Javascript is required
logo-dastralogo-dastra

RGPD : à qui s'applique-t-il ?

RGPD : à qui s'applique-t-il ?
Marine Boquien
Marine Boquien
8 octobre 2025·7 minutes de lecture

RGPD : à qui s’applique-t-il ?

Le Règlement Général sur la Protection des Données (RGPD), également appelé règlement général sur la protection des données, encadre la collecte, le traitement et la conservation des données à caractère personnel au sein de l’Union européenne. Ce texte fondamental, entré en application le 25 mai 2018, vise à garantir la protection de la vie privée des individus tout en responsabilisant les organisations qui manipulent ces données.

Le RGPD s’applique non seulement à la majorité des entreprises, mais également aux associations et aux organismes publics. Il concerne aussi les indépendants et microentrepreneurs dès lors qu’ils traitent des données personnelles.

Dans ce guide pratique, nous répondons à une question essentielle : Qui est concerné par le RGPD et comment s’y conformer ? Notre objectif est de lever les incertitudes pour vous aider à comprendre vos obligations et à mettre en place une démarche de conformité au RGPD solide et durable.

Qui est concerné par le RGPD ?

Le RGPD s’applique à toute entité, publique ou privée, qui collecte, stocke ou exploite des données personnelles relatives à des résidents de l’Union européenne, peu importe où elle est établie.

Points clés :

  • Implantation géographique : toute entité située dans l’UE est concernée par le RGPD, même si le traitement a lieu en dehors de l’Union.
  • Application extraterritoriale : une entreprise hors UE est également concernée dès qu’elle traite les données de résidents européens, par exemple via un site web proposant des produits ou services à des citoyens européens, ou en suivant leur comportement en ligne.

Ainsi, des entreprises comme Google, Amazon ou Meta sont directement concernées par ce règlement général sur la protection des données, tout comme une petite boutique en ligne française ou un cabinet de conseil indépendant.

Catégories de personnes concernées par le RGPD

Le RGPD s’applique à toutes les catégories de personnes concernées : clients, prospects, salariés, prestataires, partenaires ou utilisateurs. Toute personne physique dont les données sont collectées par un organisme doit être protégée.

Le responsable de traitement doit identifier ces catégories et préciser les finalités du traitement pour chacune : gestion des clients, recrutement, communication, gestion RH, etc. Cette étape est indispensable pour documenter la conformité dans le registre des traitements.

Données à caractère personnel et traitement : de quoi s’agit-il ?

Selon l’article 4 du RGPD, une donnée à caractère personnel est « toute information se rapportant à une personne physique identifiée ou identifiable ». Cela inclut :

  • le nom, le prénom,
  • l’adresse e-mail,
  • le numéro de téléphone,
  • l’adresse IP,
  • le numéro de sécurité sociale,
  • ou toute donnée permettant d’identifier directement ou indirectement une personne.

Certaines données sont dites données sensibles, comme les informations sur la santé, les convictions religieuses, les opinions politiques ou l’origine ethnique. Ces données nécessitent une protection renforcée et des conditions de traitement spécifiques.

Un traitement de données personnelles désigne toute opération effectuée sur ces données : collecte, enregistrement, modification, consultation, transmission, conservation ou suppression. Même le simple stockage dans un fichier Excel ou une base de données constitue un traitement soumis au RGPD.

Le rôle du responsable de traitement et du sous-traitant

Le responsable de traitement détermine les finalités du traitement et les moyens mis en œuvre. Il est donc le premier garant de la conformité au RGPD.

Le sous-traitant, quant à lui, traite les données pour le compte du responsable. Par exemple, un prestataire de paie, un hébergeur web ou un outil de marketing automation.

Un contrat écrit doit encadrer cette relation. Ce contrat doit préciser :

  • les catégories de données traitées,
  • les finalités du traitement,
  • les obligations du sous-traitant,
  • les règles concernant les transferts de données hors de l’UE,
  • et les mesures de sécurité à mettre en place pour éviter les violations de données.

En cas de manquement, la responsabilité du sous-traitant et du responsable peut être engagée conjointement.

Comment se mettre en conformité avec le RGPD ?

La mise en conformité au RGPD n’est pas un simple document à signer, mais une démarche continue. Elle repose sur la transparence, la traçabilité et la sécurité.

Étapes clés de la conformité :

  1. Cartographier les traitements de données : identifier toutes les opérations impliquant des données personnelles (clients, salariés, fournisseurs, etc.).
  2. Tenir un registre des traitements : ce document obligatoire pour les entreprises de plus de 250 salariés – mais recommandé pour toutes – recense chaque traitement, sa finalité, la base légale, les catégories de personnes concernées et les durées de conservation.
  3. Déterminer les bases légales : consentement, contrat, obligation légale, intérêt légitime, sauvegarde d’intérêts vitaux ou mission d’intérêt public.
  4. Informer les personnes concernées : via des politiques de confidentialité claires et accessibles.
  5. Sécuriser les données : mettre en place des mesures techniques (mots de passe, chiffrement, sauvegardes) et organisationnelles (formation, procédures internes).
  6. Prévoir la gestion des droits : droit d’accès, de rectification, d’opposition, de limitation, de portabilité et d’effacement.

Le Délégué à la Protection des Données (DPO)

Dans certains cas, la désignation d’un Délégué à la Protection des Données (DPO) est obligatoire, notamment pour les organismes publics et les entreprises traitant des données sensibles à grande échelle.

Le DPO veille au respect du RGPD, conseille le responsable de traitement et sert d’interlocuteur avec la CNIL.

En cas de violation de données

Une violation de données correspond à un incident de sécurité entraînant la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles.

Le responsable de traitement doit :

  • notifier la violation à la CNIL dans les 72 heures,
  • informer les personnes concernées si le risque est élevé,
  • et documenter l’incident dans un registre interne.

Les violations de données peuvent avoir de lourdes conséquences : atteinte à la réputation, perte de confiance des clients, et sanctions financières pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Les bonnes pratiques pour rester conforme

Pour garantir une conformité au RGPD durable, chaque organisme devrait :

  • mettre en place des procédures internes claires et actualisées,
  • former le personnel à la protection des données,
  • réaliser régulièrement des audits de sécurité,
  • documenter les traitements dans un registre,
  • limiter les transferts de données à l’essentiel et vérifier leur conformité,
  • et mettre à jour les politiques de confidentialité en cas de changement de finalité ou de prestataire.

La forme écrite de tous les engagements et contrats est essentielle pour prouver la conformité en cas de contrôle.

Vérifiez si votre organisme est concerné

De nombreuses petites entreprises et associations n’ont pas encore entrepris leur mise en conformité RGPD. Pourtant, toutes les structures, quelle que soit leur taille, sont concernées dès qu’elles manipulent des données à caractère personnel de résidents européens.

Vous êtes une entreprise, une association ou un organisme public et vous souhaitez savoir si le RGPD vous concerne ?

Nos experts peuvent vous aider à :

  • identifier vos traitements de données personnelles,
  • établir votre registre des activités,
  • sécuriser les transferts de données,
  • et assurer une conformité au RGPD complète.

En résumé

Le RGPD s’applique à toute entité qui traite des données à caractère personnel, quel que soit son secteur d’activité ou sa taille. Il impose une obligation légale de transparence, de sécurité et de responsabilité à chaque responsable de traitement.

La protection des données n’est pas une contrainte, mais un gage de confiance et de professionnalisme. En respectant le RGPD, vous protégez non seulement les personnes concernées, mais aussi votre image et la pérennité de votre activité.

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.