Retour aux articles
RGPD
RGPD Conformité Guide CNIL

Conformité RGPD : le guide complet pour les entreprises

15 octobre 2025 13 min de lecture DPLIANCE

Conformité RGPD : le guide complet pour les entreprises

La conformité RGPD n’est pas une case à cocher. C’est une posture. Celle de considérer que les données personnelles de vos clients, salariés et partenaires méritent le même soin que vos actifs financiers.

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’applique à toute organisation traitant des données personnelles de résidents européens. Huit ans plus tard, la réalité est brutale : en 2025, la CNIL a prononcé 486,8 millions d’euros d’amendes — neuf fois plus qu’en 2024. Google a été sanctionné de 325 millions d’euros pour des cookies déposés sans consentement. SHEIN de 150 millions. France Travail de 5 millions pour des failles de sécurité.

Le message est clair : la tolérance est terminée.

Ce guide détaille les 8 obligations fondamentales du RGPD, propose une checklist adaptée à votre taille d’entreprise et identifie les outils concrets pour chaque obligation.

Les 8 obligations clés du RGPD

1. Tenir un registre des traitements (article 30)

Le registre des traitements est la colonne vertébrale de votre conformité RGPD. Il documente l’ensemble des opérations effectuées sur des données personnelles : collecte, stockage, utilisation, transfert, suppression.

Ce qu’il doit contenir :

  • La finalité de chaque traitement
  • Les catégories de données traitées
  • Les destinataires des données
  • Les durées de conservation
  • Les mesures de sécurité mises en œuvre

Le registre n’est pas un document statique. Il doit être mis à jour à chaque nouveau traitement, chaque changement de sous-traitant, chaque évolution de finalité. La CNIL a rappelé à plusieurs reprises que l’absence de registre est l’une des non-conformités les plus fréquentes.

Un piège courant : beaucoup d’entreprises créent un registre lors de leur première mise en conformité, puis ne le mettent plus jamais à jour. Or, un registre obsolète est presque aussi problématique qu’un registre absent. Chaque nouvelle campagne marketing, chaque changement d’outil CRM, chaque nouvel accord de sous-traitance doit se traduire par une mise à jour du registre.

Un outil comme Complio automatise l’audit de conformité de votre site web et identifie les traitements de données à documenter.

2. Désigner un DPO quand c’est obligatoire (article 37)

Le Délégué à la Protection des Données (DPO) est obligatoire pour :

  • Les autorités et organismes publics
  • Les entreprises dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle
  • Les entreprises traitant des données sensibles à grande échelle (santé, biométrie, opinions politiques)

Même quand il n’est pas obligatoire, la désignation d’un DPO reste recommandée par la CNIL comme bonne pratique, en particulier pour les PME qui manipulent des volumes importants de données clients.

Le rôle du DPO ne se limite pas à la conformité administrative. Il doit informer et conseiller le responsable de traitement, contrôler le respect du règlement, coopérer avec la CNIL et servir de point de contact pour les personnes concernées. Un DPO efficace est un atout stratégique : il anticipe les risques, structure les processus et renforce la confiance des partenaires commerciaux.

Pour les PME qui n’ont pas les ressources pour un DPO interne à temps plein, le recours à un DPO externalisé est une solution pragmatique. Le tarif journalier moyen se situe autour de 600 euros, et l’intervention peut être dimensionnée selon les besoins réels de l’entreprise.

3. Réaliser des analyses d’impact (AIPD) (article 35)

L’Analyse d’Impact relative à la Protection des Données est obligatoire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de traitements pour lesquels une AIPD est systématiquement requise.

Cas typiques nécessitant une AIPD :

  • Profilage à grande échelle
  • Surveillance systématique d’une zone accessible au public
  • Traitement de données sensibles à grande échelle
  • Croisement de données à grande échelle

La méthodologie d’une AIPD comprend quatre étapes : la description du traitement envisagé, l’évaluation de la nécessité et de la proportionnalité, l’appréciation des risques pour les droits et libertés des personnes, et la définition des mesures pour traiter ces risques. La CNIL propose un outil gratuit (PIA) pour accompagner les entreprises dans cette démarche.

Une AIPD n’est pas un exercice ponctuel. Elle doit être réexaminée régulièrement, en particulier lorsque le contexte du traitement évolue (changement de technologie, élargissement des finalités, nouveau sous-traitant).

4. Garantir les droits des personnes (articles 15 à 22)

Le RGPD confère aux individus des droits concrets sur leurs données :

  • Droit d’accès : savoir quelles données sont collectées
  • Droit de rectification : corriger des données inexactes
  • Droit à l’effacement (“droit à l’oubli”) : demander la suppression
  • Droit à la portabilité : récupérer ses données dans un format exploitable
  • Droit d’opposition : refuser un traitement, notamment à des fins de prospection
  • Droit à la limitation : geler temporairement un traitement

Votre entreprise doit disposer d’un processus interne pour répondre à ces demandes dans un délai d’un mois maximum.

En pratique, la gestion des droits des personnes est l’un des points les plus négligés par les entreprises. Pourtant, c’est un indicateur direct de maturité RGPD. Mettre en place une adresse email dédiée (dpo@votreentreprise.fr ou rgpd@votreentreprise.fr), une procédure documentée avec des modèles de réponse, et un registre de suivi des demandes est le minimum indispensable. La CNIL vérifie systématiquement ce point lors de ses contrôles.

5. Notifier les violations de données (articles 33-34)

En cas de violation de données personnelles (fuite, accès non autorisé, perte), vous devez :

  • Notifier la CNIL dans les 72 heures suivant la découverte de la violation
  • Informer les personnes concernées si la violation présente un risque élevé pour leurs droits et libertés

La sanction de France Travail (5 millions d’euros en janvier 2026) illustre les conséquences d’une sécurité insuffisante : un attaquant avait accédé aux données de millions d’inscrits en exploitant des failles de sécurité.

La prévention est aussi importante que la réaction. Mettre en place un système de détection des incidents (monitoring des accès, alertes sur les comportements anormaux, journalisation des événements) permet de réagir plus rapidement. Documenter une procédure de notification avec des responsabilités claires, des modèles pré-rédigés et une chaîne d’escalade est indispensable. La CNIL a indiqué que le temps de réaction et la qualité de la communication aux personnes concernées sont des facteurs atténuants dans l’appréciation des sanctions.

6. Appliquer le Privacy by Design (article 25)

Le Privacy by Design impose d’intégrer la protection des données dès la conception de tout nouveau produit, service ou traitement. Ce n’est pas une couche de conformité ajoutée après coup — c’est un principe d’architecture.

Concrètement, cela signifie :

  • Minimiser les données collectées (ne collecter que le strict nécessaire)
  • Pseudonymiser ou anonymiser les données quand c’est possible
  • Chiffrer les données en transit et au repos
  • Limiter l’accès aux données au strict besoin

Le Privacy by Default complète le Privacy by Design. Par défaut, seules les données strictement nécessaires à la finalité doivent être traitées. Cela s’applique à la quantité de données collectées, à l’étendue du traitement, à la durée de conservation et à l’accessibilité. Un formulaire d’inscription ne doit pas collecter le numéro de téléphone si la communication se fait par email. Un compte utilisateur ne doit pas être public par défaut si l’utilisateur n’a pas choisi cette option.

Chez DPLIANCE, le Privacy by Design est un principe fondateur. Mirage Analytics ne dépose aucun cookie et ne stocke aucune adresse IP — la conformité n’est pas une configuration, c’est le comportement par défaut.

7. Encadrer les transferts hors UE (articles 44 à 49)

Tout transfert de données personnelles vers un pays situé hors de l’Union européenne doit être encadré par des garanties appropriées. L’article 44 du RGPD pose un principe clair : le niveau de protection garanti par le règlement ne doit pas être compromis.

Les mécanismes autorisés :

  • Décision d’adéquation de la Commission européenne
  • Clauses contractuelles types (CCT)
  • Règles d’entreprise contraignantes (BCR)
  • Codes de conduite ou certifications approuvés

Le EU-US Data Privacy Framework adopté en juillet 2023 fait l’objet de contestations juridiques (potentiel “Schrems III”) et pourrait être invalidé. La solution la plus sûre reste l’hébergement en Europe. C’est le choix de DPLIANCE : toutes nos solutions sont hébergées sur Scaleway, infrastructure cloud européenne.

Attention aux transferts indirects. Utiliser Google Analytics, un CDN américain, ou même des polices Google Fonts peut constituer un transfert de données vers les États-Unis. Chaque script tiers chargé sur votre site est un point de vigilance. Un audit complet de vos flux de données est indispensable pour identifier tous les transferts, y compris ceux que vous n’aviez pas anticipés.

8. Démontrer sa conformité (accountability) (article 5.2)

Le principe d’accountability renverse la charge de la preuve : ce n’est pas à la CNIL de prouver que vous n’êtes pas conforme, c’est à vous de prouver que vous l’êtes.

Les éléments de preuve attendus :

  • Registre des traitements à jour
  • Politiques de confidentialité claires et accessibles
  • Preuves de recueil du consentement
  • Documentation des AIPD
  • Contrats avec les sous-traitants (article 28)
  • Procédures de gestion des violations
  • Traces de formation du personnel

L’accountability ne se construit pas la veille d’un contrôle. C’est un processus continu qui exige une documentation systématique de chaque décision, chaque mesure et chaque évolution. Les entreprises qui prennent l’accountability au sérieux constituent progressivement un dossier de conformité solide qui, en cas de contrôle CNIL, démontre une démarche de bonne foi et de diligence. C’est un facteur atténuant reconnu par la CNIL dans l’appréciation des sanctions.

Checklist par taille d’entreprise

TPE (moins de 11 salariés)

  • Rédiger une politique de confidentialité conforme
  • Mettre en place un bandeau cookies conforme avec Cookilio
  • Tenir un registre des traitements simplifié (la CNIL propose un modèle)
  • Sécuriser les accès aux données (mots de passe, chiffrement)
  • Vérifier la conformité du site web avec Complio
  • Répondre aux demandes d’exercice de droits
  • Sensibiliser les collaborateurs aux règles de base du RGPD

PME (11 à 250 salariés)

Tout ce qui précède, plus :

  • Évaluer la nécessité de désigner un DPO
  • Cartographier les flux de données avec les sous-traitants
  • Encadrer contractuellement chaque sous-traitant (clause article 28)
  • Mettre en place une procédure de notification de violations
  • Former les équipes aux bonnes pratiques RGPD
  • Remplacer Google Analytics par une solution conforme comme Mirage Analytics
  • Documenter les bases légales de chaque traitement
  • Mettre en place un processus formel de gestion des demandes d’exercice de droits

ETI (250+ salariés)

Tout ce qui précède, plus :

  • Désigner un DPO (souvent obligatoire à cette échelle)
  • Réaliser des AIPD pour les traitements à risque
  • Mettre en place un programme de conformité structuré
  • Auditer régulièrement les sous-traitants
  • Documenter les transferts hors UE et les garanties associées
  • Intégrer le Privacy by Design dans les processus de développement
  • Mettre en place un comité de gouvernance des données
  • Réaliser des audits internes réguliers de conformité

Les outils DPLIANCE pour chaque obligation

La conformité RGPD ne se résout pas avec un seul outil. Mais les bons outils simplifient considérablement le travail.

ObligationOutil DPLIANCE
Conformité du site webComplio — audit automatisé, détection des traceurs, vérification de la politique de confidentialité
Gestion des cookiesCookilio — CMP conforme aux recommandations CNIL, refus aussi simple que l’acceptation
Analytics sans cookieMirage Analytics — zéro cookie, zéro traceur persistant, exempt de consentement
Hébergement souverainToutes les solutions DPLIANCE sont hébergées sur Scaleway en Europe

La vie privée n’est pas un compromis. La souveraineté non plus. C’est cette conviction qui guide chaque produit que nous concevons.

Les erreurs les plus fréquentes en matière de conformité RGPD

Au-delà des obligations formelles, certaines erreurs reviennent systématiquement dans les contrôles CNIL :

Confondre conformité et documentation. Avoir une politique de confidentialité sur son site ne suffit pas si elle ne reflète pas la réalité des traitements. La CNIL vérifie la cohérence entre ce qui est déclaré et ce qui est pratiqué.

Négliger les sous-traitants. Chaque outil SaaS que vous utilisez (CRM, emailing, analytics, hébergement) est un sous-traitant au sens du RGPD. Sans contrat conforme à l’article 28 avec chacun d’eux, votre conformité est incomplète.

Ignorer le principe de minimisation. Collecter “au cas où” est une violation du RGPD. Chaque donnée collectée doit correspondre à une finalité précise et documentée.

Sous-estimer la formation. Le maillon faible de la conformité est souvent humain. Un collaborateur qui envoie un fichier client par email non chiffré, qui utilise un mot de passe faible, ou qui partage des données avec un prestataire non autorisé crée un risque que toute la documentation du monde ne peut compenser.

FAQ

Le RGPD s’applique-t-il aux TPE et auto-entrepreneurs ?

Oui, sans exception. Le RGPD s’applique à toute organisation traitant des données personnelles de résidents européens, quelle que soit sa taille. La CNIL et le CEPD ont publié des guides spécifiques pour accompagner les TPE-PME dans leur mise en conformité. La procédure simplifiée de la CNIL permet de sanctionner rapidement même les petites structures, avec des amendes allant jusqu’à 20 000 euros.

Combien coûte une mise en conformité RGPD ?

Le coût varie selon la taille et la complexité de l’organisation. Pour une TPE, les outils essentiels (CMP, analytics conforme, audit de site) représentent quelques dizaines d’euros par mois. Pour une PME, un accompagnement par un DPO externalisé coûte entre 3 000 et 7 000 euros pour un audit initial, puis quelques centaines d’euros par mois en suivi. Le véritable coût est celui de la non-conformité : les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Quelle est la différence entre RGPD et ePrivacy ?

Le RGPD encadre le traitement des données personnelles au sens large. La directive ePrivacy (et les recommandations CNIL qui en découlent) encadre spécifiquement les cookies et traceurs. Les deux se complètent : un site doit être conforme au RGPD pour le traitement des données ET à ePrivacy pour le dépôt de cookies. En pratique, la conformité cookies est souvent le premier sujet vérifié par la CNIL car elle est facilement contrôlable à distance avec des robots automatisés.

Faut-il obligatoirement avoir un DPO ?

Non, pas pour toutes les entreprises. Le DPO est obligatoire pour les organismes publics, les entreprises dont l’activité principale implique un suivi systématique à grande échelle, et celles traitant des données sensibles à grande échelle. Pour les autres, c’est recommandé mais pas imposé. Même sans obligation légale, désigner un référent RGPD interne permet de structurer la démarche et d’avoir un interlocuteur identifié en cas de contrôle.

Comment prouver sa conformité en cas de contrôle CNIL ?

En présentant votre registre des traitements à jour, vos politiques de confidentialité, les preuves de consentement, la documentation des AIPD, les contrats sous-traitants et les procédures de gestion des violations. L’accountability exige une documentation continue, pas un effort ponctuel. Un rapport d’audit régulier de votre site web avec Complio constitue également une preuve tangible de votre vigilance.

Quelles sont les sanctions CNIL les plus fréquentes ?

En 2025, les motifs de sanction les plus fréquents étaient : les cookies déposés sans consentement (21 sanctions), les défauts de sécurité des données, l’absence de politique de confidentialité conforme, et le non-respect des droits des personnes. La procédure simplifiée a été utilisée pour 67 des 83 sanctions prononcées, ce qui montre que la CNIL cible désormais aussi les dossiers “simples” avec une grande efficacité.

Guide complet — Cet article fait partie de notre guide approfondi sur l’audit RGPD de site web. Consultez le guide pilier : Audit RGPD site web : guide complet 2026.

Sources : CNIL — Guide TPE-PME, CNIL — Bilan des sanctions 2025, CNIL — Transferts de données hors UE, CEPD — Guide RGPD pour les TPE-PME. Article mis à jour le 24 mars 2026.

Écrivez-nous

contact@dpliance.com
Nous contacter