La protection des données personnelles n’est plus un sujet réservé aux juristes ou aux grandes entreprises. Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018, chaque organisation qui collecte, traite ou stocke des informations relatives à des personnes physiques est directement concernée. Ce mode d’emploi juridique complet s’adresse aux entreprises, associations, indépendants et particuliers qui souhaitent comprendre leurs droits et leurs obligations sans se perdre dans la complexité des textes. Les enjeux sont réels : une non-conformité peut exposer à des sanctions financières sévères, sans compter les risques de réputation. Voici les bases juridiques indispensables pour agir en conformité avec la loi.
Ce que recouvre réellement la notion de données personnelles
La définition juridique est précise. Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette formulation, issue du RGPD, est plus large qu’on ne l’imagine au premier abord. Un nom, une adresse e-mail, un numéro de téléphone : voilà les exemples évidents. Mais une adresse IP, un identifiant de cookie, une localisation GPS ou même une photo entrent aussi dans cette catégorie dès lors qu’ils permettent d’identifier une personne, directement ou indirectement.
Le règlement distingue par ailleurs des catégories particulières de données, considérées comme sensibles en raison des risques qu’elles font peser sur les droits fondamentaux. Il s’agit notamment des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, les données génétiques, biométriques, de santé, ou encore celles concernant la vie sexuelle d’une personne. Leur traitement est en principe interdit, sauf exceptions strictement encadrées par le texte.
Une confusion fréquente mérite d’être dissipée : les données relatives aux personnes morales (sociétés, associations) ne relèvent pas du RGPD. Seules les personnes physiques bénéficient de cette protection. Cette distinction a des conséquences pratiques directes, notamment dans les relations B2B où les coordonnées d’un salarié restent des données personnelles, même si elles sont utilisées dans un contexte professionnel.
Le cadre légal applicable : RGPD, loi Informatique et Libertés, et articulations
Le RGPD constitue le texte de référence au niveau européen. Directement applicable dans tous les États membres depuis mai 2018, il s’articule avec la loi Informatique et Libertés du 6 janvier 1978, réformée en profondeur par la loi du 20 juin 2018. En France, c’est cette combinaison qui s’applique. La loi nationale précise certaines dispositions que le règlement laisse à l’appréciation des États, notamment en matière d’âge du consentement des mineurs (fixé à 15 ans en France) ou de traitement des données dans le cadre des ressources humaines.
Le principe de licéité du traitement est au cœur du dispositif. Pour traiter des données personnelles légalement, l’organisation doit s’appuyer sur l’une des six bases légales prévues par l’article 6 du RGPD : le consentement de la personne concernée, l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, l’exécution d’une mission d’intérêt public, ou l’intérêt légitime du responsable de traitement. Choisir la bonne base légale n’est pas une formalité : ce choix conditionne l’ensemble des droits exercés par les personnes concernées.
Le consentement mérite une attention particulière. Il doit être libre, spécifique, éclairé et univoque. Une case pré-cochée ne vaut pas consentement valable. Un accord donné sous la contrainte non plus. La CNIL, autorité de contrôle française, a publié des lignes directrices détaillées sur ce point, notamment concernant les cookies et les traceurs en ligne. Ces recommandations ont force quasi-normative dans les pratiques de mise en conformité.
Les obligations concrètes pesant sur les organisations
Toute organisation traitant des données personnelles endosse le rôle de responsable de traitement ou de sous-traitant, avec des responsabilités distinctes selon les cas. Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant agit pour son compte et doit signer un contrat spécifique encadrant ses obligations.
Les principales obligations à respecter sont les suivantes :
- Tenir un registre des activités de traitement, document interne listant tous les traitements de données réalisés par l’organisation
- Informer les personnes concernées de manière claire et accessible sur l’utilisation de leurs données (politique de confidentialité)
- Mettre en place des mesures de sécurité techniques et organisationnelles adaptées aux risques identifiés
- Notifier la CNIL en cas de violation de données dans un délai de 72 heures
- Désigner un délégué à la protection des données (DPO) lorsque cela est obligatoire (autorités publiques, traitements à grande échelle)
- Réaliser une analyse d’impact relative à la protection des données (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les personnes
Le principe de protection des données dès la conception (privacy by design) impose d’intégrer les exigences de protection dès la phase de développement d’un produit ou d’un service. Ce n’est plus une option rétrospective : la conformité se construit en amont, pas après coup.
Les droits des personnes : un arsenal juridique à connaître
Le RGPD accorde aux individus un ensemble de droits qu’ils peuvent exercer directement auprès des organisations traitant leurs données. Ces droits sont opposables et leur exercice doit être facilité par les responsables de traitement.
Le droit d’accès permet à toute personne d’obtenir confirmation que des données la concernant sont traitées, et d’en obtenir une copie. L’organisation dispose d’un mois pour répondre à cette demande, délai pouvant être prolongé de deux mois supplémentaires en cas de complexité. Le droit de rectification permet de corriger des données inexactes. Le droit à l’effacement, parfois appelé « droit à l’oubli », permet dans certaines conditions de demander la suppression de ses données.
Deux droits moins connus méritent d’être signalés. Le droit à la portabilité permet de récupérer ses données dans un format structuré et lisible par machine, afin de les transmettre à un autre prestataire. Ce droit ne s’applique qu’aux traitements fondés sur le consentement ou sur un contrat. Le droit d’opposition, quant à lui, permet de s’opposer à tout moment à un traitement fondé sur l’intérêt légitime, notamment à des fins de prospection commerciale. Dans ce cas précis, l’opposition est absolue et l’organisation ne peut pas la refuser.
L’exercice de ces droits est gratuit. Seules les demandes manifestement infondées ou excessives peuvent donner lieu à des frais raisonnables ou à un refus motivé. Seul un professionnel du droit peut conseiller une organisation sur la gestion de ces demandes dans des situations complexes.
Sanctions, recours et responsabilité : ce que risquent vraiment les contrevenants
Les sanctions prévues par le RGPD sont à deux niveaux. Pour les violations les plus graves (absence de base légale, non-respect des droits des personnes, transferts illicites hors UE), l’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour les manquements moins graves (registre absent, absence de DPO), le plafond est fixé à 10 millions d’euros ou 2 % du chiffre d’affaires.
La CNIL dispose d’un pouvoir de contrôle étendu : elle peut effectuer des vérifications sur place, en ligne ou sur pièces. Ses décisions sont rendues publiques, ce qui amplifie l’impact réputationnel d’une sanction. En 2023, plusieurs grandes entreprises ont été condamnées à des amendes dépassant plusieurs dizaines de millions d’euros pour des manquements aux règles sur les cookies ou le consentement.
Les personnes concernées disposent de voies de recours directes. Elles peuvent saisir la CNIL d’une plainte, engager une action en justice devant les tribunaux civils, ou mandater une association de défense des droits pour agir en leur nom. Le délai de prescription pour les actions en responsabilité est de deux ans à compter de la date à laquelle la personne a eu connaissance du dommage. Une violation de données peut donc engager la responsabilité civile d’une organisation longtemps après les faits.
La responsabilité pénale n’est pas absente du tableau. La loi Informatique et Libertés prévoit des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour certaines infractions, comme le traitement de données sans base légale ou l’entrave à l’action de la CNIL. Ces dispositions s’appliquent aux personnes physiques, dirigeants compris. La mise en conformité n’est donc pas seulement une question de gouvernance d’entreprise : elle engage directement les individus qui prennent les décisions.