Vous êtes ici : Accueil > Actualités > Qui est concerné par le RGPD ? La réponse est bien plus large que vous ne l'imaginez

Qui est concerné par le RGPD ? La réponse est bien plus large que vous ne l'imaginez

05/07/2026
Qui est concerné par le RGPD ? La réponse est bien plus large que vous ne l'imaginez
TPE, PME, association ou indépendant : si vous traitez des données personnelles, le RGPD vous concerne. Identifiez vos obligations

Mon entreprise est-elle vraiment concernée par le RGPD ? Cette question, des milliers de dirigeants se la posent chaque jour — souvent trop tard, après un contrôle ou une plainte. La réponse est sans ambiguïté : dès lors que votre organisation collecte la moindre donnée personnelle, elle est soumise au RGPD, quelle que soit sa taille ou son secteur d'activité. CONNECT AVOCATS, cabinet intervenant sur toute la France dans le domaine du droit du numérique et de la conformité des entreprises, accompagne quotidiennement des structures confrontées à cette réalité. Voici les clés pour déterminer précisément votre situation et mesurer vos obligations.

Ce qu'il faut retenir
  • Toute organisation qui collecte, stocke ou utilise des données permettant d'identifier une personne physique est soumise au RGPD, sans aucun seuil minimal (ni de chiffre d'affaires, ni d'effectif, ni de secteur d'activité).
  • Chaque traitement de données doit reposer sur l'une des six bases légales de l'article 6 §1 du RGPD (consentement, exécution d'un contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime) ; un choix inadapté est lui-même sanctionnable par la CNIL.
  • En pratique, environ 99 % des TPE/PME ont l'obligation de tenir un registre des traitements ; en 2025, 32 % des entreprises contrôlées par la CNIL étaient des PME ou micro-entreprises.
  • Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ; en 2025, la CNIL a prononcé 83 sanctions pour un total record de 486,8 millions d'euros, dont des amendes visant des entreprises hors UE ciblant des résidents européens.

Le RGPD : un cadre juridique qui ne laisse personne de côté

Trois objectifs fondamentaux depuis 2018

Le RGPD — Règlement (UE) 2016/679 — est en application depuis le 25 mai 2018. Il poursuit trois objectifs fondamentaux : harmoniser la législation européenne en matière de protection des données personnelles, renforcer les droits des personnes physiques sur leurs informations personnelles, et responsabiliser les acteurs qui les traitent. En France, c'est la CNIL (Commission nationale de l'informatique et des libertés) qui veille à son application.

Donnée personnelle : une définition plus large qu'il n'y paraît

Mais qu'est-ce qu'une donnée personnelle, concrètement ? Il s'agit de toute information permettant d'identifier directement ou indirectement une personne physique. Un nom dans un fichier Excel, une adresse e-mail dans un formulaire de contact, un numéro de téléphone sur une fiche client papier : tout cela constitue des données personnelles au sens du règlement. Même le recoupement de plusieurs informations apparemment anodines — un prénom associé à une année de naissance issus de deux fichiers distincts — peut suffire à identifier quelqu'un. En revanche, les données relatives aux personnes morales (raison sociale d'une entreprise, numéro SIRET) ne sont pas couvertes.

Point essentiel à retenir : il n'existe aucun seuil minimal d'assujettissement. Ni le nombre de salariés, ni le chiffre d'affaires, ni le secteur d'activité ne créent d'exemption. Les fichiers papier structurés entrent également dans le champ du RGPD, pas uniquement les traitements numériques.

Qui est concerné par le RGPD : un périmètre bien plus large qu'on ne le croit

La liste des structures assujetties est vaste. Sont concernés : les entreprises de toute taille (TPE, PME, ETI, grands groupes), les associations, les administrations publiques, les collectivités territoriales, les auto-entrepreneurs et les indépendants. Il suffit que l'organisme collecte, stocke, utilise ou transfère des données personnelles pour être pleinement soumis au règlement.

Prenons quelques exemples concrets pour mesurer l'étendue du périmètre :

  • Un artisan qui conserve les coordonnées de ses clients dans un tableur
  • Une association sportive qui gère les inscriptions de ses adhérents
  • Un cabinet médical qui informatise ses dossiers patients
  • Une PME qui utilise des badges d'accès pour ses locaux
  • Une commune qui administre les inscriptions scolaires ou les listes électorales
  • Un commerçant en ligne qui collecte des adresses de livraison

Pour savoir si vous êtes concerné, un test d'assujettissement en deux questions suffit. Premièrement : mon organisation traite-t-elle des données permettant d'identifier une personne physique (client, salarié, prospect, internaute) ? Deuxièmement : est-elle établie dans l'Union européenne, ou cible-t-elle des résidents européens ? Une seule réponse positive rend le RGPD intégralement applicable.

Conseil : Si vous répondez « oui » à l'une de ces deux questions, commencez par dresser un inventaire de tous les traitements de données que vous réalisez (fichier clients, paie, vidéosurveillance, formulaires web…). Cet inventaire constituera la base de votre registre des traitements, document que la CNIL demande systématiquement en cas de contrôle.

Identifier une base légale : une obligation préalable à tout traitement

Avant tout traitement de données personnelles, le responsable de traitement doit identifier une base légale parmi les six prévues à l'article 6 §1 du RGPD. Sans cette identification préalable, le traitement est interdit, même si les données sont correctement sécurisées. Les six bases légales sont :

  • Le consentement : libre, éclairé, spécifique et révocable (par exemple, l'inscription à une newsletter).
  • L'exécution d'un contrat : traitement nécessaire à l'exécution d'un engagement contractuel (par exemple, les données d'un salarié pour la gestion de la paie).
  • Le respect d'une obligation légale : une obligation imposée par un texte (par exemple, la conservation des bulletins de paie).
  • La sauvegarde des intérêts vitaux de la personne concernée.
  • L'exécution d'une mission d'intérêt public.
  • La poursuite d'un intérêt légitime du responsable de traitement (par exemple, la prévention de la fraude), sous réserve que les droits des personnes ne priment pas.

Exemple : Nathalie Mercier, gérante d'une entreprise de cosmétiques naturels employant 12 salariés, utilisait un formulaire sur son site pour collecter les adresses e-mail de prospects. Elle pensait être en règle car les données étaient stockées sur un serveur sécurisé. Lors d'un contrôle de la CNIL, il lui a été reproché de n'avoir identifié aucune base légale pour ce traitement : le formulaire ne recueillait pas de consentement conforme (pas de case à cocher, pas d'information sur la finalité). Le manquement a été constaté indépendamment de la sécurité technique des données. Un avocat compétent en droit du numérique aurait pu l'aider à qualifier correctement la base légale applicable et à rédiger les mentions d'information requises avant la mise en ligne du formulaire.

À noter : Le choix d'une base légale inadaptée constitue en lui-même un manquement sanctionnable par la CNIL, même si les données sont par ailleurs correctement protégées. Il est donc indispensable de documenter le fondement juridique retenu pour chaque traitement dans le registre des traitements.

Informer les personnes : une obligation à chaque collecte de données

Les articles 13 et 14 du RGPD imposent d'informer les personnes, au moment de la collecte de leurs données, d'un ensemble d'éléments obligatoires : identité du responsable de traitement, finalités et base légale du traitement, destinataires des données, durée de conservation, droits des personnes (accès, rectification, suppression, portabilité, opposition) et droit de réclamation auprès de la CNIL. Cette obligation s'applique sur tous les formulaires (papier ou numérique), dans les conditions générales d'utilisation et dans la politique de confidentialité du site web. Le défaut d'information des personnes figure parmi les manquements les plus fréquemment sanctionnés par la CNIL en procédure simplifiée. Il ne faut pas confondre cette obligation d'information avec l'obtention du consentement, qui est une base légale distincte et non une condition systématique de tout traitement.

Le champ territorial du RGPD : même hors de l'UE, vous pouvez être concerné

Le critère d'établissement

L'article 3 du RGPD définit deux critères alternatifs d'application territoriale. Le premier est le critère d'établissement (article 3 §1) : toute entité disposant d'une présence dans l'UE — siège social, filiale, succursale — est soumise au règlement, même si le traitement des données a lieu en dehors du territoire européen.

Le critère de ciblage : la localisation physique prime

Le second est le critère de ciblage (article 3 §2). Une organisation située hors de l'UE tombe sous le coup du RGPD dès lors qu'elle offre des biens ou services à des résidents européens, ou qu'elle suit leur comportement en ligne. Un e-commerçant américain qui livre en France, une application mobile chinoise proposée en français avec paiement en euros : tous sont assujettis. Selon les lignes directrices 3/2018 du CEPD, ce critère ne dépend ni de la citoyenneté ni du lieu de résidence habituel de la personne concernée : il repose sur le fait que la personne se trouve physiquement sur le territoire de l'Union au moment du traitement. Ainsi, un touriste américain en vacances en France dont les données sont traitées par une application américaine est couvert par le RGPD pendant son séjour.

Pour les entreprises françaises, la conséquence est directe : un prestataire étranger — logiciel SaaS américain, hébergeur situé hors UE — utilisé pour gérer des données de clients français est lui-même soumis au RGPD. Le responsable de traitement français doit vérifier les garanties offertes par ce prestataire et signer un contrat de sous-traitance conforme.

Responsable, sous-traitant, co-responsable : votre rôle détermine vos obligations RGPD

Le responsable de traitement

Le règlement distingue trois rôles aux obligations distinctes. Le responsable de traitement est celui qui détermine les finalités (pourquoi traiter ces données ?) et les moyens (comment les traiter ?). C'est lui qui porte la responsabilité principale en cas de contrôle.

Le sous-traitant et le DPA

Le sous-traitant traite les données pour le compte du responsable. Un hébergeur cloud, un éditeur de logiciel SaaS, une agence web ou un expert-comptable gérant la paie sont des sous-traitants au sens du RGPD. Chacun d'eux doit être encadré par un contrat écrit appelé DPA (Data Processing Agreement), prévu à l'article 28 du règlement. Ce contrat doit comporter au minimum cinq éléments essentiels : (1) la localisation des données (privilégier l'UE), (2) la liste des sous-sous-traitants autorisés, (3) la durée de conservation des données, (4) la procédure à suivre en cas de violation dans les 72 heures, et (5) les garanties de sécurité mises en place. En l'absence d'un seul de ces éléments, le DPA peut être considéré comme non conforme lors d'un contrôle CNIL. Depuis l'arrêt CJUE C-340/21 de décembre 2023, un sous-traitant défaillant peut être sanctionné directement par la CNIL.

La co-responsabilité de traitement

Enfin, les co-responsables de traitement sont plusieurs entités qui déterminent conjointement les finalités et les moyens — par exemple lors d'une campagne marketing menée avec un partenaire. Un accord écrit (article 26 RGPD) doit alors fixer la répartition précise des obligations. À noter : une même entreprise peut être responsable pour ses données RH et simultanément sous-traitant pour les données traitées au nom de ses clients.

À noter : À partir du 1er septembre 2026, la facturation électronique obligatoire introduira de nouvelles données structurées transitant par une Plateforme de Dématérialisation Partenaire (PDP), qui deviendra automatiquement sous-traitant au sens de l'article 28 du RGPD — imposant la signature d'un DPA avec cette plateforme. Par ailleurs, à compter du 2 août 2026, l'AI Act (Règlement UE 2024/1689) créera de nouvelles obligations pour les entreprises déployant des outils d'intelligence artificielle (chatbots, outils IA intégrés), qui se superposeront aux obligations RGPD existantes. Ces deux échéances concernent directement les TPE/PME et les indépendants qui adoptent ces outils sans anticiper leurs implications en matière de protection des données.

TPE/PME et données sensibles : des cas particuliers à ne pas négliger

Le registre des traitements : une obligation quasi universelle

Une idée reçue tenace veut que les entreprises de moins de 250 salariés soient exemptées du registre des traitements. L'article 30 §5 du RGPD prévoit effectivement une exemption partielle, mais elle est extrêmement limitée. Elle ne couvre que les traitements strictement occasionnels, ne portant pas sur des données sensibles et ne présentant aucun risque pour les droits des personnes.

Or, la gestion de la paie, le fichier clients, la prospection commerciale ou la vidéosurveillance sont des traitements réguliers par nature. En pratique, environ 99 % des TPE/PME ont l'obligation de tenir un registre. La CNIL en demande systématiquement la production lors de ses contrôles. Un registre absent ou incomplet constitue un manquement grave.

Données sensibles et AIPD : un régime renforcé

Quant aux données sensibles — santé, origine ethnique, convictions religieuses, données biométriques, appartenance syndicale (article 9 RGPD) — elles relèvent d'un régime renforcé. Leur traitement impose une base légale spécifique, des mesures de sécurité renforcées (pseudonymisation, chiffrement, accès restreint) et la réalisation d'une AIPD, c'est-à-dire une Analyse d'Impact sur la Protection des Données. L'exemption partielle du registre est alors totalement inapplicable. Il faut savoir que la CNIL publie une liste officielle des types de traitements pour lesquels une AIPD est obligatoire en application de l'article 35 du RGPD, indépendamment du critère de sensibilité des données — par exemple le profilage à grande échelle, la surveillance systématique d'un espace accessible au public, ou l'utilisation de données biométriques à des fins d'identification.

Désigner un DPO : une obligation dans trois cas précis

L'article 37 §1 du RGPD impose la désignation obligatoire d'un DPO (Délégué à la Protection des Données) dans trois cas : (1) tout organisme public ou autorité publique ; (2) toute organisation dont les activités de base consistent en un suivi régulier et systématique des personnes à grande échelle ; (3) toute organisation dont les activités de base consistent en un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales. Les sous-traitants sont également concernés par cette obligation dès lors qu'un seul de ces critères est rempli. Les manquements relatifs au DPO — absence de désignation ou entrave à ses missions — sont systématiquement pris en compte dans le calcul des amendes par la formation restreinte de la CNIL. Pour les structures non soumises à l'obligation légale, la CNIL recommande fortement une désignation volontaire. Attention toutefois : la désignation d'un DPO ne dispense d'aucune autre obligation prévue par le RGPD.

Conseil : Même si votre structure n'est pas légalement tenue de désigner un DPO, identifier un référent interne chargé de la conformité RGPD permet de centraliser les demandes d'exercice de droits, de maintenir le registre à jour et de coordonner la réponse en cas d'incident. Cette démarche volontaire est valorisée par la CNIL lors de ses contrôles.

Non-conformité au RGPD : des sanctions qui n'épargnent plus personne

Des amendes records en 2025

Les sanctions prévues par le RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En 2025, la CNIL a prononcé 83 sanctions pour un total record de 486,8 millions d'euros. Parmi les décisions marquantes : Google (325 M€ pour non-conformité des cookies), Shein (150 M€ en septembre 2025, pour non-conformité des cookies — une décision illustrant l'application du critère de ciblage territorial à une entreprise hors UE ciblant des résidents européens), Free et Free Mobile (42 M€ suite à une fuite touchant 24 millions de personnes), Amazon France Logistique (32 M€ pour surveillance disproportionnée des salariés) ou encore Cdiscount (4 M€).

Les TPE/PME dans le viseur de la procédure simplifiée

Les TPE/PME ne sont plus à l'abri. En 2025, 32 % des entreprises contrôlées par la CNIL étaient des PME ou micro-entreprises. La procédure simplifiée (issue du décret n° 2022-517) permet à un seul rapporteur de statuer sans séance publique et de prononcer une injonction avec astreinte plafonnée à 100 euros par jour et/ou une amende maximale de 20 000 euros. Utilisée pour 67 des 83 sanctions prononcées en 2025, elle permet de sanctionner rapidement les petites structures — en 4 à 6 mois contre 18 à 24 mois en procédure ordinaire — pour des manquements courants : cookies non conformes, absence de registre, défaut d'information des personnes, durées de conservation excessives. La montée en puissance est significative : 4 sanctions en 2022, 24 en 2023, et les montants en procédure simplifiée ont triplé entre 2023 (229 500 €) et 2024 (715 500 €). Les décisions rendues dans ce cadre ne sont pas rendues publiques, ce qui limite l'impact réputationnel — mais la sanction reste inscrite et une récidive peut conduire à une procédure ordinaire, elle-même rendue publique.

Notification des violations : un délai de 72 heures à respecter impérativement

Par ailleurs, en cas de violation de données, le responsable de traitement doit notifier la CNIL sous 72 heures (article 33 RGPD). En 2025, 5 840 notifications ont été reçues, soit une hausse de 47 % par rapport à l'année précédente. Les PME représentent 39 % du total de ces déclarations, et le secteur privé en représente les deux tiers — ce qui contredit l'idée reçue selon laquelle les violations de données seraient l'apanage des grandes structures. Le non-respect du délai de 72 heures expose à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Se faire accompagner pour sécuriser durablement sa conformité

Face à l'étendue des obligations et à la montée en puissance des contrôles, la mise en conformité RGPD ne s'improvise pas. Qualifier précisément son rôle, cartographier ses traitements, signer des DPA avec chaque prestataire, identifier les bases légales appropriées, informer les personnes concernées conformément aux articles 13 et 14, évaluer la nécessité de désigner un DPO : chaque étape requiert une analyse juridique rigoureuse.

CONNECT AVOCATS, cabinet intervenant sur toute la France et compétent en droit du numérique et en protection des données, accompagne les entreprises — de l'auto-entrepreneur au groupe structuré — dans la sécurisation de leurs activités. De l'audit initial à la rédaction des contrats de sous-traitance, en passant par la gestion des incidents et la relation avec la CNIL, le cabinet apporte un accompagnement sur mesure, fondé sur la confidentialité et l'indépendance propres à la profession d'avocat. Si vous souhaitez évaluer votre situation ou anticiper un contrôle, n'hésitez pas à solliciter l'équipe de CONNECT AVOCATS pour un premier échange.