En direct
CVAE : la déclaration 1330-CVAE, mode d'emploi et échéancesLa SCS (Société en Commandite Simple) : définition, fonctionnement et fiscalitéGroupement d'intérêt économique (GIE) : structure, fiscalité et gisements d'économiesLe registre unique du personnel : obligations et sanctions en 2026Fonds de roulement : définition, calcul et lecture sectorielleCVAE : la déclaration 1330-CVAE, mode d'emploi et échéancesLa SCS (Société en Commandite Simple) : définition, fonctionnement et fiscalitéGroupement d'intérêt économique (GIE) : structure, fiscalité et gisements d'économiesLe registre unique du personnel : obligations et sanctions en 2026Fonds de roulement : définition, calcul et lecture sectorielle
ContactÀ propos
Le Guide du DirigeantLe média des dirigeants d'entreprise
A25746 · VOL. II · 22 juin 2026
Obligations légales

RGPD pour l'entreprise : les 6 obligations à respecter en 2026

Les obligations RGPD d'une entreprise française : registre des traitements, DPO, droits des personnes, sécurité, sanctions CNIL. Le tour d'horizon par une avocate en droit des sociétés.

EF
Emmanuelle Faure
Journaliste droit des affaires
Publié le 22 juin 20268 min de lecture
RGPD pour l'entreprise : les 6 obligations à respecter en 2026

Le règlement UE 2016/679, dit RGPD, vous impose une obligation de conformité depuis le 25 mai 2018. La bonne nouvelle : la mise en conformité tient en six chantiers concrets, accessibles à toute entreprise qui accepte d'y consacrer quelques jours par an. Cet article expose chaque obligation, puis ce qu'elle implique pour vous au quotidien.

Le RGPD s'applique à toute entreprise qui traite des données personnelles dans le cadre de ses activités, quelle que soit sa taille. Une TPE qui gère un fichier clients ou une base de prospects est concernée au même titre qu'un grand groupe. La CNIL précise sur son site les six obligations centrales et propose des outils gratuits pour s'y conformer.

Ce que dit la loi : six obligations cardinales

Le RGPD, complété en droit français par la loi Informatique et Libertés du 6 janvier 1978 modifiée, structure la conformité autour de six obligations. Chacune renvoie à un article précis du règlement.

Une base légale pour chaque traitement (article 6)

Avant de collecter une donnée, il faut pouvoir répondre à la question : sur quel fondement ? Le règlement liste six bases légales possibles : consentement, exécution d'un contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public, intérêt légitime. Sans base légale identifiée, le traitement est illicite.

L'information des personnes concernées (articles 12 à 14)

Chaque personne dont vous collectez les données a le droit de savoir qui vous êtes, pourquoi vous collectez, combien de temps vous gardez, à qui vous transmettez et quels droits elle peut exercer. Cette information se matérialise par une politique de confidentialité accessible au moment de la collecte, et un encart court sur les formulaires.

Les droits des personnes (articles 15 à 22)

Sept droits sont reconnus à toute personne : accès, rectification, effacement, limitation, portabilité, opposition, non-soumission à une décision automatisée. Vous devez répondre à toute demande dans un délai d'un mois maximum, gratuitement. L'absence de réponse est un manquement caractérisé en cas de contrôle CNIL.

Le registre des traitements (article 30)

Toute entreprise tient un registre interne décrivant chaque traitement : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité. La CNIL propose un modèle gratuit téléchargeable. C'est le premier document que demande un contrôleur.

La sécurité des données (article 32)

Vous devez mettre en œuvre des mesures techniques et organisationnelles adaptées au risque : chiffrement, gestion des accès, sauvegardes, formation des équipes. Une faille de sécurité avec impact sur les personnes doit être notifiée à la CNIL dans les 72 heures (article 33).

Le DPO, obligatoire dans trois cas (article 37)

Le délégué à la protection des données est obligatoire pour les autorités publiques, les organismes qui réalisent un suivi régulier et systématique à grande échelle, et ceux qui traitent à grande échelle des données sensibles ou pénales. Hors ces trois cas, sa désignation reste recommandée mais facultative.

À retenir : ces six obligations sont indissociables. La CNIL contrôle l'ensemble, pas un seul item. Une politique de confidentialité parfaite ne compense pas l'absence de registre.

Ce que cela implique pour vous : les six chantiers concrets

La conformité ne se décrète pas, elle se construit. Voici la séquence que je recommande en cabinet, dans l'ordre où elle produit ses effets le plus vite.

Premier chantier : cartographier vos traitements. Listez les opérations, des plus évidentes (paie, facturation, fichier clients) aux plus discrètes (vidéosurveillance, géolocalisation des véhicules, suivi des candidatures). Ce travail nourrit directement le registre.

Deuxième chantier : qualifier chaque traitement. Pour chacun, identifiez la base légale, la durée de conservation, les destinataires, les sous-traitants. Cette étape met en lumière les zones grises, comme les anciens prospects gardés indéfiniment.

Troisième chantier : rédiger ou mettre à jour les mentions d'information. Politique de confidentialité, mentions sur les formulaires, encarts dans les CGV. Voir notre article sur les CGV en prestation de service pour l'articulation avec le RGPD.

Quatrième chantier : organiser la réponse aux demandes des personnes. Adresse de contact dédiée, procédure interne de traitement, gabarits de réponse. La CNIL contrôle régulièrement la qualité de ces réponses sur signalement.

Cinquième chantier : sécuriser les traitements. Mots de passe robustes, authentification renforcée pour les accès sensibles, chiffrement des sauvegardes, formation des collaborateurs. L'ANSSI publie un guide d'hygiène informatique gratuit qui donne les premières marches.

Sixième chantier : encadrer les sous-traitants. Tout prestataire qui traite des données pour votre compte doit signer un accord de sous-traitance conforme à l'article 28. Hébergeur, éditeur de logiciel, comptable externalisé, chacun doit être listé et contractualisé.

À retenir : la conformité RGPD est un projet par étapes, pas un livre blanc. Une entreprise qui boucle ces six chantiers en trois à six mois est en position défendable en cas de contrôle.

Les sanctions et le risque réel

L'article 83 du règlement plafonne les sanctions à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le plus élevé des deux. Pour une TPE, ce plafond reste théorique : les sanctions effectives oscillent entre 1 000 € et 50 000 € selon la gravité.

La CNIL publie l'intégralité de ses décisions sur son site. Une lecture rapide permet de cartographier les zones de risque : absence de base légale identifiée, conservation illimitée, refus de répondre aux demandes d'accès, manque de sécurité, démarchage commercial sans consentement valide.

Le risque le plus sous-estimé en pratique reste le contentieux civil. Une personne dont les droits n'ont pas été respectés peut saisir le tribunal judiciaire et demander réparation. J'ai plaidé trois fois ce type de dossier devant le tribunal judiciaire de Nanterre. Le juge écoute surtout la preuve écrite, rarement les intentions : sans registre, sans procédure interne formalisée, l'entreprise commence l'audience en mauvaise posture.

Lors d'un audit que j'ai mené chez un éditeur SaaS de douze personnes, le diagnostic a révélé treize sous-traitants non contractualisés, dont l'hébergeur principal. La régularisation a pris quatre mois et coûté en honoraires et avenants environ 18 000 €. À comparer au coût d'un contrôle CNIL non préparé, qui démarre à 30 000 € de sanction selon la jurisprudence récente.

À retenir : la sanction financière n'est qu'une partie du risque. La perte de confiance des clients, particulièrement en B2B, pèse souvent davantage à moyen terme.

Les cas particuliers à connaître

Données sensibles : santé, opinions, syndicat

L'article 9 interdit en principe le traitement des données sensibles (santé, origine, opinions politiques, convictions religieuses, appartenance syndicale, données biométriques, données génétiques, vie sexuelle). Onze exceptions sont prévues, mais elles supposent un consentement explicite ou une base légale renforcée. Le contentieux est dense.

Mineurs et marketing

Le consentement d'un mineur de moins de 15 ans n'est valable que recueilli auprès du titulaire de l'autorité parentale (article 7-1 de la loi Informatique et Libertés). Les services en ligne destinés aux enfants doivent prévoir un dispositif de vérification.

Transferts hors UE

Le transfert de données vers un pays tiers à l'Union européenne suppose soit une décision d'adéquation, soit des clauses contractuelles types signées entre l'exportateur et l'importateur. L'arrêt Schrems II (CJUE, 16 juillet 2020) a complexifié les transferts vers les États-Unis et impose une analyse au cas par cas. Le Data Privacy Framework adopté en juillet 2023 a partiellement réouvert ces flux pour les organisations américaines certifiées, mais la CNIL invite à conserver une analyse documentée pour chaque transfert.

Analyse d'impact (AIPD ou DPIA)

L'article 35 impose une analyse d'impact avant la mise en œuvre d'un traitement susceptible d'engendrer un risque élevé pour les droits des personnes. La CNIL publie la liste des cas où elle est obligatoire : profilage à grande échelle, vidéosurveillance systématique, traitement de données sensibles, géolocalisation des salariés. Le logiciel PIA gratuit de la CNIL guide la rédaction en quelques heures.

Cookies et traceurs : l'autre versant du RGPD

La réglementation des cookies dépend à la fois du RGPD et de la directive ePrivacy. Tout traceur non strictement nécessaire suppose un consentement préalable, libre, spécifique, éclairé. La CNIL contrôle activement ce point depuis 2021 et a déjà sanctionné Google, Amazon et Facebook sur ce fondement. Une bannière cookies sans véritable bouton de refus expose à une amende directe.

À retenir : ces cas particuliers méritent un avis circonstancié dès le projet, pas après son lancement. La régularisation a posteriori coûte plus cher que la conformité ex ante.

FAQ

Mon entreprise compte moins de dix salariés, suis-je vraiment concerné ?

Oui, intégralement. Le RGPD ne prévoit aucun seuil d'effectif. Une dispense relative existe pour le registre des traitements des entreprises de moins de 250 salariés, mais elle est si étroite que la CNIL recommande à toutes les entreprises de tenir un registre complet.

Faut-il demander le consentement pour traiter les données de mes clients ?

Pas nécessairement. L'exécution d'un contrat (article 6-1-b) suffit pour gérer la commande, la facturation et le service après-vente. Le consentement n'est requis que pour les traitements qui dépassent l'exécution du contrat, comme la prospection commerciale ou la mise à disposition à des tiers.

Qui peut être désigné DPO dans une petite entreprise ?

Le DPO peut être un salarié interne, un prestataire externe ou être mutualisé entre plusieurs entités. Il doit disposer d'une expertise juridique et informatique, ne pas être en conflit d'intérêts (donc pas le DSI dans une grande structure), et bénéficier d'un accès direct à la direction.

Quel délai pour répondre à une demande d'accès ou d'effacement ?

Un mois à compter de la demande, gratuitement. Le délai peut être étendu de deux mois supplémentaires en cas de complexité particulière, à condition d'en informer la personne dans le premier mois. Au-delà, la CNIL peut être saisie par la personne concernée.

Comment se préparer à un contrôle CNIL ?

Trois documents doivent être immédiatement disponibles : le registre des traitements, la politique de confidentialité, la liste des sous-traitants avec accords associés. Si ces trois pièces existent et tiennent la route, le contrôle se déroule généralement bien. Voir aussi notre article sur la médiation consommateur, autre obligation souvent jumelée.

Partager
EF
Emmanuelle Faure
Journaliste droit des affaires