Menu

Comment appliquer la RGPD dans l’entreprise

Avril 2018

Le règlement général sur la protection des données, ou RGPD, entre en vigueur le 25 mai 2018. Il implique certains changements majeurs pour l’entreprise sur le traitement et l’utilisation des données des particuliers.
Comment cette règlementation doit-elle être appliquée et que faut-il prévoir ?


Mieux comprendre le règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données, ou RGPD, est le nouveau cadre européen qui porte sur le traitement et la circulation des données à caractère personnel. On parle également de GPDR pour « General Data Protection Regulation » en anglais. Il s’agit d’un texte de référence dans l’Union européenne voté le 27 avril 2016. Il remplace une directive de 1995 et est applicable à partir du 25 mai 2018.

Le RGPD renforce les principes de la loi Informatique et libertés, elle-même en vigueur depuis 1978. Il doit permettre de donner plus de maîtrise aux particuliers sur le traitement et l’utilisation de leurs données. Selon la CNIL, le RGPD répond à deux points :
  • La protection des données suivant les principes déjà édictés par la CNIL sur la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité…. ;
  • Des nouvelles obligations et de nouveaux droits, comme le droit à la portabilité des données par exemple.

Des enjeux pour les entreprises

Le RGPD concerne aussi bien les entreprises susceptibles de recueillir des données via leur site internet, que celles qui sont amenées à utiliser et conserver les données de leurs clients. Le texte européen fixe en effet de nouvelles obligations, ou conforte celles déjà appliquées par la CNIL en France.

Pour les entreprises, quelle que soit leur taille, il s’agit de :
  • Se mettre en conformité avec la nouvelle règlementation ;
  • S’assurer que les bonnes pratiques de sécurisation et d’utilisation des données sont respectées dans l’entreprise comme chez ses sous-traitants ;
  • Garantir aux clients et aux partenaires le bon respect des nouvelles normes.


Au sein d’une même entreprise, le RGPD peut aussi bien concerner le site internet corporate qu’un site dédié au e-commerce, les campagnes d’e-mailing ou les supports utilisés pour la conservation et la sécurisation des données.

Ce qu’il faut prévoir pour l’entreprise

Les délais légaux

La mise en conformité aux règles du RGPD est applicable dès le 25 mai 2018. Pour certaines données qui font déjà l’objet de formalités auprès de la CNIL, il existe une notion de « délai raisonnable » pour la mise en œuvre.

Pour aller plus loin : accompagnement de la CNIL

Quels services et quelles ressources ?

Plusieurs services et directions de l’entreprise, selon sa taille, peuvent être amenés à intervenir sur la mise en place des bonnes démarches. Une démarche générale et transversale est nécessaire : les ressources humaines, les services de comptabilité et de finance, le marketing, les directions et services informatique ou de sécurité sont susceptibles d’être concernés.

Lorsque c’est prévu par le RGPD, l’entreprise devra également désigner un « Data Protection Officer » (DPO), c'est-à-dire un délégué à la protection des données personnelles. Cette désignation est obligatoire dans plusieurs cas : lorsque le traitement des données est effectué par une autorité ou un organisme public, lorsque les données font l’objet d’un suivi régulier ou lorsqu’il s’agit de données sensibles.

Les pré-requis du RGPD

Le RGPD implique que l’internaute soit clairement informé sur toute collecte de données. Cela concerne aussi bien le site en lui-même, que les formulaires qui y sont mis en place ou la conservation des données. C’est la notion de transparence et de consentement.

Pour se conformer à la nouvelle réglementation, les entreprises doivent également apporter certaines garanties en termes de sécurité et d’utilisation des données sur plusieurs points :
  • Conservation et sécurisation des données ;
  • Respect de la protection des données ;
  • Suppression des données une fois l’autorisation de traitement expiré (13 mois pour le consentement pour les cookies par exemple) ;
  • Droit d’information et de déréférencement ;
  • Droit à la portabilité des données ;
  • Enfin, les entreprises doivent pouvoir prouver la conformité à tout moment.

Risques et sanctions

Plusieurs mesures correctrices peuvent être déployées en cas de non-respect du RGPP. L’entreprise peut ainsi recevoir un avertissement, une sanction ou un rappel à l’ordre. Elle peut aussi se voir retirer certaines certifications. En ultime recours, le RGPD prévoit des amendes d’un montant maximal de 20 millions d’euros ou correspondant à 4% du chiffre d’affaires annuel mondial.

En plus des risques liés à la réglementation en elle-même, le non-respect des nouvelles mesures peut également avoir un impact sur la notoriété et le « capital-confiance » de l’entreprise. Cette perte de confiance peut aussi avoir des effets majeurs pour des contrats où un client exige des garanties de conformité, ou pour certains appels d’offres par exemple.

En savoir plus

CNIL : gérer la protection et les droits d’accès aux données personnelles
Stockage en ligne : localisation, sécurité et confidentialité des données
Sécuriser les données cloud de son entreprise

Publié par Perrine Tiberghien.
Ce document intitulé «  Comment appliquer la RGPD dans l’entreprise  » issu de CommentCaMarche (http://www.commentcamarche.net/) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Failles de sécurité : mettre à jour ses supports professionnels
Publier du contenu professionnel avec les outils Google