CONFORMITÉ RGPD EN 2025 : CE QUE DOIVENT SAVOIR LES TPE ET PME
Entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) harmonise les règles applicables au traitement des données personnelles dans l’ensemble de l’Union européenne.
Il poursuit trois objectifs majeurs : garantir la protection des droits des individus, responsabiliser les acteurs qui collectent ou traitent des données personnelles et renforcer l’efficacité de la régulation grâce à une coopération accrue entre les autorités de contrôle.
Plusieurs années après l’entrée en vigueur du RGPD, la notion de « donnée personnelle » reste encore mal appréhendée, en particulier dans les très petites entreprises (TPE) et les petites et moyennes entreprises (PME), où elle peut sembler abstraite.
Une compréhension précise de ces notions est pourtant essentielle pour garantir une conformité effective et durable au RGPD.
Par ailleurs, l’émergence rapide de l’intelligence artificielle, l’adoption massive du travail hybride ainsi que la multiplication des outils numériques génèrent de nouveaux risques pour la protection des données et complexifient davantage la tâche des petites structures.
Face à ces enjeux, la Commission européenne a proposé en 2025 des mesures visant à réduire la charge administrative, notamment par des allègements ciblés tels que la simplification de la tenue des registres des traitements et des seuils relevés pour certaines obligations. Ces propositions n’ont pas encore été adoptées.
Dans cet article, nous revenons sur les principales obligations de conformité qui s’imposent aux petites et moyennes structures, ainsi que sur les perspectives d’évolution à la lumière des propositions de la Commission européenne.
1. Comprendre la notion de “ donnée personnelle ”
La Commission nationale de l’informatique et des libertés (CNIL), définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
L’identification d’une personne peut se faire de deux manières :
- Identification directe : par le nom et le prénom, qui permettent de reconnaître immédiatement la personne concernée.
- Identification indirecte : par des éléments tels qu’un numéro de téléphone, un numéro de sécurité sociale, une adresse postale ou un courriel.
Le traitement de données personnelles désigne toute opération réalisée sur ces données, qu’il s’agisse de leur collecte, enregistrement, organisation, conservation, modification, consultation, diffusion ou suppression.
À titre d’exemple, la tenue d’un fichier client ou fournisseur, la collecte des coordonnées de prospects via un formulaire ou un questionnaire, ou encore la mise à jour régulière des informations personnelles des employés ou partenaires constituent des traitements de données personnelles.
Le traitement ne se limite pas aux fichiers numériques, les fichiers papiers contenant des informations personnelles sont eux aussi concernés par le RGPD
et doivent être protégés selon les mêmes règles de sécurité
et de confidentialité.
2. Quelles sont les entreprises concernées par le RGPD ?
Le RGPD concerne toutes les entreprises, organisations et administrations qui collectent, utilisent ou traitent des données personnelles de personnes situées dans l’Union européenne, quelle que soit leur taille, leur secteur d’activité ou leur lieu d’implantation.
Cela inclut à la fois les responsables de traitement, c’est-à-dire ceux qui déterminent les finalités et les moyens du traitement, et les sous-traitants, qui traitent les données pour le compte d’un responsable de traitement.
Autrement dit, les obligations du RGPD s’appliquent notamment à :
- toute entité qui collecte des données personnelles (nom, e-mail, adresse, données de santé, etc.) dans le cadre de ses activités ;
- les organisations qui les exploitent à des fins commerciales, RH, marketing ou de gestion interne ;
- les prestataires qui traitent, stockent et gèrent ces données au nom de leurs clients ;
- les entreprises européennes, ainsi que les entreprises situées hors UE dès lors qu’elles ciblent des personnes dans l’Union européenne.
3.Comprendre et appliquer les principes clés du RGPD
Le RGPD repose sur six principes fondamentaux qui encadrent tout traitement de données personnelles de personnes physiques :
- Licéité et transparence du traitement des données à caractère personnel
Tout traitement de données à caractère personnel doit être licite, loyal et transparent.
Une organisation ne peut traiter les données personnelles d’une personne que si ce traitement repose sur une base légale valable, telle que : le consentement explicite de la personne, la nécessité du traitement pour l’exécution d’un contrat, ou toute autre base juridique prévue par l’article 6 du RGPD.
Le consentement, lorsqu’il est la base du traitement, doit être donné de manière libre, éclairée, spécifique et sans ambiguïté, et ce avant le début du traitement. Les individus doivent également avoir la possibilité de retirer leur consentement à tout moment, de manière simple et claire, sans subir de conséquences négatives.
À titre d’exemple, l’entreprise qui souhaite collecter les coordonnées d’un client pour lui envoyer des offres promotionnelles par email, doit obtenir son consentement explicite avant tout envoi, expliquer clairement l’usage qui sera fait de ses données, et lui permettre de se désinscrire facilement à tout moment.
- Limitation de la collecte et de l’usage des données personnelles
Le traitement de ces données doit rester strictement limité aux objectifs initialement établis, et il est interdit de les utiliser pour des finalités ultérieures ou incompatibles avec celles prévues au moment de la collecte.
Par exemple, une entreprise qui collecte les coordonnées d’un client pour l’envoi d’une newsletter ne peut pas utiliser ces informations à d’autres fins, comme proposer des offres commerciales non liées ou les transmettre à des tiers, sans obtenir au préalable un consentement explicite.
(Article 5, paragraphe 1, points b et c du RGPD).
- Minimisation des données
Le principe de minimisation prévoit que seules les données à caractère personnel strictement nécessaires doivent être collectées et traitées. Ces données doivent être adéquates et pertinentes et limitées par rapport aux objectifs poursuivis, afin d’éviter toute collecte excessive ou inutile.
Par exemple, une entreprise organise un concours en ligne, il suffit de demander le nom et l’adresse e-mail des participants pour gérer leur participation et les contacter en cas de gain. Collecter des informations supplémentaires comme la date de naissance, l’adresse postale complète ou des données professionnelles serait excessif et contraire au principe de minimisation.
(Article 5, paragraphe 1, point c du RGPD)
- Exactitude des données personnelles
Les données personnelles traitées par une organisation doivent être exactes et, si nécessaire, régulièrement mises à jour. Toutes les mesures raisonnables doivent être prises pour s’assurer que les informations inexactes, au regard des finalités pour lesquelles elles sont collectées, soient corrigées ou supprimées sans délai.
(Article 5, paragraphe 1, point d du RGPD)
- Limitation de la conservation
Le stockage des données personnelles doit être limité dans le temps et correspondre strictement aux finalités pour lesquelles ces données ont été collectées et traitées. Une fois ces finalités atteintes ou lorsque les données ne sont plus nécessaires, elles doivent être supprimées ou rendues anonymes.
Dans ce sens, toute organisation devrait définir une politique interne de conservation des données, précisant combien de temps chaque type de données est conservé, et mettre en place une procédure claire de suppression ou d’anonymisation.
Par exemple, si une entreprise conserve les informations des participants à un concours, les coordonnées doivent être supprimées ou anonymisées quelques semaines après la fin du concours, une fois que les gagnants ont été contactés et les prix distribués.
(Article 5, paragraphe 1, point e RGDP)
- Sécurité des données personnelles
Le traitement des données personnelles doit être effectué de manière sécurisée, afin de protéger la confidentialité, l’intégrité et la disponibilité des informations des personnes concernées. Les organisations doivent mettre en place des mesures techniques et organisationnelles appropriées, proportionnées aux risques liés au traitement, conformément au RGPD.
Par exemple, une entreprise peut protéger les données clients en utilisant le chiffrement des bases de données, des mots de passe complexes et renouvelés régulièrement, des restrictions d’accès aux fichiers sensibles, et en formant son personnel aux bonnes pratiques de sécurité informatique.
(Article 32 RGPD)
Au-delà des principes fondamentaux du RGPD, une mise en œuvre opérationnelle efficace passe par la réalisation d’un audit ou d’une cartographie des traitements. Cette démarche permet d’identifier précisément les données collectées, les flux d’information, ainsi que les risques associés, constituant ainsi une base solide pour la conformité. À travers cet audit, l’entreprise établit un registre des activités de traitement adapté à sa taille et aux risques spécifiques auxquels elle est exposée (article 30 RGPD).
Par ailleurs, la conformité exige la mise en place de mesures de sécurité adaptées, la formalisation claire des procédures internes ainsi que la sensibilisation régulière et continue des équipes aux enjeux de la protection des données.
Enfin, la responsabilité en chaîne prévue par le RGPD implique que chaque entreprise doit garantir la conformité de ses sous-traitants, assurant ainsi la protection des droits et libertés des personnes tout au long des traitements, même lorsque ceux-ci sont externalisés.
4. Se poser les bonnes questions pour respecter le RGPD
Pour garantir leur conformité au RGPD, les entreprises peuvent se poser plusieurs questions :
Finalité du traitement
La finalité pour laquelle les données personnelles sont collectées est-elle claire, légitime et nécessaire ?
Limitation de la collecte
Les données collectées sont-elles strictement limitées à celles indispensables à la réalisation des finalités prévues ?
Information des personnes concernées
Chaque individu est-il correctement informé de l’usage de ses données, des finalités poursuivies ainsi que de ses droits ?
Base juridique du traitement
Le traitement repose-t-il sur une base légale valide (exécution d’un contrat, obligation légale, intérêt légitime, consentement, etc.) ? Lorsque le consentement est utilisé comme base légale, a-t-il été obtenu avant tout traitement, de manière libre, éclairée et explicite ?
Sécurité des données
Des mesures techniques et organisationnelles adaptées ont-elles été mises en place pour protéger les données contre tout accès non autorisé, perte ou divulgation accidentelle ?
Exactitude et mise à jour
Les informations sont-elles régulièrement vérifiées et corrigées si nécessaire afin de garantir leur exactitude ?
Durée de conservation
Les données sont-elles supprimées ou anonymisées dès qu’elles ne sont plus nécessaires ?
Certaines législations nationales imposent-elles des durées minimales de conservation, par exemple à des fins fiscales ?
5. Vers une simplification du RGPD et un encadrement de l’IA
L’évolution conjointe du RGPD et des technologies d’intelligence artificielle a conduit à l’adoption d’un nouveau Règlement européen encadrant l’usage de l’IA : l’AI Act.
Entré partiellement en vigueur le 1er août 2024, avec des étapes d’application progressive jusqu’en 2027, ce règlement complète le RGPD en imposant des obligations spécifiques aux systèmes d’IA, notamment ceux considérés comme à haut risque. Il renforce les exigences en matière de transparence, de gestion des risques, de traçabilité et de supervision des algorithmes.
Par ailleurs, le 21 mai 2025, la Commission européenne a publié une proposition de réforme visant à alléger certaines obligations du RGPD, particulièrement pour les TPE/PME et les « petites sociétés mid cap » (SMC) dont les points clés sont :
- La simplification de la tenue du registre des activités de traitement (article 30 RGPD) en relevant le seuil d’effectif à partir duquel cette obligation s’applique. Désormais, seules les organisations de plus de 750 salariés (et respectant certains critères financiers) seraient soumises à cette obligation, sauf si les traitements présentent un risque élevé pour les droits des personnes concernées.
- L’extension de l’exemption actuelle des entreprises de moins de 250 salariés aux SMC, ciblant environ 38 000 entreprises dans l’UE, afin de réduire la charge réglementaire sans compromettre la protection des données.
- D’autres assouplissements sont envisagés concernant les codes de conduite et les mécanismes de certification (articles 40, 42 RGPD) pour faciliter l’accès des SMC à des outils de conformité adaptés.
Il convient enfin de rappeler que la CNIL peut effectuer des contrôles et prononcer des sanctions en cas de manquement au RGPD, y compris auprès des petites et moyennes entreprises.
Au printemps 2025, elle a lancé une campagne de contrôle élargie portant sur des thématiques prioritaires telles que les cookies, les durées de conservation, les mesures de sécurité et le respect des droits des personnes. Cette initiative illustre l’attention portée par l’autorité au respect des obligations de protection des données, quelle que soit la taille de l’entreprise.