lafabriquedunet
Contact

Préparez-vous dès maintenant au GDPR, le nouveau règlement européen en matière de protection des données personnelles

7 min de lecture
Mis-à-jour par Franck Mairot le 8 juillet 2025
Sommaire
Partager sur :

Thiébaut Devergranne est docteur en droit, et spécialisé sur les nouvelles technologies depuis plus de 12 ans. Il se propose de nous faire un brief pour nous préparer au « GDPR  » qui est en vigueur depuis mai 2018.

Le nouveau règlement européen en matière de protection des données personnelles – le GDPR – est un vrai sujet, qui va être un véritable challenge juridique à implémenter pour les entreprises. Et cela pour plusieurs raisons :

  1. Cette nouvelle règlementation concerne toutes les organisations (entreprises, administrations, associations, syndicats, PME, TPE….), dès lors que celles-ci traitent des données personnelles (un nom, un prénom – donc en pratique toutes les organisations).
  2. Elle est complexe et va être difficile à implémenter
  3. Elle prévoit des sanctions considérables en cas de non application (4% du CA global du groupe / 20 millions d’euros)
  4. Beaucoup d’acteurs pourront l’utiliser dans des contentieux (syndicats, partenaires sociaux, salariés licenciés, associations de consommateurs, associations protection de la vie privée, clients mécontents…).

 

A la différence de la règlementation ancienne en matière de protection des données personnelles – que globalement beaucoup d’organisations ne prenaient pas très au sérieux, de vraies sanctions ont ici été prévues.

On fera une courte présentation de certains des principaux éléments clés de la réforme avant de montrer 5 actions concrètes à mettre en oeuvre immédiatement qui vont permettre de limiter les risques juridiques de l’organisation, en tenant compte des pratiques et outils de conformité désormais largement adoptés en 2025.

Les principaux changements par la réforme du GDPR

De manière synthétique les objectifs de la réforme étaient les suivants :

  • Mettre en place de véritables sanctions dissuasives (20M€/4% CA global)
  • Utiliser un règlement en lieu et place d’une directive afin d’éviter d’avoir à transposer la règlementation en 27 lois différentes
  • Conserver l’architecture juridique établie par le droit antérieur et la renforcer (une grosse partie des obligations antérieures sont conservées dans le nouveau règlement)
  • Supprimer les déclarations CNIL – remplacées par l’obligation de tenir un registre interne des traitements, souvent géré via des outils spécialisés de gouvernance des données
  • Imposer de nouvelles obligations de sécurité comme la notification à la CNIL (ou à l’autorité compétente) en cas de violation des données personnelles dans les 72 heures – et la notification de la violation de sécurité aux personnes concernées, en s’appuyant sur des processus automatisés de gestion des incidents de sécurité, désormais largement intégrés dans les solutions de conformité.
  • Imposer une PIA (privacy impact assessment) – une étude d’impact sur la vie privée pour les traitements les plus sensibles
  • Renforcer les droits des personnes en imposant notamment de recueillir et de retracer le consentement au traitement des données personnelles
  • s’assurer d’une application très large du règlement à toute entité qui traite des données personnelles de personnes en Europe (en résumé – en droit les choses sont plus complexes)

 

 

5 actions concrètes à mettre en oeuvre dès maintenant

Voici donc 5 actions concrètes que vous pouvez mener dès maintenant pour commencer à mettre votre organisation en conformité :

1. Minimiser les données personnelles que vous collectez

C’est certainement le changement le plus important opéré par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter sur informatique que les données qui sont strictement nécessaires à vos objectifs.

Prenons un exemple pour clarifier les choses : votre organisation met en place une newsletter. Dans ces termes, le règlement impose alors de ne pas collecter des données autres que celles strictement nécessaires à l’envoi de cette newsletter. En pratique cela signifie qu’il ne sera possible que de collecter l’email de la personne concernée – éventuellement son prénom, mais ni son nom, ni son adresse, ni le fait que la personne soit un homme, ou une femme, ni ses coordonnées physiques. Car aucune de ces données n’est strictement nécessaire pour l’envoi de la newsletter (sauf à en justifier spécifiquement – ex : vous envoyez la newsletter par courrier postal…).

2. Mettre en place un registre de conformité

Une seconde obligation importante tient au fait de mettre en place un registre de conformité des traitements de données personnelles. En fait, d’un point de vue strictement juridique, le règlement prévoit une exception pour les petites organisations en dessous de 250 salariés (art. 30.5) – mais dans le même temps, le règlement impose également à ces chefs d’entreprise de s’assurer que le règlement est bien respecté dans son organisation (art. 5). Donc implicitement de lister tous les traitements de données personnelles qui sont mis en oeuvre et tracer l’état de leur conformité. Cela n’est pas très complexe à faire – généralement cela est mis en place au moyen d’une solution de gouvernance des données dédiée (Data Governance Platform), telles que OneTrust, DataGalaxy, Collibra ou des plateformes intégrées de PrivacyOps, qui sont de plus en plus adoptées pour automatiser, centraliser et orchestrer la gestion des registres de traitements et la conformité continue.

3. Évitez autant de traiter des données sensibles

Le règlement européen a une démarche très pragmatique centrée autour des risques. Il en résulte logiquement que certaines données – dites sensibles – comportent des contraintes juridiques plus importantes que d’autres (données de santé, données relatives aux origines raciales ou ethniques, données relatives à l’orientation sexuelle des personnes …).

Sauf à entrer dans un cas particulier (il existe 10 cas dans lesquels leur traitement est autorisé), par principe leur traitement est interdit.

4. Mettez en place vos mentions légales

Le règlement impose d’informer l’utilisateur dont vous collectez les données personnelles d’un certain nombre de mentions légales spécifiques.

Ces mentions sont importantes notamment en cela qu’elles montrent le niveau de maturité informatique et libertés d’une organisation. La CNIL et les autorités européennes de protection des données sont particulièrement vigilantes à ce que les mentions légales soient mises en place par le responsable du traitement, notamment dans le cadre des audits de conformité de plus en plus fréquents.

5. Assurez la sécurité des données personnelles

Enfin une obligation vitale que l’on ne peut ignorer tient à la sécurité des données, que le règlement est venu renforcer. Le texte n’entre pas dans les détails techniques des mesures à mettre en œuvre. Cependant, il impose de mettre en place des mesures de sécurité adaptées, en s’appuyant de plus en plus sur des cadres reconnus tels que l’ISO/IEC 27001:2022, les recommandations de l’ENISA, ainsi que sur des solutions de chiffrement avancé, d’authentification multifacteur (MFA) et de gestion centralisée des accès privilégiés (PAM), qui sont devenues des standards dans la sécurisation des données personnelles.

Conclusion

 

On a même pas effleuré la surface des obligations imposées par le GDPR et déjà on observe les challenges que représente sa conformité continue et son adaptation aux évolutions réglementaires. En tout état de cause, il est important de commencer dès maintenant à se sensibiliser au texte et à l’ensemble des obligations que les organisations vont devoir mettre en application.

Recevez nos actualités chaque semaine
Entrez votre adresse email et recevez chaque semaine les actualitésde La Fabrique du Net, rédigées par nos experts.

En vous inscrivant vous acceptez notre
politique de protection de données personnelles.

Nos autres articles en liens avec RGPD

RGPD
18 min
Rédiger les mentions légales de votre site Internet – Obligations et exemples
Par Franck Mairot , janvier 30 2023
RGPD
12 min
La CNIL déclare l’utilisation de Google Analytics illégale
Par Franck Mairot , avril 26 2022
Aucun commentaire
Historique
Nos experts mettent à jour nos articles lorsque de nouvelles informations sont disponibles.
  1. 8 juillet 2025
    Modifié par
    Cyrille ADAM
  2. 14 mai 2025
    Modifié par
    Franck Mairot
  3. 10 mai 2025
    Créé par
    Franck Mairot
Voir plus