Les 30 termes essentiels du RGPD pour TPE et PME, expliqués sans jargon.
Sources : CNIL, CEPD, jurisprudence CJUE. Dernière mise à jour : mai 2026.
Règlement Général sur la Protection des Données
Règlement européen (UE 2016/679) applicable depuis le 25 mai 2018. Encadre la collecte, le traitement et la conservation des données personnelles dans l'UE. S'applique à toute entreprise qui traite des données de résidents européens, même si elle est hors UE.
Source officielle ↗Toute information qui identifie directement ou indirectement une personne physique
Nom, email, IP, cookie identifiant, photo, géolocalisation, voix, données de santé… Tout ce qui permet de reconnaître quelqu'un, seul ou croisé avec d'autres données. Une adresse IP ou un cookie GA est une donnée personnelle au sens RGPD (CJUE, Breyer 2016).
L'entité qui décide POURQUOI et COMMENT les données sont traitées
C'est l'éditeur du site, l'employeur, l'association… qui définit les finalités et les moyens. Il porte la responsabilité juridique principale en cas de manquement. En pratique : si vous lancez une newsletter sur votre site, vous êtes responsable de traitement.
Prestataire qui traite des données pour le compte du responsable de traitement
Votre CRM, votre hébergeur, votre prestataire emailing, votre comptable externe… Art. 28 RGPD impose un CONTRAT écrit entre vous (responsable) et chaque sous-traitant, listant les traitements, durées, mesures de sécurité, conditions de sous-traitance ultérieure.
Consent Management Platform — plateforme de gestion du consentement
Outil qui affiche le bandeau cookies et stocke les choix de l'utilisateur. Exemples : Axeptio, Didomi, OneTrust, Cookiebot, Tarteaucitron. Une CMP conforme doit permettre de REFUSER aussi facilement que d'ACCEPTER (CNIL, délibération 2020-091).
Cookies déposés par un domaine différent de celui que l'utilisateur visite
Ex : sur votre site monsite.fr, un cookie déposé par google-analytics.com est un cookie tiers. Soumis à consentement préalable explicite (Art. 82 LIL transposant l'ePrivacy Directive). Sanction CNIL si déposés avant clic sur 'Accepter' : jusqu'à 150 M€ (Google 2022).
Design qui influence l'utilisateur contre ses propres intérêts
Ex : bouton 'Accepter' coloré vif vs 'Refuser' grisé, choix multi-niveaux pour refuser, pré-cochage des cases, fermeture du bandeau = acceptation… La CNIL et le CEPD considèrent ces pratiques comme un consentement non valable (sanction Facebook 60 M€ en 2022).
Accord LIBRE, ÉCLAIRÉ, SPÉCIFIQUE et UNIVOQUE de la personne
Doit être donné par une action positive claire (case à cocher non pré-cochée, clic sur 'Accepter'). Pas valable si silence, pré-coché, ambigu. Doit pouvoir être retiré aussi facilement qu'il a été donné. Stocker la preuve du consentement (date, version) est obligatoire.
Justification juridique d'un traitement de données
Art. 6 RGPD liste 6 bases : (1) consentement, (2) contrat, (3) obligation légale, (4) sauvegarde d'intérêts vitaux, (5) mission d'intérêt public, (6) intérêt légitime. CHAQUE traitement doit reposer sur UNE base légale précise. Sans base légale = traitement illicite.
Base légale invocable pour des traitements non strictement nécessaires au contrat
Ex : prospection B2B, sécurité réseau, prévention de la fraude. À distinguer du consentement : pas besoin d'accord explicite, mais nécessite un test de mise en balance (LIA — Legitimate Interest Assessment) documenté. La personne garde un droit d'opposition.
Droit pour toute personne d'obtenir une copie de ses données
Le responsable doit répondre sous 1 mois (extensible à 3 mois si demande complexe). Gratuit (sauf demandes excessives). Doit inclure : les données traitées, finalités, durée de conservation, destinataires, source des données.
Droit à l'oubli — supprimer ses données
Applicable si : données non nécessaires, retrait du consentement, opposition légitime, traitement illicite, obligation légale d'effacement. Exceptions : obligation légale de conservation (compta = 10 ans), exercice d'un droit en justice. À traiter sous 1 mois.
Droit de récupérer ses données dans un format structuré et lisible
Vise les données fournies activement par la personne ET traitées sur base d'un consentement OU d'un contrat. Format JSON, CSV, XML acceptés. Si techniquement possible, transmission directe d'un responsable à un autre (ex : transfert d'historique entre 2 banques).
Arrêt CJUE (16 juillet 2020) invalidant le Privacy Shield USA-UE
Conclut que les USA n'offrent pas un niveau de protection équivalent à l'UE (lois FISA 702 et EO 12333). Tout transfert de données vers les USA nécessite désormais des garanties supplémentaires (CCT + analyse d'impact). Concerne notamment Google Analytics, Mailchimp, AWS US, etc. Sanctions CNIL en 2022 (Google Analytics jugé illégal en France).
Cadre USA-UE post-Schrems II (depuis juillet 2023)
Remplace le Privacy Shield invalidé. Permet le transfert de données vers les entreprises US auto-certifiées DPF, sans garanties supplémentaires. Mais : cadre fragile, contesté (recours pending au CJUE). À ce jour, vérifier la certification DPF de chaque prestataire US avant transfert.
Data Protection Impact Assessment — Analyse d'Impact (Art. 35)
Obligatoire pour les traitements à risque élevé (données sensibles à grande échelle, profilage, surveillance systématique). Doit documenter : description du traitement, nécessité, risques pour les personnes, mesures de mitigation. La CNIL fournit un outil PIA gratuit.
Document recensant tous les traitements de données de l'organisation
Obligatoire pour toute entreprise (sauf <250 salariés sans traitement à risque). Doit lister : finalités, catégories de personnes/données, destinataires, transferts, durées de conservation, mesures de sécurité. Doit être fourni à la CNIL en cas de contrôle. Format Word ou Excel.
Délégué à la Protection des Données (Art. 37-39)
Personne physique ou morale (interne ou externe) chargée de conseiller, surveiller et faire le lien avec la CNIL. Obligatoire pour : autorités publiques, organisations dont l'activité principale = surveillance régulière à grande échelle, traitement à grande échelle de données sensibles. Pour la plupart des TPE/PME : facultatif (mais recommandé).
Intégrer la protection des données dès la conception
Principe : penser la confidentialité dès le brief produit, pas après coup. Inclut : minimisation des données collectées, pseudonymisation/anonymisation par défaut, paramètres restrictifs par défaut. Concerne autant les développeurs que les designers UX.
Remplacer un identifiant direct par un identifiant indirect
Ex : remplacer 'lia@scanrgpd.fr' par 'user_a7f3c2'. Les données restent personnelles (réversible avec une clé), mais réduisent les risques. Différent de l'anonymisation (irréversible — les données ne sont plus personnelles, donc hors champ RGPD).
Incident de sécurité affectant des données personnelles
Ex : fuite, perte, accès non autorisé, destruction. Notification CNIL OBLIGATOIRE sous 72H si risque pour les droits/libertés des personnes (Art. 33). Notification aux personnes concernées si risque ÉLEVÉ (Art. 34). Documentation systématique de toutes les violations, même non notifiées.
Réglementation spécifique aux cookies et traceurs en ligne
Article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy 2002/58/CE). Tout dépôt de cookie NON STRICTEMENT NÉCESSAIRE au service nécessite un consentement préalable (CMP). Concerne aussi : pixels de tracking, fingerprinting, web beacons.
Exemptés de consentement par l'Art. 82
Cookies indispensables au fonctionnement : authentification, panier d'achat, équilibrage de charge, mesure d'audience anonymisée. Doivent être STRICTEMENT nécessaires (pas 'utiles' ou 'pratiques'). En cas de doute, demander le consentement par défaut.
Commission Nationale de l'Informatique et des Libertés
Autorité française de contrôle (créée 1978). Compétente pour appliquer le RGPD en France. Pouvoirs : contrôle sur place, mise en demeure, sanctions financières (jusqu'à 20 M€ ou 4% du CA mondial). Publie chaque année son rapport et programme de contrôles.
Comité Européen de la Protection des Données
Anciennement G29. Réunit les 27 CNIL européennes + EDPS (autorité européenne). Émet des lignes directrices, prend les décisions importantes (sanctions Meta, TikTok). Garant de la cohérence d'application du RGPD dans toute l'UE.
Identité du responsable du site, obligatoire — Loi du 21 juin 2004
Doivent inclure : raison sociale, SIRET, RCS, capital, adresse, téléphone, email, directeur de la publication, hébergeur (nom, adresse, téléphone). Absence ou inexactitude = délit puni de 1 an de prison et 75 000€ d'amende (Art. 6-VI LCEN).
Document décrivant les traitements de données aux personnes
Information obligatoire Art. 13 RGPD. Doit être : accessible, claire, gratuite, exhaustive. Inclut : identité du responsable, finalités, base légale, destinataires, durées de conservation, droits, contact DPO, droit de réclamation CNIL. À mettre à jour à chaque changement.
Image 1x1 invisible qui transmet des infos à un tiers
Ex : Facebook Pixel, Google Ads tag, LinkedIn Insight, TikTok Pixel. Permettent le retargeting, la mesure de conversions, le profilage. SOUMIS à consentement préalable (Art. 82 LIL + RGPD). Doivent être désactivés avant tout clic sur 'Accepter' la bannière cookies.
En-têtes envoyés par le serveur pour sécuriser la communication
Principaux : HSTS (force HTTPS), CSP (Content Security Policy), X-Frame-Options (anti-clickjacking), Referrer-Policy, Permissions-Policy. Pas obligatoires sensu stricto par le RGPD mais constituent des 'mesures de sécurité appropriées' (Art. 32). Leur absence est un facteur aggravant en cas de fuite.
Toute communication de données vers un pays tiers
Encadré par les Art. 44-50 RGPD. Possible si : (1) le pays a un niveau de protection adéquat (décision d'adéquation CNIL), (2) garanties appropriées (CCT, BCR, certification), (3) dérogations spécifiques. Les USA = adéquates uniquement via Data Privacy Framework (certif obligatoire).
Modèle de contrat validé par la Commission européenne
Permettent un transfert hors UE en imposant des garanties à l'importateur (sécurité, droits des personnes, voies de recours). Version 2021 obligatoire depuis fin 2022. Doivent être complétées par une analyse d'impact des transferts (TIA) post-Schrems II.
ScanRGPD audite automatiquement votre site en 30 secondes — gratuit, sans inscription.
Pré-diagnostic gratuit →