🏢 Entreprise & conformité

RGPD en entreprise : les 6 chantiers d'une mise en conformité qui tient la route

Registre des traitements, sous-traitants, notification 72 h, sensibilisation : le RGPD côté employeur, résumé en 6 chantiers concrets - avec ce que la CNIL regarde vraiment en cas de contrôle.

Publié le 18 juin 2026 · 3 min de lecture

Toute entreprise traite des données personnelles - au minimum celles de ses salariés et de ses clients. Le RGPD s'applique donc à vous, quelle que soit votre taille. La bonne nouvelle : la conformité n'est pas une montagne administrative infranchissable, c'est 6 chantiers concrets. Les voici, dans l'ordre où la CNIL les regarde.

1. Le registre des traitements : la colonne vertébrale

Le registre liste chaque traitement de données (paie, recrutement, CRM, newsletter, vidéosurveillance...) avec sa finalité, les données concernées, les destinataires et les durées de conservation. C'est le premier document demandé en cas de contrôle - et il est obligatoire dès qu'on traite des données de façon non occasionnelle, ce qui est le cas de toute entreprise avec des salariés. La CNIL fournit un modèle gratuit.

2. Une base légale pour chaque traitement

Chaque usage de données doit reposer sur l'une des bases prévues : contrat, obligation légale, intérêt légitime, consentement... L'erreur classique est de tout fonder sur le consentement - qui peut être retiré à tout moment - alors que la paie relève de l'obligation légale et la relation client du contrat.

3. Les sous-traitants : l'article 28

Votre hébergeur, votre logiciel RH, votre agence marketing traitent des données pour votre compte : le RGPD impose un contrat spécifique (DPA - Data Processing Agreement) avec chacun, précisant instructions, sécurité, sous-traitance ultérieure et sort des données en fin de contrat. En cas de fuite chez un sous-traitant sans DPA, la responsabilité remonte vers vous.

4. Les droits des personnes : un processus, pas une improvisation

Accès, rectification, effacement, opposition, portabilité : vous avez un mois pour répondre à une demande. Il faut donc un point d'entrée identifié (adresse email dédiée), une procédure de vérification d'identité, et quelqu'un qui sait quoi faire. Une demande d'accès ignorée est l'un des motifs de plainte les plus fréquents auprès de la CNIL.

5. La sécurité et la notification sous 72 h

L'article 32 impose des mesures « appropriées » : chiffrement, contrôle des accès, sauvegardes, journalisation. Et en cas de violation de données (fuite, ransomware, envoi au mauvais destinataire), vous avez 72 heures pour notifier la CNIL si le risque pour les personnes est réel - un délai intenable sans procédure préparée à froid.

6. La sensibilisation : l'exigence transversale

Le principe d'accountability vous impose de pouvoir démontrer votre conformité - et la formation des équipes en fait partie. Concrètement : la grande majorité des violations notifiées à la CNIL ont une origine humaine (phishing, erreur d'envoi, mot de passe faible). Un salarié jamais sensibilisé, c'est à la fois un risque opérationnel et une circonstance aggravante en cas de manquement constaté.

Ce que regarde la CNIL en contrôle : le registre, les mentions d'information, les durées de conservation, les contrats sous-traitants - et des preuves que les équipes sont formées. Des attestations nominatives valent mieux qu'une slide de réunion annuelle.

Et le DPO, obligatoire ou pas ?

Le délégué à la protection des données est obligatoire pour les organismes publics et les entreprises dont l'activité de base implique un suivi régulier et systématique à grande échelle, ou des données sensibles. Pour les autres, il reste recommandé - au minimum, désignez un référent RGPD interne.


Le chantier n°6 est celui que Cyvio Business traite de bout en bout : parcours RGPD suivis par collaborateur, taux de complétion exportables et attestations auditables à présenter en cas de contrôle. Vos salariés, eux, retrouveront leurs droits individuels dans notre guide grand public, et le panorama conformité situe le RGPD parmi les autres cadres.

L'équipe Cyvio

Articles rédigés par le fondateur de Cyvio, ingénieur cybersécurité en exercice. Chaque conseil vient du terrain : les attaques décrites ici sont celles que nous voyons réellement circuler.

Sauriez-vous repérer une arnaque ?

Testez-vous en 1 minute sur 5 vrais exemples de SMS et d'emails - gratuit, sans compte.

🎣 Faire le test anti-phishing

À lire aussi