Skills Campus - Audit & ConsultingSkills Campus - Audit & ConsultingSkills Campus - Audit & Consulting

RGPD et Protection des Données : Le Guide Complet de Conformité pour les Entreprises

Sept ans après son entrée en vigueur, le RGPD (Règlement Général sur la Protection des Données) reste une priorité majeure pour les organisations européennes. Avec des amendes pouvant atteindre 4% du chiffre d’affaires mondial ou 20 millions d’euros, et une sensibilisation croissante des citoyens à leurs droits, la conformité RGPD n’est plus optionnelle.

Ce guide complet vous présente les exigences du RGPD, les étapes de mise en conformité et les meilleures pratiques pour protéger efficacement les données personnelles.

Introduction : Le RGPD, 7 Ans Après, Toujours une Priorité

Le RGPD est entré en application le 25 mai 2018, harmonisant les règles de protection des données dans l’Union Européenne.

Chiffres clés (2024-2025) :

  • Plus de 2 milliards d’euros d’amendes cumulées depuis 2018
  • Amazon : 746 millions € (record)
  • Meta (Facebook/Instagram) : plusieurs amendes de 200-400 millions €
  • Google : amendes cumulées > 500 millions €

Évolutions récentes :

  • Durcissement de l’application par les autorités nationales (CNIL en France)
  • Extension aux transferts internationaux de données (Privacy Shield invalidé, clauses contractuelles types renforcées)
  • Convergence avec d’autres réglementations (ePrivacy, IA Act, DMA/DSA)

Les 7 Principes Fondamentaux du RGPD

Le RGPD repose sur 7 principes clés que toute organisation doit respecter :

1. Licéité, Loyauté et Transparence

Les données doivent être traitées de manière licite, loyale et transparente. Vous devez :

  • Avoir une base légale pour chaque traitement
  • Informer clairement les personnes
  • Ne pas tromper ou manipuler

2. Limitation des Finalités

Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Vous ne pouvez pas les réutiliser pour d’autres usages incompatibles.

Exemple : Des données RH collectées pour la paie ne peuvent pas être utilisées pour du marketing sans consentement.

3. Minimisation des Données

Collectez uniquement les données adéquates, pertinentes et nécessaires.

À éviter : Formulaires demandant systématiquement date de naissance, situation familiale, etc. sans justification

4. Exactitude

Les données doivent être exactes et mises à jour. Vous devez permettre aux personnes de corriger leurs données.

5. Limitation de la Conservation

Les données ne peuvent être conservées que le temps nécessaire aux finalités. Définissez des durées de conservation et purges automatiques.

6. Intégrité et Confidentialité (Sécurité)

Mise en place de mesures techniques et organisationnelles appropriées pour protéger les données.

7. Responsabilité (Accountability)

Vous devez être en mesure de démontrer votre conformité (registres, politiques, audits, documentation).

Cartographie et Inventaire des Données Personnelles

La première étape vers la conformité est de savoir quelles données vous traitez.

Qu’est-ce qu’une donnée personnelle ?

Toute information permettant d’identifier directement ou indirectement une personne physique :

  • Identification directe : nom, prénom, email, téléphone, NIR
  • Identification indirecte : adresse IP, identifiant client, numéro de plaque, cookie

Attention : Les données pseudonymisées restent des données personnelles.

Créer votre cartographie

Méthodologie :

  1. Identifier les traitements : Lister toutes les activités impliquant des données personnelles (RH, CRM, marketing, comptabilité, vidéosurveillance, badges d’accès, etc.)

  2. Pour chaque traitement, documenter :

    • Finalité

    • Catégories de données collectées

    • Catégories de personnes concernées

    • Destinataires des données

    • Transferts hors UE éventuels

    • Durée de conservation

    • Mesures de sécurité

  3. Créer le Registre des Activités de Traitement
    Obligation pour toute organisation de plus de 250 employés (et pour toutes si traitements sensibles ou réguliers).

Outils :

  • Tableur structuré (template CNIL disponible)
  • Solutions logicielles (OneTrust, DataGalaxy, Witik, etc.)

Identifier les données sensibles

Certaines catégories nécessitent une protection renforcée :

  • Origine raciale ou ethnique
  • Opinions politiques, religieuses ou philosophiques
  • Appartenance syndicale
  • Données génétiques ou biométriques
  • Données de santé
  • Vie sexuelle ou orientation sexuelle
  • Données judiciaires

Ces données sont interdites sauf exceptions strictes (consentement explicite, obligation légale, intérêt vital, etc.)

Les Bases Légales du Traitement des Données

Tout traitement doit reposer sur l’une des 6 bases légales :

1. Consentement

La personne a donné son accord libre, spécifique, éclairé et univoque.

Exigences :

  • Acte positif clair (case pré-cochée = interdit)
  • Possibilité de retirer le consentement facilement
  • Preuve du consentement conservée

Usage typique : Newsletter, cookies non essentiels, prospection commerciale

2. Contrat

Le traitement est nécessaire à l’exécution d’un contrat.

Exemples : Traiter l’adresse de livraison pour expédier une commande, coordonnées bancaires pour un prélèvement

3. Obligation Légale

Un texte légal ou réglementaire impose le traitement.

Exemples : Conservation des données comptables, déclarations sociales et fiscales, vérification d’identité (KYC)

4. Sauvegarde des Intérêts Vitaux

Protection de la vie d’une personne.

Exemples : Données médicales d’urgence, alerte canicule

5. Mission d’Intérêt Public ou Autorité Publique

Pour les organismes publics dans l’exercice de leurs missions.

6. Intérêt Légitime

Vous avez un intérêt légitime à traiter les données, sous réserve que cet intérêt ne soit pas supplanté par les droits des personnes.

Exige un test de balance des intérêts documenté.

Exemples : Sécurité des systèmes d’information, lutte contre la fraude, vidéosurveillance des locaux

Droits des Personnes Concernées : Comment les Garantir

Le RGPD confère 8 droits aux individus que vous devez respecter :

1. Droit d’Information

Informer les personnes lors de la collecte de leurs données (mentions d’information, politique de confidentialité).

Informations obligatoires : identité du responsable, finalités, base légale, destinataires, durée de conservation, droits de la personne

2. Droit d’Accès

La personne peut obtenir copie de ses données et confirmation qu’elles sont (ou non) traitées.

Délai de réponse : 1 mois (renouvelable 2 mois si complexe)

3. Droit de Rectification

Correction des données inexactes ou incomplètes.

4. Droit à l’Effacement (« Droit à l’oubli »)

Suppression des données dans certains cas (consentement retiré, données non nécessaires, traitement illicite, etc.)

Exceptions : Obligations légales, archivage d’intérêt public, exercice de droits en justice

5. Droit à la Limitation du Traitement

« Gel » des données dans certaines situations (contestation de l’exactitude, traitement illicite mais personne s’oppose à l’effacement, etc.)

6. Droit à la Portabilité

Récupération des données dans un format structuré et machine-readable pour les transférer à un autre responsable.

Conditions : Uniquement si base légale = consentement ou contrat + traitement automatisé

7. Droit d’Opposition

S’opposer à un traitement basé sur l’intérêt légitime ou l’intérêt public.

Opposition absolue pour la prospection commerciale (y compris B2B en France)

8. Droit de ne Pas Faire l’Objet d’une Décision Automatisée

Protection contre les décisions basées uniquement sur un traitement automatisé (profilage, scoring) produisant des effets juridiques ou significatifs.

Mise en œuvre pratique :

  • Formulaire de contact dédié ou email RGPD
  • Processus interne de traitement des demandes
  • Vérification d’identité du demandeur
  • Réponse dans les délais
  • Traçabilité des demandes

Sécurité des Données : Contrôles d’Accès et Chiffrement

La sécurité est une obligation centrale du RGPD (article 32).

Mesures de Sécurité Techniques

Chiffrement

  • Chiffrement des données au repos (disques, bases de données)
  • Chiffrement des données en transit (TLS/SSL, VPN)
  • Chiffrement des sauvegardes
  • Gestion sécurisée des clés

Contrôles d’accès

  • Principe du moindre privilège
  • Authentification forte (MFA)
  • Gestion des comptes privilégiés
  • Revue régulière des droits
  • Traçabilité des accès (logs)

Protection contre les malwares

  • Antivirus / EDR à jour
  • Filtrage email et web
  • Sensibilisation au phishing

Sauvegardes

  • Sauvegardes régulières et testées
  • Règle 3-2-1 (3 copies, 2 supports, 1 hors site)
  • Protection contre les ransomwares (sauvegarde hors ligne)

Gestion des vulnérabilités

  • Patch management rigoureux
  • Scans de vulnérabilité réguliers
  • Tests d’intrusion périodiques

Mesures de Sécurité Organisationnelles

Politique de sécurité

  • Politiques formalisées et diffusées
  • Charte utilisateur signée

Sensibilisation et formation

  • Formation RGPD de tous les employés
  • Formation renforcée pour les équipes manipulant des données sensibles
  • Campagnes de sensibilisation régulières (phishing simulé)

Gestion des tiers

  • Clauses RGPD dans les contrats (DPA – Data Processing Agreement)
  • Audit de sécurité des sous-traitants critiques
  • Registre des sous-traitants

Gestion des incidents

  • Procédure de gestion des violations de données
  • Capacité de notification CNIL < 72h
  • Communication aux personnes concernées si risque élevé

Le Registre des Activités de Traitement : Exigence Clé

Le registre est le document central de votre conformité RGPD.

Contenu pour chaque traitement :

  1. Identification

    • Nom et coordonnées du responsable de traitement

    • Nom et coordonnées du DPO (si désigné)

  2. Finalités

    • Description claire des objectifs du traitement

  3. Base légale

    • Fondement juridique (consentement, contrat, etc.)

  4. Catégories de données

    • Types de données collectées

  5. Catégories de personnes

    • Qui est concerné (clients, prospects, employés, etc.)

  6. Destinataires

    • Qui accède aux données (internes et externes)

  7. Transferts hors UE

    • Pays de destination

    • Garanties appropriées (clauses contractuelles types, BCR, décision d’adéquation)

  8. Durées de conservation

    • Délais précis ou critères de détermination

  9. Mesures de sécurité

    • Description générale (chiffrement, contrôle d’accès, etc.)

Format : Tableur ou logiciel dédié. Template CNIL disponible.

Maintien : Le registre doit être tenu à jour en continu.