Le RGPD en entreprise (Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018) impose des obligations précises à toute organisation qui collecte, traite ou stocke des données personnelles de personnes se trouvant dans l'Union européenne. Ces obligations s'appliquent quelle que soit la localisation du siège social de l'entreprise : une entreprise américaine qui cible des consommateurs français est soumise au RGPD.
Les obligations fondamentales pour les entreprises
Toute entreprise doit tenir un registre des activités de traitement recensant les finalités de chaque traitement, les catégories de données traitées, les destinataires et les durées de conservation. Ce registre doit être tenu à jour et présenté à la CNIL sur demande. Chaque traitement doit reposer sur une base légale parmi celles prévues par l'article 6 du RGPD : consentement, exécution d'un contrat, obligation légale, intérêt légitime ou mission d'intérêt public. Le consentement, souvent surévalué comme base légale, n'est pas toujours la solution la plus adaptée.
Les droits des personnes et leur exercice
La protection des données personnelles passe par le respect des droits des personnes concernées : droit d'accès, de rectification, d'effacement (droit à l'oubli), de portabilité et d'opposition. L'entreprise dispose d'un mois pour répondre à toute demande d'exercice de ces droits. En cas de violation de données (fuite, ransomware, accès non autorisé), la notification à la CNIL est obligatoire dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.
Les sanctions de la non-conformité RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La CNIL a infligé plusieurs amendes significatives depuis 2018 : 50 millions d'euros à Google LLC en 2019, 60 millions à Facebook en 2022, 100 millions à Amazon en 2023. La conformité RGPD n'est pas un projet ponctuel mais une démarche continue qui implique la mise à jour régulière du registre des traitements, la formation des équipes et la réalisation d'analyses d'impact pour les traitements à risque.
