix clair : "Accepter" et "Refuser" (ou équivalent) avec la même accessibilité visuelle
• Ne pas utiliser de dark patterns (bouton "Refuser" caché, case pré-cochée, bouton "Accepter tout" en vert et bouton "Refuser" en gris discret)
• Permettre de modifier ses préférences à tout moment

Les solutions de Consent Management Platform (CMP) comme Axeptio, Didomi, OneTrust ou Cookiebot permettent d'implémenter un bandeau conforme aux recommandations de la CNIL.

4. Les droits des personnes

Le RGPD confère aux personnes des droits qu'elles peuvent exercer à tout moment. Votre entreprise doit être capable de traiter ces demandes dans un délai d'un mois :

Droit d'accès : la personne peut demander à connaître les données que vous détenez sur elle et les conditions de leur traitement.

Droit de rectification : correction des données inexactes ou incomplètes.

Droit à l'effacement ("droit à l'oubli") : suppression des données dans certains cas (données devenues inutiles, retrait du consentement, traitement illicite).

Droit à la limitation du traitement : gel temporaire du traitement dans certaines circonstances.

Droit à la portabilité : transmission des données dans un format structuré à la personne ou à un autre responsable de traitement.

Droit d'opposition : opposition au traitement pour des raisons tenant à la situation particulière de la personne (notamment pour les traitements fondés sur l'intérêt légitime).

Mettez en place une procédure interne pour traiter ces demandes et désignez un interlocuteur clairement identifié.

5. La sécurité des données

Le RGPD impose de mettre en œuvre des "mesures techniques et organisationnelles appropriées" pour protéger les données. Ces mesures doivent être proportionnées aux risques.

Mesures techniques de base :

• Mots de passe robustes (12 caractères minimum, combinaison de lettres, chiffres et caractères spéciaux) et authentification à double facteur (2FA)
• Chiffrement des données sensibles au repos et en transit (HTTPS, chiffrement des disques)
• Sauvegardes régulières et tests de restauration
• Mise à jour régulière des systèmes et des logiciels
• Gestion des accès : chaque collaborateur n'accède qu'aux données nécessaires à ses missions

Mesures organisationnelles :

• Sensibilisation de l'ensemble des collaborateurs à la sécurité des données
• Politique de mot de passe et de gestion des accès documentée
• Procédure de gestion des incidents et des violations de données

6. La notification des violations de données

En cas de violation de données (accès non autorisé, fuite, destruction accidentelle), l'entreprise doit :

• Notifier la CNIL dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes
• Informer les personnes concernées si le risque est élevé (par exemple, en cas de fuite de données sensibles pouvant entraîner une usurpation d'identité)

Un registre des violations de données doit documenter tous les incidents, même ceux pour lesquels la notification n'est pas obligatoire.

---

Le Délégué à la Protection des Données (DPO)

La désignation d'un DPO est obligatoire pour :

• Les organismes publics
• Les entreprises dont l'activité principale implique un suivi à grande échelle de personnes
• Les entreprises traitant à grande échelle des données sensibles (santé, opinions politiques, biométrie, etc.)

Pour les PME classiques, la désignation d'un DPO est facultative mais recommandée. Le DPO peut être interne (un salarié dédié ou une fonction partagée) ou externe (prestataire spécialisé). Des cabinets juridiques et consultants en protection des données proposent des missions de DPO externalisé à des coûts accessibles pour les PME.

---

La mise en conformité par étapes

Pour une PME partant de zéro, voici une séquence pragmatique sur 3 à 6 mois :

Mois 1 : Cartographie des traitements et création du registre. Identifier tous les processus qui impliquent des données personnelles (clients, RH, prospects, prestataires).

Mois 2 : Mise à jour des documents d'information (politique de confidentialité, mentions légales du site, formulaires de collecte). Mise en conformité du bandeau cookies.

Mois 3 : Formalisation des procédures internes (gestion des droits des personnes, gestion des violations de données). Sensibilisation des collaborateurs.

Mois 4-6 : Audit des sous-traitants et fournisseurs traitant des données pour votre compte (vérification des contrats, signature d'annexes de traitement de données si nécessaire). Mise en place des mesures de sécurité manquantes.

---

Pour approfondir les aspects légaux de votre activité en ligne, consultez notre page sur la stratégie marketing et notre guide SEO qui abordent également les obligations relatives aux cookies et à la collecte de données.