Skip to content
Glossaire

RGPD (Règlement Général sur la Protection des Données)

Le RGPD est le règlement européen qui encadre la collecte, le traitement et la protection des données personnelles des résidents de l'UE, applicable depuis le 25 mai 2018.

11 min de lecture Thomas Ferreira

Qu’est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données, ou GDPR en anglais) est le règlement européen n° 2016/679 qui encadre la collecte, le traitement et la protection des données personnelles des résidents de l’Union européenne. Adopté le 27 avril 2016 et applicable depuis le 25 mai 2018, il remplace la directive 95/46/CE et s’applique directement dans tous les États membres, sans transposition nationale.

Le champ d’application est large : toute organisation — entreprise, association, administration — qui traite des données personnelles de résidents de l’UE est concernée, quelle que soit sa taille ou son lieu d’établissement. Une PME française de 50 salariés qui gère des données clients, des fiches salariés et des contacts de prospection est soumise aux mêmes principes qu’un grand groupe.

Les sept principes du RGPD

L’article 5 du RGPD pose sept principes qui encadrent tout traitement de données personnelles :

  1. Licéité, loyauté, transparence — Les données sont traitées sur une base légale valide (consentement, contrat, obligation légale, intérêt légitime, etc.) et les personnes sont informées de l’usage de leurs données.
  2. Limitation des finalités — Les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas réutilisées pour d’autres objectifs incompatibles.
  3. Minimisation des données — Seules les données strictement nécessaires à la finalité sont collectées. Pas de collecte “au cas où”.
  4. Exactitude — Les données sont tenues à jour. Les données inexactes sont rectifiées ou supprimées.
  5. Limitation de la conservation — Les données ne sont conservées que le temps nécessaire à la finalité. Des durées de conservation sont définies et appliquées.
  6. Intégrité et confidentialité — Les données sont protégées contre le traitement non autorisé, la perte et la destruction par des mesures techniques et organisationnelles appropriées.
  7. Responsabilité (accountability) — L’entreprise doit pouvoir démontrer sa conformité à tout moment. Ce n’est pas à la CNIL de prouver la non-conformité — c’est à l’entreprise de prouver qu’elle respecte le RGPD.

Le sixième principe — intégrité et confidentialité — est le pont direct entre RGPD et cybersécurité. Protéger les données personnelles contre les accès non autorisés, c’est protéger l’entreprise contre les cyberattaques.

RGPD et cybersécurité : le lien direct

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le texte cite explicitement :

  • Le chiffrement et la pseudonymisation des données
  • La capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes
  • La capacité à rétablir la disponibilité des données en cas d’incident
  • Une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures de sécurité

Ce dernier point est celui qui relie directement le RGPD à la simulation de phishing. Tester régulièrement la résistance des employés au phishing — première cause de compromission de données personnelles — constitue une évaluation concrète de l’efficacité des mesures de sécurité.

Pourquoi le phishing est un problème RGPD

Selon le Verizon Data Breach Investigations Report 2024, 68 % des violations de données impliquent un facteur humain. L’ANSSI confirme que les emails malveillants restent le mode opératoire le plus répandu pour les compromissions initiales dans les organisations françaises.

Le scénario type : un employé reçoit un email de spear-phishing, clique sur le lien, saisit ses identifiants Microsoft 365 sur un faux portail. L’attaquant accède à sa boîte email, aux fichiers OneDrive partagés, aux contacts CRM. Des centaines, parfois des milliers de données personnelles sont exposées. C’est une violation de données au sens de l’article 4(12) du RGPD, avec des obligations immédiates de notification.

Autrement dit : chaque email de phishing non détecté par un employé est un risque de violation RGPD.

Les obligations de sécurité sous le RGPD

L’article 32 ne prescrit pas une liste fermée de mesures. Il exige des mesures appropriées au risque, ce qui laisse une marge d’appréciation — mais la CNIL et les juridictions ont progressivement précisé les attentes.

Mesures techniques attendues

  • Chiffrement des données en transit (TLS) et au repos, en particulier pour les données sensibles
  • Pseudonymisation quand c’est possible pour réduire l’impact d’une fuite
  • Authentification multifacteur (MFA) sur les accès aux systèmes contenant des données personnelles — messagerie, CRM, ERP, partages de fichiers
  • Gestion des accès selon le principe du moindre privilège : chaque employé n’accède qu’aux données nécessaires à sa fonction
  • Configuration des protocoles emailSPF, DKIM, DMARC pour limiter l’usurpation d’identité par email
  • Solutions DLP pour détecter les transferts non autorisés de données personnelles
  • Sauvegardes régulières, testées et stockées hors ligne pour résister aux ransomwares

Mesures organisationnelles attendues

  • Sensibilisation et formation des employés aux risques cyber, en particulier au phishing et au social engineering
  • Simulations de phishing régulières pour tester et renforcer les réflexes des équipes
  • Politique de sécurité formalisée et communiquée à l’ensemble du personnel
  • Procédure de gestion des incidents définissant les étapes de détection, qualification, notification et remédiation
  • Registre des traitements (article 30) tenu à jour
  • Analyse d’impact (AIPD) pour les traitements à risque élevé (article 35)

La CNIL a sanctionné plusieurs entreprises pour l’absence de mesures organisationnelles de sécurité. Dans sa sanction de 600 000 euros contre Accor en 2022, la formation insuffisante du personnel figurait parmi les manquements relevés. La simulation de phishing s’inscrit dans la catégorie “tester, analyser et évaluer régulièrement l’efficacité des mesures” prévue à l’article 32(1)(d).

La notification de violation de données

Les articles 33 et 34 du RGPD définissent le régime de notification en cas de violation de données personnelles — c’est-à-dire toute atteinte à la confidentialité, l’intégrité ou la disponibilité de données personnelles.

Notification à la CNIL (article 33)

Toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes doit être notifiée à la CNIL dans les 72 heures suivant sa découverte. La notification se fait via le téléservice de la CNIL et doit inclure :

  • La nature de la violation (fuite, vol, destruction, accès non autorisé)
  • Les catégories et le nombre approximatif de personnes concernées
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées pour y remédier

En 2024, la CNIL a reçu 5 629 notifications de violations de données. Le non-respect du délai de 72 heures ou l’absence de notification constituent des manquements distincts, sanctionnables indépendamment de la violation elle-même.

Notification aux personnes concernées (article 34)

Quand la violation est susceptible d’engendrer un risque élevé pour les personnes — par exemple, des données bancaires, des mots de passe en clair, des données de santé — l’entreprise doit notifier individuellement les personnes concernées, en langage clair, avec les mêmes informations.

Comment le phishing déclenche ces obligations

Un compte email compromis par phishing donne accès à l’historique des emails, aux pièces jointes, aux contacts. Si ces éléments contiennent des données personnelles — noms, adresses, numéros de téléphone, données contractuelles, données RH — la compromission constitue une violation. L’entreprise a 72 heures pour notifier la CNIL.

Le même raisonnement s’applique au ransomware déployé après un phishing initial : si les fichiers chiffrés contenaient des données personnelles, la perte de disponibilité constitue une violation de données, même si aucune exfiltration n’a eu lieu.

Le DPO et la sensibilisation

Le DPO (Délégué à la Protection des Données) joue un rôle concret dans l’organisation des programmes de sensibilisation. L’article 39 du RGPD précise que le DPO a pour mission de sensibiliser et former le personnel participant aux opérations de traitement.

En pratique, le DPO :

  • Recommande la mise en place d’un programme de sensibilisation au phishing et au social engineering
  • Définit la fréquence des simulations de phishing avec la direction et l’équipe IT
  • Vérifie que les résultats des simulations sont documentés (taux de clic, évolution, formations déclenchées)
  • Intègre le programme de sensibilisation dans le registre des traitements comme mesure de sécurité au titre de l’article 32
  • En cas de violation, évalue si les mesures de sensibilisation en place étaient suffisantes et recommande des ajustements

Pour les PME qui n’ont pas de DPO, ces responsabilités incombent au dirigeant ou au responsable IT. Les obligations RGPD en matière de sécurité et de sensibilisation s’appliquent indépendamment de la présence d’un DPO.

Les sanctions CNIL

Le RGPD prévoit des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). La CNIL dispose de plusieurs niveaux d’intervention : rappel à l’ordre, mise en demeure, injonction et amende.

Sanctions récentes liées à la sécurité

La CNIL sanctionne régulièrement des manquements à l’article 32. Quelques exemples documentés :

La procédure simplifiée pour les PME

Depuis 2022, la CNIL utilise une procédure de sanction simplifiée pour les cas de moindre gravité. Cette procédure permet des amendes jusqu’à 20 000 euros et des injonctions de mise en conformité. Pour les PME, c’est souvent cette procédure qui s’applique en cas de manquement à la sécurité des données.

En 2024, la CNIL a prononcé 87 sanctions dont 69 via la procédure simplifiée, pour un montant total de 55,2 millions d’euros. Le défaut de sécurité des données figure parmi les trois premiers motifs de sanction.

Au-delà de l’amende, une sanction CNIL est publique. L’impact réputationnel pour une PME — communiqué de presse, article dans la presse spécialisée, perte de confiance des clients — dépasse souvent le montant financier de la sanction.

RGPD et phishing : protéger les données par la sensibilisation

Le lien entre conformité RGPD et protection contre le phishing est concret et documentable.

La chaîne causale

  1. Un employé reçoit un email de phishing
  2. Il clique et transmet ses identifiants
  3. L’attaquant accède aux systèmes contenant des données personnelles
  4. Des données personnelles sont compromises (confidentialité, intégrité ou disponibilité)
  5. L’entreprise doit notifier la CNIL dans les 72 heures
  6. La CNIL examine les mesures de sécurité en place au moment de la violation
  7. L’absence de sensibilisation et de simulations de phishing est un facteur aggravant

Prévenir le phishing, c’est couper cette chaîne à l’étape 2. La sensibilisation régulière et les simulations de phishing réduisent le taux de clic des employés, diminuent le nombre de compromissions, et donc le nombre de violations de données à notifier.

Documenter la conformité

Pour qu’un programme de sensibilisation contribue à la conformité RGPD, il doit être documenté :

  • Calendrier des simulations — dates, scénarios utilisés, populations ciblées
  • Résultats mesurables — taux de clic par campagne, évolution sur 6 et 12 mois, taux de signalement
  • Formations déclenchées — contenus envoyés aux employés qui ont cliqué, attestations de complétion
  • Intégration au registre des traitements — mention du programme comme mesure de sécurité article 32

Ces documents démontrent que l’entreprise remplit l’obligation de l’article 32(1)(d) : tester, analyser et évaluer régulièrement l’efficacité des mesures de sécurité. En cas de contrôle CNIL ou de violation de données, ils constituent une preuve tangible de conformité.

Première étape vers la conformité RGPD de vos emails : vérifiez que votre domaine est correctement configuré. Notre outil gratuit de test de sécurité email analyse vos enregistrements SPF, DKIM et DMARC et identifie les failles exploitables par les attaquants.

Pour approfondir la conformité réglementaire et découvrir comment un programme de sensibilisation s’intègre dans votre démarche, consultez notre solution conformité. Et si votre PME est aussi concernée par la directive européenne NIS2, les obligations de sécurité se renforcent : formation du personnel, gestion des incidents et notification des autorités compétentes suivent un cadre similaire.

Sources : RGPD — texte officiel (EUR-Lex) | CNIL — bilan d’activité 2024 | ANSSI — panorama de la cybermenace 2024

Questions fréquentes

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen n° 2016/679 qui encadre la collecte et le traitement des données personnelles des résidents de l'UE. Applicable depuis le 25 mai 2018, il impose aux entreprises de toutes tailles des obligations de transparence, de sécurité et de responsabilité. Les PME sont concernées dès qu'elles traitent des données personnelles de clients, prospects ou salariés.

Le RGPD impose-t-il la sensibilisation des employés ?

Oui, indirectement. L'article 32 du RGPD exige des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. La CNIL considère la formation et la sensibilisation des employés comme une mesure organisationnelle attendue. Plusieurs sanctions CNIL citent l'absence de sensibilisation du personnel comme un facteur aggravant dans les manquements à la sécurité des données.

Quelles sanctions la CNIL applique-t-elle aux PME ?

La CNIL peut imposer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Pour les PME, la procédure simplifiée permet des amendes jusqu'à 20 000 euros, et la procédure ordinaire des montants supérieurs. En 2024, la CNIL a prononcé 87 sanctions pour un montant cumulé de 55,2 millions d'euros. Les manquements à la sécurité des données (article 32) font partie des infractions les plus fréquemment sanctionnées.

Quel est le lien entre phishing et violation RGPD ?

Le phishing est le premier vecteur de compromission de données personnelles. Un employé qui saisit ses identifiants sur un faux site donne à l'attaquant un accès direct aux emails, fichiers partagés et bases de données contenant des données personnelles. Cette compromission constitue une violation de données au sens du RGPD, déclenchant l'obligation de notification à la CNIL dans les 72 heures et, si le risque est élevé, la notification aux personnes concernées.

Comment documenter la conformité RGPD de mon programme de sensibilisation ?

Conservez les preuves suivantes : dates et contenus des sessions de formation, résultats des simulations de phishing (taux de clic avant/après), attestations de participation des employés, registre de traitement mis à jour mentionnant le programme de sensibilisation comme mesure de sécurité. En cas de contrôle CNIL ou de violation de données, ces documents démontrent que l'entreprise a pris des mesures organisationnelles conformes à l'article 32 du RGPD.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire