Quelle est la différence entre RGPD et CNIL ?

Le RGPD (Règlement Général sur la Protection des Données) est le texte de loi européen entré en vigueur en mai 2018. La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle française chargée de veiller à son application en France.

Doit-on obligatoirement avoir une bannière cookies ?

Oui, si votre site dépose des cookies ou traceurs non strictement nécessaires à son fonctionnement (analytics, publicité, réseaux sociaux...). La bannière doit permettre d'accepter ou de refuser les cookies de façon aussi simple l'une que l'autre.

Qu'est-ce qu'une base légale RGPD ?

Tout traitement de données personnelles doit reposer sur une base légale : consentement de la personne, exécution d'un contrat, obligation légale, intérêt légitime, mission d'intérêt public ou protection des intérêts vitaux. Vous devez identifier et documenter la base légale de chacun de vos traitements.

Combien de temps peut-on conserver des données clients ?

Cela dépend de la finalité. En général : données clients actifs = durée de la relation + 3 ans de prospection. Données de prospects non convertis = 3 ans max. Données de facturation = 10 ans (obligation comptable). Logs de connexion = 12 mois max.

Que risque-t-on en cas de violation de données (fuite, piratage) ?

Toute violation de données doit être notifiée à la CNIL dans les 72 heures si elle présente un risque pour les droits des personnes. En cas de risque élevé, les personnes concernées doivent également être informées. Ne pas notifier est une infraction supplémentaire pouvant aggraver la sanction.

Guide officiel — mis à jour 2026

Le guide RGPD complet
pour les PME françaises

Q: Le RGPD s'applique-t-il aux TPE et artisans ?

Oui. Le RGPD s'applique à tout organisme, quelle que soit sa taille, dès lors qu'il traite des données personnelles de résidents de l'Union européenne. Un artisan qui conserve les adresses email de ses clients est soumis au RGPD.

Définition, principes fondamentaux, droits des personnes, sanctions CNIL et checklist pratique. Tout ce que vous devez savoir pour être en conformité.

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données), ou GDPR en anglais (General Data Protection Regulation), est un règlement européen entré en application le 25 mai 2018. Il remplace la directive européenne de 1995 et harmonise la législation sur la protection des données personnelles dans tous les États membres de l'Union européenne.

Le RGPD vise à donner aux individus le contrôle de leurs données personnelles et à simplifier l'environnement réglementaire des entreprises en unifiant la réglementation au sein de l'UE.

Date d'entrée en vigueur

25 mai 2018

Portée géographique

Toute l'Union européenne

Autorité française

CNIL

Article 5 du RGPD

Les 7 principes fondamentaux du RGPD

Tout traitement de données personnelles doit respecter ces 7 principes. Leur non-respect peut entraîner des sanctions de la CNIL.

Principe 1

Licéité, loyauté et transparence

Les données doivent être traitées de manière licite, loyale et transparente vis-à-vis des personnes concernées.

Principe 2

Limitation des finalités

Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

Principe 3

Minimisation des données

Seules les données strictement nécessaires à la finalité poursuivie doivent être collectées.

Principe 4

Exactitude

Les données doivent être exactes et tenues à jour. Les données inexactes doivent être effacées ou rectifiées.

Principe 5

Limitation de la conservation

Les données ne doivent pas être conservées plus longtemps que nécessaire à la finalité.

Principe 6

Intégrité et confidentialité

Les données doivent être protégées contre tout accès non autorisé, perte ou destruction.

Principe 7

Responsabilité (Accountability)

Le responsable du traitement doit être capable de démontrer sa conformité au RGPD à tout moment.

Qui est concerné par le RGPD ?

Le RGPD s'applique à tout organisme — entreprise, association, collectivité, administration — qui traite des données personnelles de résidents de l'Union européenne, qu'il soit établi dans l'UE ou non.

Entreprises établies dans l'UE

Quelle que soit leur taille (TPE, PME, grand groupe), dès qu'elles traitent des données personnelles.

Entreprises hors UE

Si elles offrent des biens ou services à des résidents UE, ou surveillent le comportement de personnes dans l'UE.

Associations et ONG

Dès qu'elles collectent des données de membres, bénévoles, donateurs ou bénéficiaires.

Administrations publiques

Communes, hôpitaux, établissements scolaires — toutes les entités publiques sont soumises au RGPD.

Articles 15 à 22 du RGPD

Les droits des personnes

Le RGPD confère aux individus un ensemble de droits sur leurs données personnelles. Les entreprises ont l'obligation d'y répondre dans un délai d'un mois.

Droit d'accès

Toute personne peut obtenir une copie des données personnelles qui la concernent.

Droit de rectification

Correction des données inexactes ou incomplètes.

Droit à l'effacement

Aussi appelé « droit à l'oubli » : suppression des données dans certains cas prévus par la loi.

Droit à la portabilité

Récupération de ses données dans un format lisible par machine pour les transférer à un autre service.

Droit d'opposition

S'opposer au traitement de ses données, notamment à des fins de prospection.

Droit à la limitation

Gel temporaire du traitement des données dans l'attente d'une vérification.

Sanctions et amendes CNIL

Niveau 1 — Infractions courantes

2% ou 10 M€

Du chiffre d'affaires mondial annuel ou 10 millions d'euros, le montant le plus élevé étant retenu.

Ex. : absence de bannière cookies, politique de confidentialité non conforme

Niveau 2 — Infractions graves

4% ou 20 M€

Du chiffre d'affaires mondial annuel ou 20 millions d'euros, le montant le plus élevé étant retenu.

Ex. : violation des droits des personnes, transferts illicites hors UE

Exemples réels de sanctions

Google LLC2022

Refus des cookies aussi complexe qu'accepter

150 M€

Amazon Europe Core2021

Ciblage publicitaire sans consentement valide

746 M€

Carrefour France2021

Manquements à l'information et droits des personnes

3,05 M€

Doctissimo2022

Cookies déposés sans consentement préalable

380 000€

Source : CNIL — registre public des délibérations · Voir toutes les décisions

Checklist RGPD pour les PME

8 points essentiels à vérifier pour être en conformité avec le RGPD. Un manquement sur l'un d'eux peut suffire à déclencher une procédure CNIL.

Bannière cookies conforme (consentement explicite, refus aussi simple qu'accepter)

Politique de confidentialité claire, accessible et à jour

Mentions légales complètes (éditeur, hébergeur, SIRET)

Registre des traitements de données tenu à jour

Nomination d'un DPO si activité l'exige (ou DPO externe mutualisé)

Contrats de sous-traitance avec vos prestataires traitant des données

Procédures pour répondre aux droits des personnes (délai max 30 jours)

Mesures de sécurité adaptées (chiffrement, accès restreints, mises à jour)

Vérifiez votre conformité en 30 secondes

Notre outil analyse automatiquement votre site pour détecter les points de non-conformité et calculer les sanctions encourues.

Questions fréquentes

FAQ RGPD

Les questions les plus posées sur le RGPD par les dirigeants de PME.

Votre site est-il conforme au RGPD ?

Scannez votre site gratuitement en 30 secondes. Notre outil analyse cookies, trackers, pages légales et calcule vos risques CNIL.

Résultat immédiat · Sans inscription · 100% gratuit

Le guide RGPD completpour les PME françaises