Votre entreprise respecte-t-elle la réglementation sur la protection des données ?

Qu’il s’agisse d’un site vitrine, d’une boutique en ligne ou d’un formulaire de contact, votre entreprise collecte déjà des données personnelles : inscription à une newsletter, création de compte utilisateur, commande et paiement, demande de devis, candidature à un emploi, service après-vente, cookies de mesure d’audience, etc. Ces informations (nom, e-mail, adresse, numéro de téléphone, préférences, données de navigation) engagent votre responsabilité, au titre du RGPD (Règlement général sur la protection des données).

En effet, cette législation européenne, qui s’applique dans tous les États membres de l’UE depuis 2018, ne concerne pas que les grands groupes : TPE et PME doivent, elles aussi, respecter des règles claires. Dans ce guide, nous vous aidons à faire le point sur l’essentiel en matière de protection des données personnelles : que pouvez-vous collecter ? Comment répondre aux droits des citoyens (accès, rectification, opposition, effacement) ?

Objectif : mettre votre entreprise en conformité dès maintenant, avec les bonnes pratiques à connaître !

Pourquoi protéger les données personnelles de vos clients, prospects et salariés ?

Le sujet de protection des données concerne à la fois les données des personnes (clients, utilisateurs, salariés, candidats, partenaires) et les données de votre entreprise. Il s’agit de les protégrer contre les fraudes et les atteintes à sa réputation : cela permet de limiter les risques d’usurpation d’identité, de discrimination, de vol financier ou de manipulation. 

Et, au-delà de l’obligation légale, c’est également une nécessité pour protéger votre entreprise : un incident de sécurité peut entamer durablement votre réputation, générer des pertes de revenus (désabonnements, paniers abandonnés) et handicaper le développement de votre activité. À l’inverse, une entreprise qui sécurise ses systèmes, et répond aux demandes de ses clients en matière de gestion des données (accès, rectification, opposition, effacement) se protège et préserve les droits de chacun.

Voir la transcription de l’infographie

Protection des données personnelles : avez-vous pris les mesures nécessaires ?

L’illustration est structurée en 4 parties

La partie 1 précise que la protection des données personnelles répond à une obligation législative forte : le RGPD, Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018

Il s’agit des données personnelles dont des exemples sont fournis dans la partie 2.

En cas de non respect, l’entreprise s’expose graduellement à :
1. une notification de la CNIL ;
2. une mise en demeure ;
3. des sanctions qui peuvent conduire à une amende jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros et la publication de la non-conformité.

La partie 2 illustre ce qu’est une donnée personnelle, à savoir « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire les :
– nom, prénom ;
– adresse e-mail ;
– adresse physique ;
– n° de téléphone ;
– n° d’identification : carte bancaire, carte d’identité, sécurité sociale, etc. ;
– origine, convictions, opinions ;
– données médicales ;
– etc.

Ce sont toutes les données personnelles : celles des clients, employés ou fournisseurs de l’entreprise.

La partie 3 liste huit mesures incontournables à mettre en oeuvre pour respecter le RGPD :

1. Identifier tous vos fichiers avec des données personnelles ;

2. Établir des règles d’accès et de gestion aux données. Les données collectées doivent être répertoriées dans un registre des traitements ;

3. Collecter et conserver les seules données utiles. Pensez aussi à vérifier les pratiques de vos sous-traitants le cas échéant ;

4. Nommer un pilote de la protection des données, le DPO pour Délégué à la protection des données. Ce peut être un salarié, juriste, responsable informatique, consultant extérieur, etc. ;

5. Informer les personnes de la collecte et du traitement de leurs données, avec un droit d’accès, de rectification ou de suppression ;

6. Sécuriser vos fichiers et systèmes grâce à des MAJ, antivirus, pare-feu, etc. ;

7. Choisir des mots de passe complexes et les changer régulièrement ;

8. Disposer d’une procédure de sauvegarde et de récupération des données en cas d’incident. Dans ce cas, la CNIL doit être notifiée au plus vite dans un délai de tout risque lié à la perte ou au piratage. Si ce risque est élevé, les personnes concernées doivent en être informées dans les meilleurs délais.

La partie 4 propose quatre bonnes pratiques pour renforcer durablement la confiance de vos clients et votre relationnel.

Il s’agit de :
– la demande de consentement
– la précision de la finalité de vos actions
– le respect de la sécurité
– la transparence avec vos interlocuteurs

De nombreux conseils et guides sont à retrouver sur CNIL.FR.

Les données personnelles sensibles : définition

Une donnée personnelle correspond à toute information qui identifie, directement ou indirectement, une personne. Le RGPD prévoit en outre des catégories particulières (« données sensibles »), qui font l’objet d’un régime plus strict. Ces dernières recouvrent les données révélant l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les données génétiques, les données biométriques utilisées pour identifier une personne de manière unique, les données de santé, la vie sexuelle ou l’orientation sexuelle. 

Le traitement des données personnelles, au sens général du terme, est possible, mais strictement encadré par le RGPD. En revanche, le traitement de données personnelles « sensibles » est par principe interdit, sauf exceptions prévues par la loi (par exemple : des motifs d’intérêt public), et nécessite des garanties renforcées.

En pratique, vous traitez des données personnelles au quotidien sans y penser : nom et prénom, adresse postale / e-mail (prenom.nom@entreprise.com), pièce d’identité, adresse IP, cookies utilisés pour analyser la navigation, etc. À noter : ces derniers (IP et cookies) constituent des « identifiants en ligne » qui, seuls ou croisés avec d’autres, peuvent permettre d’identifier vos visiteurs : c’est pourquoi ils relèvent aussi du RGPD.

Crédibilité et confiance : ce que vos clients attendent

Au-delà de la conformité à une obligation purement légale, la protection des données personnelles montre votre sens des responsabilités, limite les sanctions potentielles et installe une confiance durable auprès de ceux et celles dont vous traitez les informations. 

Une politique de confidentialité claire, accessible depuis chaque page, un bandeau cookies honnête (c’est-à-dire sur lequel les règlementations sur les cookies sont clairement identifiables), un centre de gestion des préférences simple à utiliser, des mentions d’information au plus près des formulaires, un point de contact joignable en cas de problème ou question, des durées de conservation publiées et respectées : tous ces signaux permettent d’être conforme au RGPD, de rassurer vos clients, d’améliorer les taux d’inscription et de conversion, et de renforcer la fidélisation.

À l’inverse, une faille ou une pratique opaque érode immédiatement la confiance : les clients hésitent à laisser leurs coordonnées, des partenaires renoncent à partager leurs données, et les cycles de vente s’allongent. Faire de la conformité un réflexe (minimisation des données, chiffrement, contrôle des accès, journaux de consentement, audits réguliers, contrats de sous-traitance cadrés) consolide le développement de votre entreprise sur le long terme.

Protection des données personnelles : que dit la loi ?

La protection des données personnelles en France repose sur la loi « Informatique et Libertés » du 6 janvier 1978, ce texte sur la protection des données personnelles a été régulièrement mis à jour depuis, notamment pour intégrer le cadre européen. Depuis mai 2018, le Règlement général sur la protection des données (RGPD) s’applique directement dans tous les États membres et guide l’ensemble des obligations (information, sécurité, droits des personnes, etc.). La CNIL est l’autorité de contrôle et met à disposition des ressources pédagogiques pour comprendre et exercer ces droits.

Contrairement à une idée reçue, il n’y a aucune distinction entre micro-entreprise et multinationale : toute structure qui « traite » des données personnelles est concernée, qu’elle soit privée, publique ou associative, dès lors qu’elle est établie dans l’UE ou qu’elle cible des personnes se trouvant sur le territoire de l’UE. Les sous-traitants (prestataires qui traitent des données pour votre compte) sont également visés. Ce champ d’application est posé par l’article 3 du RGPD et par les lignes directrices du Comité européen de la protection des données.

Le RGPD, qu’est-ce que c’est concrètement ?

Le RGPD est un règlement européen qui vise à protéger la vie privée des personnes situées dans l’Union européenne en encadrant la collecte et l’usage des données personnelles. Il s’applique depuis le 25 mai 2018 et impose certains principes (licéité, transparence, minimisation, sécurité, durée limitée, responsabilité) ainsi que des obligations concrètes pour les organisations.

À qui s’applique-t-il ? À toutes les entreprises, entités publiques et associations, quelle que soit leur taille, quel que soit le secteur, dès lors que des données personnelles de personnes situées dans l’Union européenne sont traitées. Le RGPD couvre aussi les responsables de traitement et leurs sous-traitants, et s’étend aux acteurs établis hors de l’UE ciblant des résidents européens (exemple : suivi du comportement en Europe).

Que risque une entreprise en cas de non-conformité ?

Ne pas se conformer au RGPD n’est pas sans conséquence.

Voici les risques à connaître :

• Sanctions financières. Le RGPD prévoit des amendes non négligeables pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global, le montant le plus élevé étant retenu. Par ailleurs, depuis un arrêt de la Cour de justice de l’Union européenne (du 13 février 2025), quand une filiale est sanctionnée, le plafond peut être calculé sur le chiffre d’affaires mondial de l’entreprise à laquelle elle appartient. Toutefois, les manquements moins graves peuvent être sanctionnés jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires.
• Mise en demeure (parfois publique). Avant la sanction, la CNIL peut mettre en demeure un organisme de se mettre en conformité dans un délai fixé. Cette mise en demeure peut être rendue publique, avec l’impact réputationnel que cela implique. 
• Perte de confiance et par équation de chiffre d’affaires. Une part significative de clients coupe la relation en cas de doutes sur la protection de leurs données personnelles. Selon l’Indice de confiance numérique 2025 publié par le groupe Thales, 82 % des répondants disent avoir abandonné une marque au cours des 12 derniers mois par crainte de l’usage de leurs données. 
• Responsabilité et sanctions potentielles en cas de faille. Si une violation de données survient et que vos mesures sont jugées insuffisantes, vous encourez des injonctions et des sanctions. Le RGPD impose des mesures de sécurité adaptées (article 32) et des notifications sous 72 heures à l’autorité compétente (article 33), ainsi qu’aux personnes concernées si le risque est élevé (article 34).
• Calendrier de mise en conformité. Vous disposez d’un mois pour répondre aux demandes de droits (accès, rectification, effacement, opposition). Si la demande est complexe ou si vous en recevez plusieurs, vous pouvez prolonger de deux mois, à condition de prévenir la personne dans le premier mois, et de lui expliquer pourquoi. À noter : le délai court à compter de la réception d’une demande. Si elle est incomplète, vous pouvez demander des précisions, et le délai est suspendu jusqu’à réception des compléments.
  

Décisions récentes de la CNIL : ce qu’il faut retenir

La CNIL, l’autorité de protection des données personnelles en France, applique des sanctions de plus en plus sévères dans ce domaine :

• Amende de 325 millions d’euros contre Google en 2025 pour affichage de publicités entre les e-mails Gmail sans avoir recueilli le consentement des utilisateurs, et pour dépôt de cookies lors de la création de compte sans consentement valable.
• Amende de 150 millions d’€ contre Shein en 2025 pour cookies déposés sans consentement préalable pour les clients visitant le site de vente en ligne.

Les petites structures sont aussi concernées : dans le cadre de la « procédure simplifiée », qui permet un traitement accéléré de dossiers ne présentant pas de difficulté particulière, dix entreprises (dont le nom n’a pas été rendu public) ont totalisé 104 000 € d’amendes en 2025 (vidéosurveillance continue injustifiée, géolocalisation, conservation excessive des données, information insuffisante).

Comment sécuriser les données personnelles collectées sur votre site ?

Sécuriser les données de votre site, c’est combiner des mesures techniques (chiffrement, mises à jour, contrôle des accès) et des règles internes claires pour limiter les risques à la source : protection de l’infrastructure, réduction des données collectées au strict nécessaire, et documentation de chaque étape pour pouvoir prévenir, détecter et réagir vite.

Les principales mesures à prendre pour protéger les données personnelles

Pour contribuer à la protection des données personnelles sur internet, celles de vos clients, celles de vos collaborateurs et comme celles des simples visiteurs de votre site, voici les bonnes pratiques à adopter :

 

• Sachez ce que vous stockez. Dressez l’inventaire de vos fichiers et outils : base de données clients, formulaires web, newsletter, CRM, comptabilité, support, exports Excel, sauvegardes. Notez pour chaque source : quelles données, pourquoi, qui y accède, où elles sont hébergées, combien de temps vous les gardez.
  
   
• Ne collectez que l’utile, et pas plus longtemps que nécessaire. Pour chaque formulaire, demandez-vous si chaque champ est indispensable. Fixez des durées de conservation claires et mettez en place un nettoyage automatique ou semi-automatique. Par exemple, la CNIL indique de conserver les données des prospects trois années maximum après le dernier contact (clic, demande). Au-delà, il faut supprimer ou les solliciter pour savoir s’ils souhaitent continuer. Concernant les cookies, la CNIL recommande de mémoriser le choix des visiteurs (refus ou acceptation) 6 mois, avant de leur demander à nouveau.
   
• Cadrez les accès. Donnez le minimum de droits selon les rôles (lecture, écriture ou admin). Retirez les accès lors des départs, bannissez les comptes partagés, tracez les connexions sensibles. Un référent devrait vérifier ces droits tous les trimestres.
  
   
• Désignez un « pilote ». Nommez un référent RGPD (au sein d’une petite structure, le dirigeant occupe généralement cette fonction) ou, si vous faites partie des organisations concernées (autorités publiques, entreprises traitant à grande échelle des données sensibles), un délégué à la protection des données (DPO) chargé de la conformité, des demandes de droits, de la tenue du registre et de la sensibilisation de l’équipe (rappels, formations, etc.).
  
   
• Informez clairement vos utilisateurs. Sur chaque point de collecte, expliquez qui vous êtes, pourquoi vous collectez leurs données, pendant combien de temps, avec qui vous les partagez, et comment exercer les droits (accès, rectification, opposition, effacement). Prévoyez une adresse de contact dédiée et répondez sous un mois (conformément à l’article 12 du RGPD).
  
   
• Encadrez vos sous-traitants. Ajoutez une « clause RGPD » à vos contrats (finalités, sécurité, sous-traitants ultérieurs, assistance en cas de demande de droits ou d’incident, effacement en fin de contrat). Privilégiez des prestataires opérant en France, ou tout au moins dans l’UE, et offrant des garanties solides.
  
   
• Mettez vos systèmes à jour et réduisez la surface d’attaque. Mises à jour régulières du CMS, des plugins et de l’OS. Activation de l’HTTPS partout, avec redirection automatique. Il faut tester vos sauvegardes, surveiller les logs, etc.
  
   
• Renforcez l’authentification. Au-delà des mots de passe longs et complexes, n’oubliez pas le double authentification (code/applications/clés de sécurité) pour l’administration du site, l’hébergement, votre outil mail et, plus largement, tous les outils critiques.
  
   
• Protégez les postes et les fichiers. Antivirus, chiffrement des ordinateurs portables, écran verrouillé, partage de documents maîtrisé (droits, liens expirants). Évitez les fichiers sensibles sur des clés USB non chiffrées.
  
   
• Sauvegardes et reprise après incident. Appliquez idéalement la « règle 3-2-1 » (3 copies différentes, sur 2 supports différents, dont 1 copie hors ligne). Planifiez des sauvegardes régulières, testez la restauration et documentez les étapes.
  
   
• Tenez votre registre et vos politiques à jour. Un registre des traitements simple (finalité, base légale, données, durée, destinataires, sécurité) et une politique de confidentialité claire sur votre site sont vos meilleures preuves de sérieux. Conservez aussi la preuve des consentements et des réponses aux demandes de droits.
  
   
• Cookies et mesure d’audience. Affichez un bandeau clair, laissez le libre choix (Accepter/Refuser/Paramétrer) aux utilisateurs. Ne déposez pas de traceurs non essentiels sans accord, et respectez leurs préférences.
  
   
• Préparez le « jour J » à l’avance. Un plan de réponse aux incidents (qui fait quoi, qui contacter, comment isoler, comment communiquer) vous évite l’improvisation, le moment venu. Documentez les incidents, évaluez les risques et, si besoin, notifiez l’autorité et les personnes concernées.
  
   
• Choisissez des partenaires de confiance. Faites le choix d’un hébergeur et des outils reconnus, basés en France ou en Europe si possible, avec un support réactif et des engagements de sécurité lisibles, qui vous feront gagner en sérénité.

Protéger votre site internet : une étape essentielle

Sécuriser votre site fait partie intégrante de la protection des données personnelles : un site vulnérable expose directement toutes les informations que vous collectez (formulaires, comptes clients, paiements) et vous met en défaut vis-à-vis du RGPD. Autrement dit, la sécurité technique et la protection des données avancent de pair !

• Débutez par le b.a.-ba : un site à jour et chiffré. Activez le HTTPS (le petit cadenas dans la barre d’adresse) et forcez-y toutes les pages : votre hébergeur propose sans doute l’installation de ce certificat en quelques clics. Mettez à jour très régulièrement votre outil de gestion de site et ses extensions, et supprimez celles que vous n’utilisez plus. Préférez des sauvegardes automatiques et testez de temps en temps la restauration : en cas de problème, vous repartez vite !
   
• Côté accès, bannissez les mots de passe courts. Utilisez des mots de passe longs et uniques, conservés dans un gestionnaire de mots de passe, et activez la double authentification pour l’administration du site, l’hébergement et la messagerie. Donnez à chaque personne le minimum de droits nécessaire.

• Protégez votre nom de domaine ! Sécurisez le compte chez votre bureau d’enregistrement (double authentification), verrouillez le transfert de vos noms de domaine, activez le renouvellement automatique et gardez des coordonnées à jour. Si vous utilisez une adresse e-mail créée à partir de votre nom de domaine, demandez à votre prestataire de configurer les protections anti-usurpation afin de limiter les risques de piratage de cette adresse professionnelle. Résultat : moins de portes d’entrée pour les cyberattaques et un site plus fiable pour vos visiteurs.

FAQ

Quelles sont les différences majeures dans le monde sur la protection des données ?

• Europe : le RGPD. Un cadre unique, faisant de la protection de la vie privée un principe, avec des droits étendus, des sanctions, et un contrôle par les autorités nationales (en France : la CNIL).
• États-Unis : pas de loi fédérale générale. Plutôt une approche sectorielle (la loi HIPAA pour la santé, par exemple) et des lois d’États, la plus connue étant la CCPA/CPRA en Californie (droits d’accès/suppression/opt-out par défaut).
• Pour les autres pays, le Brésil a le LGPD (proche du RGPD) et son autorité compétente est l’ANPD. Au Canada, il y a le LPRPDE/PIPEDA (secteur privé), avec des lois provinciales équivalentes dans certains territoires.

Quelles données sont considérées comme personnelles ?

Toute information permettant d’identifier directement ou indirectement une personne : nom, prénom, adresse postale ou adresse e-mail, numéro de téléphone, identifiant de compte, numéro de pièce d’identité, adresse IP, identifiant de cookie ou d’appareil, données de localisation, photo/voix, etc.

Mon entreprise doit-elle avoir un Data Protection Officer (DPO) ?

Non. Le DPO (ou DPD en français, délégué à la protection des données) n’est obligatoire que pour les autorités ou organismes publics, les organisations dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle, celles qui traitent à grande échelle des données sensibles (santé, biométrie, etc.) ou judiciaires. La plupart des entreprises ne sont donc pas tenues d’en nommer un, mais il est en revanche conseillé de désigner un référent RGPD.

Quels sont les droits des utilisateurs ?

Ils sont multiples : droit d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, de retrait du consentement, et droit de ne pas faire l’objet d’une décision entièrement automatisée produisant des effets juridiques. En France, chacun peut saisir la CNIL (Articles 15 à 22 du RGPD).

Que risque une entreprise en cas de non-conformité ?

Des amendes pouvant aller jusqu’à 20 millions d’€ ou 4 % du CA mondial, des injonctions de se mettre en conformité, la publication de la décision, et des dégâts réputationnels (perte de confiance, baisse des ventes, partenariats compromis).

Pour aller plus loin

• La CNIL centralise le texte du RGPD et des explications claires sur vos obligations (principes, bases légales, droits des personnes), avec des pages de type « mode d’emploi » pour passer à l’action. Utile pour vérifier un point juridique.
• Le Service-Public détaille les obligations RGPD pour les entreprises. La fiche pratique officielle résume tout ce que vous devez faire (licéité, transparence, sécurité, information des personnes) et les cas fréquents en entreprise.
• La DGCCRF explique aux particuliers leurs droits sur la protection des données personnelles. Une ressource qui permet de comprendre comment les exercer, avec accès aux démarches (SignalConso) en cas de litige. Pour votre TPE, cela peut être intéressant afin de préparer vos réponses aux demandes des clients.

Article rédigé par les experts du .fr

Qui sommes nous ?