Obligations RGPD

Obligations RGPD des entreprises — Checklist complète 2026

Registre des traitements, DPO, analyse d'impact, notification des violations, consentement, sous-traitance : toutes les obligations du RGPD réunies dans une checklist structurée et actionnable.

Voir la checklist Vérifier ma conformité

Les obligations fondamentales du RGPD

Le RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018, impose un ensemble d'obligations concrètes à toute organisation qui collecte ou traite des données personnelles de résidents européens.

Ces obligations reposent sur un principe central : l'accountability (responsabilité). Il ne suffit pas d'être conforme au RGPD : il faut être capable de le démontrer à tout moment, preuves à l'appui. C'est un changement de paradigme par rapport à l'ancienne directive de 1995 qui reposait sur un système déclaratif auprès de la CNIL.

Le cadre juridique en France combine le RGPD (règlement européen d'application directe) et la loi Informatique et Libertés modifiée (loi du 6 janvier 1978, mise à jour en 2018 et 2019). La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle chargée de veiller au respect de ces textes.

Pour une présentation complète du règlement, de ses principes et de son champ d'application, consultez notre guide Comprendre le RGPD. La présente page se concentre sur les obligations opérationnelles : ce que vous devez concrètement faire pour être en conformité.

Checklist des obligations RGPD

Les 10 obligations incontournables que toute organisation doit respecter. Chaque point renvoie à l'article du RGPD correspondant.

1. Registre des traitements (art. 30)

Le registre des traitements est le document central de votre conformité. Il répertorie toutes les activités de traitement de données personnelles : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité, transferts hors UE. Il doit être tenu à jour et mis à disposition de la CNIL sur demande. En pratique, toute entreprise y est soumise, car l'exemption « moins de 250 salariés » ne s'applique que si les traitements sont occasionnels — ce qui exclut la gestion courante (paie, clients, marketing).

2. Délégué à la protection des données (art. 37-39)

Le DPO (Data Protection Officer) est obligatoire dans trois cas : organismes publics, activités impliquant un suivi régulier et systématique de personnes à grande échelle, et traitement de données sensibles à grande échelle. Même quand il n'est pas obligatoire, le DPO est fortement recommandé. Il peut être interne, externalisé ou mutualisé. Sa mission : informer, conseiller, contrôler la conformité et servir de point de contact avec la CNIL.

3. Analyse d'impact — AIPD (art. 35)

L'analyse d'impact relative à la protection des données (AIPD ou DPIA en anglais) est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Exemples : vidéosurveillance, scoring, profilage, biométrie, géolocalisation de salariés. La CNIL a publié une liste de traitements nécessitant systématiquement une AIPD. Elle doit être réalisée avant la mise en œuvre du traitement.

4. Notification des violations (art. 33-34)

En cas de violation de données (fuite, piratage, perte, accès non autorisé), le responsable de traitement doit notifier la CNIL dans les 72 heures suivant la découverte de l'incident. Si le risque est élevé pour les personnes concernées, celles-ci doivent également être informées sans délai injustifié. Un registre interne des violations doit être tenu, documentant chaque incident, ses effets et les mesures correctives.

5. Privacy by Design (art. 25)

La protection des données doit être intégrée dès la conception des produits, services et systèmes d'information (Privacy by Design), et par défaut (Privacy by Default). Concrètement : collectez le minimum de données nécessaires, désactivez par défaut les options intrusives, pseudonymisez quand c'est possible, intégrez des durées de conservation dès la conception. Ce principe s'applique à tout nouveau projet.

6. Consentement (art. 6-7)

Lorsque le traitement repose sur le consentement, celui-ci doit être libre, spécifique, éclairé et univoque. Pas de case pré-cochée, pas de consentement groupé, pas de consentement forcé (conditionner un service au consentement marketing est interdit). La preuve du consentement doit être conservée. Le retrait doit être aussi simple que l'octroi. Attention : le consentement n'est pas toujours la base légale la plus adaptée (contrat, intérêt légitime, obligation légale sont parfois plus pertinents).

7. Sous-traitance (art. 28)

Tout contrat avec un sous-traitant qui traite des données pour votre compte doit inclure des clauses contractuelles spécifiques : objet et durée du traitement, nature et finalité, catégories de données, obligations du sous-traitant (sécurité, confidentialité, restitution/suppression), conditions de sous-traitance ultérieure, droit d'audit. Les sous-traitants ont eux-mêmes des obligations propres au titre du RGPD.

8. Information des personnes (art. 13-14)

Les personnes concernées doivent être informées de manière claire, concise et accessible lors de la collecte de leurs données. Les informations obligatoires incluent : identité du responsable de traitement, finalités et base légale, destinataires, durée de conservation, droits de la personne, coordonnées du DPO, transferts hors UE, droit d'introduire une réclamation auprès de la CNIL. Ces informations figurent généralement dans la politique de confidentialité et les mentions légales.

9. Sécurité des données (art. 32)

Le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque : chiffrement des données, contrôle d'accès, pseudonymisation, sauvegardes régulières, tests de sécurité, procédures de restauration. Le niveau de sécurité doit être proportionné à la sensibilité des données traitées. La CNIL publie régulièrement des recommandations (authentification, journalisation, gestion des clés, etc.).

10. Documentation et accountability

L'ensemble de votre démarche doit être documenté : registre des traitements, AIPD, politiques internes, contrats sous-traitants, preuves de consentement, registre des violations, formations des collaborateurs, procédures d'exercice des droits. En cas de contrôle, la CNIL demandera à consulter cette documentation. Un outil comme Dativo centralise l'ensemble de ces éléments et vous permet de produire les preuves nécessaires en quelques clics.

Comment vérifier votre conformité

Vous ne savez pas par où commencer ? Voici une approche méthodique en 5 étapes pour évaluer votre niveau de conformité et identifier les actions prioritaires.

1. Cartographier vos traitements

Listez tous les traitements de données personnelles de votre organisation : fichier clients, paie, recrutement, vidéosurveillance, site web (cookies, formulaires), CRM, emailing, comptabilité. Pour chaque traitement, identifiez la finalité, la base légale, les catégories de données, les destinataires et la durée de conservation. Cette cartographie constitue la matière première de votre registre.

2. Identifier les traitements à risque

Parmi vos traitements, certains nécessitent une attention particulière : données sensibles (santé, opinions syndicales, biométrie), surveillance systématique (vidéosurveillance, géolocalisation), profilage, données de mineurs. Ces traitements peuvent nécessiter une analyse d'impact (AIPD) préalable. Vérifiez la liste publiée par la CNIL.

3. Vérifier votre information

Votre politique de confidentialité est-elle à jour et conforme ? Vos mentions légales incluent-elles les informations requises ? Vos formulaires de collecte (web, papier) mentionnent-ils la finalité, la base légale et les droits des personnes ? Vérifiez également le bandeau cookies de votre site web et les mécanismes de consentement (newsletter, prospection commerciale).

4. Auditer vos sous-traitants

Listez tous les prestataires qui traitent des données pour votre compte : hébergeur, éditeur de logiciel SaaS, cabinet comptable, agence marketing, prestataire de paie. Vérifiez que chaque contrat contient les clauses RGPD obligatoires (article 28). Contrôlez la localisation des données : si un sous-traitant héberge des données hors de l'Union européenne, des garanties supplémentaires sont nécessaires (clauses contractuelles types, décisions d'adéquation).

5. Évaluer votre sécurité

Vérifiez vos mesures de sécurité : politique de mots de passe, gestion des accès (principe du moindre privilège), chiffrement (données au repos et en transit), sauvegardes (test de restauration), mises à jour logicielles, sensibilisation des collaborateurs. Avez-vous une procédure en cas de violation de données ? Les sanctions RGPD récentes montrent que les défauts de sécurité sont l'un des manquements les plus sanctionnés.

Les droits des personnes : une obligation transversale

Au-delà des obligations de documentation et de sécurité, le RGPD impose de respecter les droits des personnes sur leurs données. Cette obligation irrigue l'ensemble de votre démarche de conformité.

Le RGPD confère 8 droits fondamentaux aux personnes physiques : droit d'accès, de rectification, d'effacement (« droit à l'oubli »), de limitation, de portabilité, d'opposition, droit lié aux décisions automatisées et droit à l'information.

En pratique, votre organisation doit être capable de :

  • Recevoir et traiter les demandes dans un délai d'un mois (prolongeable d'un mois en cas de complexité).
  • Vérifier l'identité du demandeur pour éviter toute divulgation à un tiers.
  • Fournir les données dans un format structuré et lisible (CSV, JSON, PDF).
  • Supprimer les données à la demande, sauf obligation légale de conservation (comptabilité, archives publiques).
  • Documenter chaque demande et la réponse apportée dans un registre interne.

Un outil comme Dativo centralise ces demandes, suit les délais et génère les courriers de réponse types, vous assurant de ne manquer aucune échéance.

Questions fréquentes sur les obligations RGPD

Les principales obligations sont : tenir un registre des traitements (article 30), désigner un DPO si nécessaire (article 37), réaliser des analyses d'impact pour les traitements à risque (article 35), notifier les violations de données sous 72 heures (article 33), obtenir un consentement valide quand applicable, encadrer la sous-traitance (article 28), informer les personnes concernées (articles 13-14) et garantir la sécurité des données (article 32).

En pratique, oui. L'article 30 prévoit théoriquement une exemption pour les organisations de moins de 250 salariés, mais uniquement si les traitements sont occasionnels, ne portent pas sur des données sensibles et ne présentent pas de risque pour les droits des personnes. Ces conditions excluent la quasi-totalité des entreprises : la gestion de la paie, d'un fichier clients ou d'un site web avec formulaire constitue un traitement régulier (non occasionnel). La CNIL recommande d'ailleurs à toute organisation de tenir un registre.

La désignation d'un DPO est obligatoire dans trois cas : pour les autorités et organismes publics (communes, hôpitaux, universités), pour les organisations dont l'activité de base implique un suivi régulier et systématique de personnes à grande échelle (plateformes en ligne, sociétés de marketing), et pour celles qui traitent des données sensibles ou relatives aux condamnations pénales à grande échelle (hôpitaux, assureurs). En dehors de ces cas, la désignation reste vivement recommandée par la CNIL.

En cas de violation (fuite, piratage, perte, accès non autorisé), vous devez : 1) documenter l'incident dans votre registre interne des violations, 2) notifier la CNIL dans les 72 heures via le téléservice dédié (sauf si la violation ne présente aucun risque), 3) informer les personnes concernées si le risque est élevé pour leurs droits et libertés (par email, courrier ou avis public). Préparer en amont une procédure de gestion des violations est essentiel pour réagir dans les délais.

Commencez par vérifier les fondamentaux : avez-vous un registre des traitements à jour ? Vos mentions légales et votre politique de confidentialité sont-elles conformes ? Le consentement est-il recueilli correctement ? Les contrats sous-traitants incluent-ils des clauses RGPD (article 28) ? Les droits des personnes sont-ils respectés (procédure de réponse, délais) ? Avez-vous une politique de sécurité documentée ? Un outil comme Dativo vous guide dans cette vérification étape par étape, avec un tableau de bord de conformité qui identifie vos points forts et vos lacunes.

Vérifiez votre conformité RGPD dès aujourd'hui

Registre, documentation, droits des personnes, sécurité : Dativo centralise toutes vos obligations RGPD en un seul outil et vous guide pas à pas vers la conformité.

Essayer Dativo gratuitement