qui est concerné par le rgpd

Par Sophie Henry business 10 min de lecture
qui est concerné par le rgpd

J’ai vu un fondateur de startup s’effondrer dans mon bureau l’an dernier parce qu’il pensait que sa petite structure de cinq personnes était "sous les radars" de la CNIL. Il venait de recevoir une mise en demeure après une plainte d'un ancien employé mécontent, suivie d'un audit qui a révélé que sa base de données client était une passoire. Il a dû stopper son activité pendant trois semaines pour tout remettre à plat, perdant au passage ses deux plus gros contrats qui exigeaient des garanties de conformité qu'il ne pouvait pas fournir. C'est le prix à payer quand on ne comprend pas précisément Qui Est Concerné Par Le RGPD dès le premier jour. Ce n'est pas une question de taille de bureau ou de chiffre d'affaires ; c'est une question de données. Si vous touchez à un nom, une adresse IP ou une plaque d'immatriculation d'un citoyen européen, vous êtes dans le viseur.

Le mythe de la petite entreprise invisible

L'erreur la plus fréquente que je rencontre, c'est de croire qu'il existe un seuil de revenus ou d'effectifs pour être soumis à la loi. C'est faux. Le règlement ne fait aucune distinction entre une multinationale et un auto-entrepreneur qui vend des bougies sur Instagram. Si vous collectez des informations permettant d'identifier une personne physique, vous tombez sous le coup de la loi.

Dans mon expérience, les dirigeants de PME pensent que la conformité est un luxe de riche. Ils se disent qu'ils s'en occuperont quand ils auront levé des fonds ou atteint le million d'euros. Le problème, c'est que la dette technique et juridique s'accumule. Nettoyer une base de données de 50 000 contacts acquise sans consentement explicite coûte dix fois plus cher que de bien faire les choses dès le début. J'ai vu des entreprises forcées de supprimer l'intégralité de leur liste d'e-mailing parce qu'elles ne pouvaient pas prouver l'origine du consentement. Zéro contact. Dix ans de travail à la poubelle en un clic parce qu'un contrôleur a pointé du doigt l'absence de registre.

La réalité du ciblage géographique

Une autre confusion majeure concerne l'emplacement de votre siège social. Beaucoup d'entreprises américaines ou suisses pensent échapper aux sanctions car elles n'ont pas de bureaux en France. C'est une erreur de calcul qui peut coûter jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Si votre site web est accessible en français, accepte l'euro et livre à Lyon ou Bruxelles, vous êtes dedans. La loi suit la personne dont les données sont traitées, pas l'entité qui les traite.

Identifier Qui Est Concerné Par Le RGPD au sein de vos outils tiers

On pense souvent que si on utilise des outils comme Google Analytics, Mailchimp ou Salesforce, la responsabilité repose sur eux. C'est une illusion dangereuse. Vous êtes le responsable de traitement, ils ne sont que des sous-traitants. Si Mailchimp a une fuite de données mais que vous n'avez pas signé d'accord de traitement de données avec eux, c'est vous qui portez le chapeau légal devant vos clients.

J'ai analysé le cas d'une agence de marketing qui transférait les fichiers clients de ses comptes sur un serveur FTP non sécurisé. Ils pensaient que c'était la faute de l'hébergeur. La CNIL a été très claire : l'agence n'avait pas vérifié les mesures de sécurité de son prestataire. Quand on cherche à savoir Qui Est Concerné Par Le RGPD, il faut regarder toute la chaîne logistique de la donnée. Chaque outil gratuit, chaque plugin WordPress que vous installez peut devenir le maillon faible qui fera s'écrouler votre crédibilité.

👉 Voir aussi : taxe couple non marié 2026

Le piège des prestataires externes

Vérifiez vos contrats. Si vous travaillez avec un développeur freelance qui a accès à votre base de données de production sans contrat de confidentialité spécifique au règlement européen, vous êtes en infraction. Ce n'est pas une mince affaire. En cas de contrôle, l'absence de contrats de sous-traitance est la première chose que les auditeurs vérifient. C'est simple, rapide à vérifier et ça rapporte gros en amendes.

L'erreur de l'externalisation totale au DPO

Engager un délégué à la protection des données ne vous dédouane pas de comprendre la mécanique. Trop de chefs d'entreprise signent un chèque à un consultant et pensent que le sujet est clos. Un DPO est un conseiller, pas un bouclier humain. Si vous prenez des décisions commerciales qui vont à l'encontre de ses recommandations pour "booster la croissance", vous assumez seul la responsabilité pénale et civile.

J'ai vu des boîtes dépenser 10 000 euros en audits pour ensuite ignorer 80 % des préconisations parce qu'elles trouvaient ça "trop contraignant pour le marketing". C'est de l'argent jeté par les fenêtres. La conformité n'est pas une case à cocher, c'est un changement de culture. Si votre équipe de vente continue de récupérer des leads sur LinkedIn via des outils d'extraction automatique sans informer les personnes, votre beau registre de traitement ne vaut rien.

Comparaison pratique du traitement des données

Voyons comment une situation banale peut basculer d'un risque majeur à une gestion saine. Imaginez une entreprise de logiciel qui organise un webinaire pour attirer des prospects.

L'approche risquée (ce que font la plupart des gens) : L'entreprise crée un formulaire d'inscription simple. Elle coche par défaut une case disant "J'accepte de recevoir des offres marketing". Une fois le webinaire terminé, elle télécharge la liste des 500 participants et l'injecte directement dans son outil de prospection commerciale. Les commerciaux commencent à appeler tout le monde dès le lendemain. Aucune mention de la durée de conservation des données n'est faite. Un an plus tard, ces données dorment toujours dans un fichier Excel partagé sur Slack.

📖 Article connexe : plateforme logistique le petit basque

L'approche conforme (ce qui protège votre business) : L'entreprise utilise un formulaire avec une case à cocher vide (pas de pré-cliquage). Elle indique clairement que les données seront utilisées pour l'accès au webinaire et, uniquement si l'utilisateur le souhaite, pour des informations futures. Elle précise que les données seront supprimées après 3 ans d'inactivité. Après l'événement, seules les personnes ayant donné un consentement spécifique sont intégrées au CRM. Un accord de sous-traitance existe avec la plateforme de webinaire. Le fichier Excel temporaire est supprimé dès l'importation réussie. En cas d'audit, l'entreprise montre une trace horodatée du consentement de chaque prospect.

La différence ne se voit pas sur le chiffre d'affaires immédiat. Elle se voit le jour où un client demande la suppression de ses données ou lorsqu'une faille de sécurité expose votre serveur. Dans le premier cas, vous êtes incapable de dire où se trouve l'information. Dans le second, vous avez une procédure de réponse aux incidents prête en 72 heures.

La confusion entre données personnelles et données sensibles

Une erreur qui coûte cher consiste à penser que si on ne traite pas de numéros de sécurité sociale ou de données de santé, on n'est pas vraiment exposé. Le règlement protège tout ce qui identifie quelqu'un. Un simple identifiant de cookie ou une adresse e-mail professionnelle est une donnée personnelle.

J'ai travaillé avec un site de e-commerce qui ne demandait que l'e-mail et le nom pour envoyer une newsletter. Ils pensaient que c'était bénin. Mais ils utilisaient un outil de tracking qui enregistrait les mouvements de souris et les pages consultées sans consentement préalable. Résultat : ils collectaient des données comportementales massives sans base légale. La sanction n'a pas porté sur les e-mails, mais sur le tracking invisible. On ne peut pas se cacher derrière la simplicité apparente des données collectées.

La durée de conservation, le grand oublié

Garder des données "au cas où" est l'habitude la plus difficile à briser. La plupart des entreprises que j'accompagne ont des bases de données qui remontent à 2012. Or, la loi impose de définir une durée de fin de vie. Si vous gardez les coordonnées d'un client qui n'a rien acheté depuis 5 ans sans justification valable, vous êtes en tort. C'est un risque inutile : plus vous stockez de données anciennes, plus la facture sera salée en cas de rançongiciel. Un pirate ne peut pas voler ce que vous avez déjà supprimé.

💡 Cela pourrait vous intéresser : marché de noël pau 2024

La fausse sécurité du chiffrement

On me dit souvent : "Mes données sont chiffrées sur AWS, donc je suis conforme." C'est une confusion entre sécurité informatique et conformité juridique. Le chiffrement est une excellente mesure technique, mais il ne justifie pas la collecte illégale. Si vous n'avez pas le droit de posséder une information, le fait qu'elle soit enfermée dans un coffre-fort numérique ne change rien à l'infraction.

Le chiffrement ne vous dispense pas d'informer les utilisateurs de leurs droits. Il ne vous dispense pas de leur permettre d'accéder à leurs données ou de les porter vers un concurrent. J'ai vu des ingénieurs très compétents construire des systèmes ultra-sécurisés qui étaient des cauchemars juridiques parce qu'ils n'avaient prévu aucune interface pour que l'utilisateur puisse exercer son droit à l'oubli de manière autonome.

Vérification de la réalité

Soyons honnêtes : être à 100 % conforme au RGPD en permanence est un idéal que presque personne n'atteint parfaitement. C'est une cible mouvante. Les technologies évoluent, la jurisprudence change et vos processus internes dérivent naturellement vers le chaos.

Si vous cherchez un raccourci, il n'existe pas. Installer un bandeau cookie ne suffit pas. Acheter un pack de documents juridiques sur une plateforme obscure ne vous protègera pas devant un juge si vos pratiques réelles sont contraires à ce qui est écrit. La réalité, c'est que la conformité demande du temps de cerveau, une maintenance régulière et, parfois, le courage de dire non à une opportunité marketing trop agressive.

Vous n'avez pas besoin d'être parfait, mais vous devez être capable de prouver votre bonne foi et votre démarche de progrès. Cela signifie avoir un registre à jour, des contrats signés avec vos prestataires et une conscience claire de l'endroit où circulent vos données. Le risque n'est pas seulement l'amende administrative ; c'est la perte de confiance de vos partenaires commerciaux qui, eux, prennent ces sujets très au sérieux et n'hésiteront pas à résilier votre contrat pour se protéger. Le RGPD est devenu un critère de sélection commerciale avant d'être une contrainte légale. Si vous ne pouvez pas répondre à un questionnaire de sécurité de 50 pages envoyé par un futur grand client, vous avez déjà perdu la vente.

Liste de contrôle immédiate pour limiter les dégâts :

  • Listez tous les logiciels et services cloud qui touchent vos données clients.
  • Vérifiez si vous avez un document écrit (DPA) avec chacun d'entre eux.
  • Supprimez toutes les données de prospects qui n'ont pas ouvert un de vos e-mails depuis plus de deux ans.
  • Testez votre procédure de récupération des données : pouvez-vous extraire toutes les infos d'un utilisateur spécifique en moins de 48 heures ?

Si vous ne pouvez pas répondre oui à ces quatre points, vous jouez avec le feu. La CNIL a augmenté ses contrôles simplifiés ces dernières années, et ils ne ciblent plus uniquement les géants de la tech. Vous êtes prévenu.

SH

Sophie Henry

Grâce à une méthode fondée sur des faits vérifiés, Sophie Henry propose des articles utiles pour comprendre l'actualité.

Articles associés

Le Marché de l'Abonnement Grand Public Connaît une Mutation Face au Durcissement des Régulations Européennes

Le Marché de l'Abonnement Grand Public Connaît une Mutation Face au Durcissement des Régulations Européennes
ani - kebab - falafel - baklava

ani - kebab - falafel - baklava
exemple de la lettre de change

exemple de la lettre de change
decathlon essentiel chambéry rue de borolan chambéry

decathlon essentiel chambéry rue de borolan chambéry