Le règlement général sur la protection des données (RGPD) en questions/réponses - Fiche pratique
Publié le 5 mai 2025 | Mis à jour le 4 août 2025
Si vous êtes un organisme public, vous devez désigner un délégué à la protection des données (aussi nommé DPD ou DPO) en interne ou externalisé ou mutualisé. Ce DPO doit être formé, puis déclaré auprès de la Commission nationale de l'informatique et des libertés (Cnil). Cette fiche pratique répond aux questions les plus fréquentes sur le RGPD.
Que votre organisme soit public ou privé, si votre organisme traite des données dites « sensibles » (données de santé, données génétiques...) ou des données relatives aux condamnations pénales et aux infractions à grande échelle, et/ou effectue des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées, vous devez désigner un DPO en interne ou externalisé ou mutualisé. Ce DPO devra notamment avoir une bonne connaissance de la réglementation en matière de protection des données et être déclaré, une fois désigné par votre organisme, auprès de la Cnil.
En tout état de cause, il est recommandé de désigner et de former une personne référente pour animer la gestion des données personnelles.
Il s’agit d’identifier chaque traitement de données personnelles (par exemple : gestion du personnel) et de s’assurer de :
- La licéité du traitement et notamment que le traitement a un fondement juridique (ex : consentement, intérêt légitime...) ;
- La nature de l’ensemble des données personnelles traitées et notamment les données sensibles ;
- À quoi servent ces données (ce que vous en faites), c’est-à-dire la finalité du traitement, donc de l’utilisation de ces données ;
- Qui accède aux données ;
- À qui elles sont communiquées ;
- Combien de temps vous les conservez (en fonction de l’objectif de la collecte) ;
- S’assurer du respect des droits des personnes ;
- Comment leur sécurisation (données cryptées, coffre-fort…) est assurée en fonction de la nature du support (disque dur, serveur…).
- Et de consigner ces descriptions des traitements dans « un registre des activités de traitement ».
Ce registre doit être tenu à la disposition de la Cnil en cas de contrôle.
Il s’agit d’analyser les traitements concernés par les données recensées :
- Mes données sont-elles triées pour ne conserver que celles qui sont pertinentes selon la finalité de leur traitement ? (Je ne collecte pas des données « au cas où » mais seulement celles qui sont nécessaires au regard de la finalité de mon traitement) ;
- Mes données communiquées sont-elles maitrisées et strictement nécessaires à mon activité ? (Personnes destinataires habilitées, informations limitées, gestion des droits d’accès, sécurisation des données…) ?
- Mes données sont-elles détruites ou archivées au-delà des délais légaux de prescription ou des délais définis par les différentes obligations de conservation (contractuel, interne...) ?
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes portant notamment sur :
- L’identité du responsable (personne morale) du traitement ;
- La finalité du traitement ;
- Le caractère obligatoire ou facultatif des données ;
- Les destinataires des données ;
- Leurs droits (droit d’accès, de rectification, d’opposition, …) ;
- Les éventuels transferts de données vers des pays hors Union Européenne/ UE.
Pour d’autres mentions obligatoires : se référer au site de la Cnil ou à l’article 13 du RGPD.
Pour la collecte de données sensibles, vous êtes-vous posé la question du respect d’une des exceptions prévues par l’article 9.2 du RGPD, notamment si :
- La personne concernée a donné son consentement au traitement des informations la concernant ;
- Le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée...
Vos sous-traitants, au sens du RPGD, doivent vous donner les garanties nécessaires que les traitements de données qu’ils mettent en œuvre pour votre compte, sont bien réalisés en conformité avec le RGPD.
Vous pouvez transférer des données en dehors de l’UE, à condition d’assurer un niveau de protection des données suffisant et approprié.
Pour faciliter l’application du RGPD, sensibiliser vos collaborateurs :
- À la protection des données personnelles ;
- À l’exercice des droits des personnes et des délais de réponses à leur demande ;
- Aux procédures internes de la gestion de la protection des données personnelles (registre de traitements par exemple) et de leur mise à jour.
Cette analyse, aussi appelée analyse d’impact relative à la protection des données (AIPD) doit être effectuée et consignée dans un document, qui doit être tenu à la disposition de la CNIL en cas de contrôle. Cette analyse vous permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.
Ce plan peut comprendre par exemple, la sensibilisation des collaborateurs, les éventuelles nouvelles mesures de sécurisation des données, la mise à jour des documents pour l’information des personnes dont les données sont traitées…