Le RGPD s'applique-t-il aussi aux petites entreprises ?

Oui. Le RGPD s'applique quelle que soit la taille de l'entreprise. Certaines obligations (par exemple, désigner un DPO) sont toutefois liées à des seuils.

Quelle est la différence entre un responsable du traitement et un sous-traitant ?

Le responsable du traitement détermine les finalités et les moyens du traitement ; le sous-traitant traite les données pour le compte du responsable. Les rôles déterminent les obligations respectives.

Dans quel délai une violation de données doit-elle être signalée ?

Une violation à notifier doit généralement être signalée à l'autorité de contrôle dans les 72 heures.

À combien peuvent s'élever les amendes ?

Jusqu'à 20 M€ ou 4 % du chiffre d'affaires annuel mondial — le montant le plus élevé étant retenu.

Une certification ISO 27001 aide-t-elle à la protection des données ?

Elle couvre en grande partie les mesures techniques et organisationnelles (Art. 32) mais ne remplace pas les obligations propres à la protection des données telles que le registre des traitements, les bases légales et les droits des personnes concernées. Dans Sightadel, les deux peuvent être reliés.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

RGPD · Protection des données

RGPD : rendre la protection des données démontrable

Le Règlement général sur la protection des données (RGPD) s'applique directement dans toute l'UE depuis le 25 mai 2018. Il concerne presque toute organisation qui traite des données personnelles — quelle que soit sa taille. Les violations peuvent entraîner des amendes pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires annuel mondial. Cette page explique ce qu'exige le RGPD, à qui il s'applique (et à qui presque pas), quelles obligations sont centrales, et comment mettre en œuvre la protection des données avec Sightadel de manière structurée et démontrable.

Qu'est-ce que le RGPD ?

Le RGPD (Règlement (UE) 2016/679) régit la manière dont les données personnelles peuvent être traitées dans l'UE. En Allemagne, il est complété par la loi fédérale sur la protection des données (BDSG) ; la surveillance incombe aux autorités de protection des données des Länder et au BfDI.

Au cœur se trouvent les principes fondamentaux de l'article 5 : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité — et, comme obligation transversale, l'accountability (responsabilité) : vous ne devez pas seulement garantir la conformité, mais aussi être en mesure de la démontrer.

À qui le RGPD s'applique-t-il — et à qui presque pas ?

Le RGPD s'applique à vous si…

… votre organisation traite des données personnelles de personnes physiques dans l'UE — c'est-à-dire des données relatives aux clients, prospects, employés, fournisseurs ou visiteurs du site web. Cela concerne pratiquement toute entreprise et tout organisme public, quelle que soit sa taille. Le RGPD a également une portée extraterritoriale : il peut s'appliquer aux fournisseurs hors UE qui ciblent des résidents de l'UE.

Certaines obligations sont liées à des seuils — par exemple, l'obligation de désigner un délégué à la protection des données ou de réaliser une analyse d'impact relative à la protection des données pour les traitements à haut risque.

Le RGPD ne s'applique essentiellement pas à vous si…

… une personne physique traite des données à des fins purement personnelles ou domestiques (par exemple un carnet d'adresses privé). Cette « exemption domestique » est étroite et ne s'applique plus dès lors qu'une activité professionnelle ou commerciale est en jeu.

Contrairement à NIS2 ou au C5, la question ici est rarement « Suis-je dans le périmètre ? » — vous l'êtes presque toujours — mais « Quelles obligations s'appliquent à moi, et dans quelle mesure ? »

Les obligations fondamentales du RGPD

Une base légale par activité de traitement (Art. 6). Chaque traitement nécessite une base valide — comme le consentement, le contrat ou l'intérêt légitime.
Registre des activités de traitement (Art. 30). Documentation de tous les traitements, comme colonne vertébrale de l'accountability.
Droits des personnes concernées. Accès, rectification, effacement, limitation, portabilité et opposition — avec des délais définis.
Contrats de sous-traitance (Art. 28, DPA). Contrats avec les prestataires qui traitent des données pour votre compte.
Analyse d'impact relative à la protection des données (Art. 35, DPIA). Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les personnes.
Notification de violation (Art. 33/34). Notification à l'autorité de contrôle généralement dans les 72 heures.
Mesures techniques et organisationnelles (Art. 32, TOMs). Un niveau de protection approprié pour les données.

Le défi typique de la mise en œuvre du RGPD

L'accountability sans système. Le RGPD exige des preuves. Si le registre des traitements, les DPA, le concept d'effacement et les TOMs sont éparpillés dans des documents, démontrer la conformité sur demande devient laborieux.
Documentation statique. Les activités de traitement, les prestataires et les flux de données évoluent. Un registre des traitements créé une seule fois devient rapidement obsolète.
Protection des données et sécurité de l'information traitées séparément. Les TOMs au titre de l'Art. 32 se recoupent fortement avec ISO 27001 et NIS2 — mais sont souvent maintenues deux fois.

Comment Sightadel simplifie la mise en œuvre du RGPD

Sightadel est le portail de conformité de la Pervigon Security Suite. Il représente les obligations du RGPD sous la forme d'un catalogue structuré et relie les mesures techniques à vos autres normes de sécurité.

Démarrer plus vite. Des modèles préstructurés pour le registre des traitements, le registre des DPA et le concept d'effacement. Vous renseignez vos activités de traitement au lieu de bâtir la structure de zéro.

L'accountability en un clic. Obligations, responsables et preuves sont reliés. En cas de demande de l'autorité de contrôle, vous produisez l'état documenté au lieu de le rassembler.

Toujours à jour. Les activités de traitement, les prestataires et les mesures sont maintenus de façon centralisée ; des rappels maintiennent le registre des traitements vivant.

Réutilisation des preuves. Les mesures techniques et organisationnelles au titre de l'Art. 32 sont mises en correspondance simultanément avec les exigences correspondantes d'ISO 27001 et de NIS2. Une seule preuve, plusieurs référentiels.

Plus de consultants externes comme béquille permanente. La logique métier est intégrée au portail et soutenue par le cœur neoAI. L'appréciation juridique au cas par cas reste la mission de votre DPO ou de votre conseil juridique — la maintenance continue est assurée par votre équipe.

Le RGPD avec Sightadel en pratique

1
Recenser.Documentez les activités de traitement, les bases légales et les prestataires dans le portail (registre des traitements, registre des DPA).
2
Évaluer.Identifiez les traitements à haut risque et réalisez une DPIA lorsque c'est requis.
3
Sécuriser.Maintenez les TOMs, et cartographiez les demandes des personnes concernées et les processus de notification avec leurs délais.
4
Maintenir.Rappels, mises à jour en cas de changement, et un état de preuves consultable à tout moment.

Questions fréquentes sur le RGPD

La protection des données comme un état, pas un projet

Le RGPD ne s'arrête pas au premier registre des traitements. Les activités de traitement, les prestataires et les risques évoluent en permanence. Sightadel maintient votre état de preuves en matière de protection des données en permanence à jour — structuré, auditable, et sans que chaque changement nécessite un appui externe.

Cette page est une explication générale et ne constitue pas un avis juridique. Pour l'appréciation juridique de votre cas particulier, consultez votre délégué à la protection des données ou votre conseil juridique.

Visualisez votre statut RGPD dans Sightadel.

Réserver une démo