Le RGPD en entreprise

    Depuis le 25 mai 2018, toutes les entreprises qui collectent et traitent des données personnelles sont soumises au règlement général sur la protection des données (RGPD).

    Juliette BardinJuliette Bardin
    03/08/2025 3 min

    Depuis le 25 mai 2018, toutes les entreprises qui collectent et traitent des données personnelles sont soumises au règlement général sur la protection des données (RGPD).

    Ce texte européen vise à renforcer la protection des données des individus et responsabilise les entreprises dans la gestion de ces informations.

    Qu’est-ce que le RGPD ?

    Le RGPD (Règlement (UE) 2016/679) est le texte de référence en matière de protection des données personnelles dans l’Union européenne.

    Il encadre la manière dont les entreprises, administrations et associations doivent collecter, traiter, conserver et sécuriser les données des personnes physiques.

    Il s’applique à toute organisation, quelle que soit sa taille, dès lors qu’elle traite des données personnelles de citoyens européens, même si elle est basée en dehors de l'UE.

    Source : CNIL – Comprendre le RGPD

    Qu’est-ce qu’une donnée personnelle ?

    Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique.

    Exemples :

    Nom, prénom, adresse, e-mail, numéro de téléphone ;
    Données de géolocalisation, adresse IP, identifiant client ;
    Données bancaires, de santé ou biométriques.

    Si votre entreprise collecte des e-mails clients, gère une base de salariés ou utilise des cookies sur son site internet, vous êtes alors concerné.

    Les grands principes du RGPD

    Le RGPD repose sur 7 principes fondamentaux que toute entreprise doit respecter :

    1/ Licéité, loyauté et transparence : Informer clairement la personne concernée.

    2/ Limitation des finalités : Collecter les données pour un objectif précis.

    3/ Minimisation des données : Ne collecter que ce qui est nécessaire.

    4/ Exactitude : Tenir les données à jour.

    5/ Limitation de la conservation : Ne pas garder les données plus longtemps que nécessaire.

    6/ Intégrité et confidentialité : Sécuriser les données contre tout accès non autorisé.

    7/ Responsabilité (accountability) : Pouvoir démontrer à tout moment sa conformité.

    Quelles obligations pour les entreprises ?

    Désigner un référent (DPO ou responsable interne)

    Non obligatoire pour toutes les entreprises, mais recommandé, surtout si l'entreprise traite des données sensibles ou en volume important.

    Tenir un registre des traitements

    Il faut lister tous les traitements de données effectués dans l'entreprise : à quelles fins, sur quelles bases, avec quelles données et pendant combien de temps.

    Informer les personnes concernées

    Par exemple, via une politique de confidentialité sur le site internet, un bandeau cookies, ou des clauses dans les contrats ou formulaires.

    Encadrer les sous-traitants

    Si l'entreprise fait appel à un prestataire (ex : logiciel de paie, hébergeur, plateforme d'e-mailing), il doit lui aussi être conforme au RGPD, et un contrat de sous-traitance doit être mis en place.

    Sécuriser les données

    Mise en place de mots de passe forts, antivirus, sauvegardes, limitation des accès… Toute entreprise, même une TPE, doit protéger les données qu’elle stocke.

    Quels sont les droits des personnes concernées ?

    Les personnes dont l'entreprise traite les données (clients, salariés, prospects…) disposent de droits qui doivent être respectés :

    Droit d’accès ;
    Droit de rectification ;
    Droit à l’effacement (ou « droit à l’oubli ») ;
    Droit à la limitation du traitement ;
    Droit à la portabilité ;
    Droit d’opposition ;
    Droit d’introduire une réclamation auprès de la CNIL.

    L'entreprise doit être en mesure de répondre dans un délai d’un mois à toute demande liée à ces droits.

    Que risque une entreprise non conforme ?

    Les sanctions peuvent être lourdes :

    Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, en cas de manquement grave ;
    Mises en demeure publiques ;
    Atteinte à la réputation en cas de plainte ou de fuite de données.

    Dans les faits, la CNIL privilégie souvent l’accompagnement et la pédagogie pour les petites structures, mais il est indispensable d’être en mesure de prouver sa conformité.

    Quelles sont les bonnes pratiques à mettre en place ?

    Rédiger une politique de confidentialité claire et accessible ;
    Afficher un bandeau cookies conforme si votre site utilise des traceurs ;
    Établir un registre des traitements, même simplifié ;
    Limiter l’accès aux données à ceux qui en ont strictement besoin ;
    Sensibiliser votre équipe au traitement des données (salariés, sous-traitants) ;
    Signer des clauses RGPD avec vos prestataires (comptabilité, cloud, marketing, etc.).

    Chez JLB Expert, nous accompagnons les TPE/PME dans la mise en conformité avec le RGPD : audit de vos pratiques, mise en place des documents obligatoires, sensibilisation, rédaction de votre politique de confidentialité.

    Juliette Bardin

    À propos de l'auteur

    Juliette Bardin

    Expert-comptable diplômée depuis 2023, avec 15 ans d'expérience en cabinet comptable. Au travers de mon cabinet JLB Expert, je vous propose un accompagnement personnalisé pour vous aider à piloter votre entreprise avec sérénité et efficacité.

    Prendre rendez-vous