Disputeo.
Faire le diagnostic
Disputeo.
Faire le diagnostic

RGPD : vos obligations quand vous traitez des données

10 min de lecture Mis à jour le June 13, 2026

Dès qu'une organisation traite des données personnelles — fichier clients, prospects, salariés, simple liste d'adresses e-mail — elle doit respecter le Règlement général sur la protection des données (RGPD, règlement UE 2016/679) et la loi française « Informatique et libertés ». Ces textes imposent des principes, des droits pour les personnes concernées et des obligations documentaires, sous le contrôle de la CNIL. Le non-respect expose à des sanctions importantes. Cette fiche présente les obligations essentielles pour une entreprise.

L'essentiel

  • Le RGPD s'applique à tout traitement de données personnelles, quel que soit le support.
  • Tout traitement doit reposer sur une base légale et respecter les principes de finalité, minimisation et durée limitée.
  • Les personnes disposent de droits : accès, rectification, effacement, portabilité, opposition.
  • L'organisation doit tenir un registre des traitements, sécuriser les données et, le cas échéant, réaliser une AIPD.
  • Une violation grave de données doit être notifiée à la CNIL sous 72 heures ; les sanctions peuvent atteindre 20 M€ ou 4 % du CA mondial.

Champ d'application

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable : nom, e-mail, numéro de téléphone, adresse IP, identifiant client, etc. Un traitement désigne toute opération portant sur ces données (collecte, enregistrement, conservation, consultation, transmission, suppression…). Le RGPD s'applique aux organisations établies dans l'UE, mais aussi à celles, hors UE, qui ciblent des personnes situées dans l'Union. Aucune dimension minimale n'est requise : une TPE comme une multinationale y sont soumises.

Les grands principes

Tout traitement doit respecter plusieurs principes posés par l'article 5 du RGPD :

  • Licéité, loyauté, transparence : le traitement repose sur une base légale et les personnes sont informées.
  • Finalité déterminée : les données sont collectées pour un objectif précis, explicite et légitime, et pas réutilisées de façon incompatible.
  • Minimisation : seules les données strictement nécessaires à la finalité sont collectées.
  • Exactitude : les données doivent être tenues à jour.
  • Durée de conservation limitée : les données ne sont pas conservées indéfiniment, mais le temps nécessaire à la finalité (puis archivées ou supprimées).
  • Intégrité et confidentialité : les données sont sécurisées.

Les bases légales

Aucun traitement n'est licite sans base légale (article 6 du RGPD). Les principales sont :

Base légaleExemple d'usage
ConsentementInscription à une newsletter, dépôt de cookies non essentiels
Exécution d'un contratGestion d'une commande, livraison, facturation
Obligation légaleConservation des factures, déclarations sociales
Intérêt légitimeProspection auprès de clients existants, sécurité des systèmes
Mission d'intérêt public / sauvegarde d'intérêts vitauxCas spécifiques (secteur public, urgence)

Lorsque le traitement repose sur le consentement, celui-ci doit être libre, spécifique, éclairé et univoque, et pouvoir être retiré à tout moment aussi facilement qu'il a été donné.

Information des personnes et droits

Au moment de la collecte, les personnes doivent recevoir une information claire : identité du responsable de traitement, finalités, base légale, durée de conservation, destinataires, et leurs droits. Le RGPD reconnaît aux personnes plusieurs droits qu'elles peuvent exercer auprès de l'organisation :

  • Droit d'accès : savoir quelles données sont traitées et en obtenir une copie.
  • Droit de rectification : corriger des données inexactes.
  • Droit à l'effacement (« droit à l'oubli ») : faire supprimer ses données dans certains cas.
  • Droit à la portabilité : récupérer ses données dans un format réutilisable.
  • Droit d'opposition : s'opposer à un traitement (notamment à la prospection commerciale).
  • Droit à la limitation du traitement.

L'organisation doit répondre, en principe dans un délai d'un mois. À défaut, la personne peut saisir la CNIL.

Le registre des traitements

Sauf exceptions très limitées, toute organisation doit tenir un registre des activités de traitement (article 30 du RGPD). Ce document recense, pour chaque traitement, sa finalité, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité. C'est la pièce maîtresse de la conformité et le premier document demandé en cas de contrôle de la CNIL.

Sécurité et analyse d'impact (AIPD)

Le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles adaptées au risque : contrôle des accès, chiffrement, sauvegardes, sensibilisation du personnel, etc. Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (par exemple un profilage à grande échelle ou le traitement de données sensibles), il faut réaliser en amont une analyse d'impact relative à la protection des données (AIPD), conformément à l'article 35 du RGPD.

La notification des violations de données

Une violation de données est tout incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Lorsqu'elle présente un risque pour les personnes, le responsable de traitement doit la notifier à la CNIL dans les 72 heures après en avoir pris connaissance (article 33). Si le risque est élevé, les personnes concernées doivent également être informées (article 34). Toutes les violations doivent par ailleurs être consignées dans un registre interne.

Le DPO (délégué à la protection des données)

La désignation d'un délégué à la protection des données (DPO) est obligatoire dans certains cas (organismes publics, suivi régulier et à grande échelle des personnes, traitement à grande échelle de données sensibles). Dans les autres cas, elle reste fortement recommandée. Le DPO conseille, contrôle la conformité et constitue le point de contact de la CNIL.

Les sanctions

En cas de manquement, la CNIL peut prononcer des mesures correctrices (mise en demeure, rappel à l'ordre, injonction) et des amendes administratives. Pour les manquements les plus graves, le plafond atteint 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. D'autres manquements (par exemple à l'obligation de notification) sont plafonnés à 10 M€ ou 2 % du CA. S'ajoutent les risques d'atteinte à la réputation et les actions des personnes concernées.

FAQ

Une TPE est-elle vraiment concernée par le RGPD ?
Oui. Le RGPD s'applique quelle que soit la taille de l'organisation dès lors qu'elle traite des données personnelles. Les obligations sont toutefois proportionnées au risque réel des traitements.

Faut-il déclarer ses fichiers à la CNIL ?
Non : le RGPD a supprimé les déclarations préalables. La logique est désormais celle de la responsabilisation (accountability) : vous documentez votre conformité (registre, AIPD) et devez pouvoir la démontrer en cas de contrôle.

Où trouver des outils pour se mettre en conformité ?
La CNIL met à disposition des modèles de registre, des guides sectoriels et un logiciel d'AIPD sur cnil.fr. C'est la source officielle de référence en France.

Documents utiles

Information générale à jour à la date de mise à jour indiquée. Elle ne constitue pas un conseil juridique ou comptable individualisé et ne remplace pas l'accompagnement d'un professionnel.

Pour aller plus loin

Modèles de lettres à télécharger

Modèle Demande de droit d'accès aux données personnelles (RGPD) Modèle Demande d'effacement des données personnelles (droit à l'oubli) Modèle Notification de changement de propriétaire

Guides

Guide RGPD : récupérer ou faire effacer ses données Guide Expertise bâtiment : quand et comment la déclencher