Lexique · Gestion d'entreprise

Qu'est-ce que le RGPD ?

6 min de lecture · Mis à jour le 08 juillet 2026
Définition Le RGPD (Règlement Général sur la Protection des Données), officiellement règlement UE 2016/679, est le texte européen qui encadre le traitement des données à caractère personnel. Applicable depuis le 25 mai 2018, il s'impose à toute organisation qui traite les données de personnes situées dans l'Union européenne, quelle que soit sa taille.
La fiche complète
L'essentiel en bref
  • RGPD = règlement UE 2016/679, applicable dans toute l'Union depuis le 25 mai 2018.
  • S'applique à toutes les tailles : dès qu'une PME traite des données personnelles (clients, prospects, salariés).
  • Registre des traitements obligatoire, tenu par le responsable de traitement.
  • DPO obligatoire dans certains cas (organisme public, suivi à grande échelle, données sensibles).
  • Souveraineté : héberger les données en France/UE simplifie la conformité et les transferts.
I Ce que le RGPD impose con...

Ce que le RGPD impose concrètement à une PME

Le RGPD ne réserve pas ses obligations aux grands groupes : toute organisation qui collecte des données personnelles est concernée, y compris une TPE avec un fichier clients Excel. Les grands principes :

  • Finalité : ne collecter des données que pour un but précis et légitime
  • Minimisation : ne recueillir que ce qui est nécessaire à ce but
  • Base légale : chaque traitement repose sur un fondement (consentement, contrat, obligation légale, intérêt légitime…)
  • Durée de conservation limitée et justifiée
  • Sécurité : mesures techniques et organisationnelles adaptées

En pratique, cela veut dire tenir un registre des traitements, informer les personnes (mentions, politique de confidentialité), recueillir le consentement quand il est requis, et être capable de répondre aux demandes d'accès, de rectification ou de suppression.

2016/679
référence du règlement européen instituant le RGPD
25 mai 2018
date d'entrée en application du RGPD
72 h
délai pour notifier une violation de données à la CNIL
II Registre des traitements ...

Registre des traitements et DPO : qui, quand ?

Le registre des traitements recense, pour chaque traitement, sa finalité, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité. Il est obligatoire et constitue la première preuve de conformité qu'un contrôle CNIL demandera.

La désignation d'un DPO (Délégué à la Protection des Données) est obligatoire dans trois cas :

  • L'organisme est une autorité ou un organisme public
  • Son activité de base implique un suivi régulier et systématique à grande échelle des personnes
  • Son activité de base implique un traitement à grande échelle de données sensibles (santé, opinions, biométrie…) ou relatives à des condamnations

Hors de ces cas, le DPO reste facultatif mais souvent recommandé. Beaucoup de PME désignent un référent interne ou externalisent la fonction.

III Souveraineté des données ...

Souveraineté des données et hébergement en France

Le RGPD encadre strictement les transferts de données hors UE : ils ne sont possibles que vers des pays offrant un niveau de protection adéquat ou moyennant des garanties spécifiques. Confier ses données à un service hébergé hors d'Europe expose donc à une complexité juridique — et à un risque réputationnel.

Héberger les données de ses clients en France, ou a minima dans l'Union, simplifie radicalement la conformité : pas de transfert international à encadrer, un cadre légal unique, et un argument de confiance vis-à-vis de ses propres clients. Choisir des outils qui garantissent cet hébergement — c'est le parti pris d'Orizen, hébergé en France — est une décision de conformité autant que de souveraineté.

Et si un outil gérait cela pour vous ?

Découvrez la solution Orizen : Accompagnement Orizen, modulaire et conçue pour les PME françaises.

Essai gratuit 14 jours
IV Questions fréquentes

Les réponses aux questions qu'on nous pose le plus.

Le RGPD s'applique-t-il aux petites entreprises ?

Oui. Le RGPD s'applique quelle que soit la taille de l'organisation, dès lors qu'elle traite des données personnelles de personnes situées dans l'UE : fichier clients, base de prospects, données de salariés. Une TPE n'échappe pas au registre des traitements, à l'obligation d'information et aux droits des personnes. Seule la désignation d'un DPO dépend de critères précis.

Une PME doit-elle obligatoirement nommer un DPO ?

Pas toujours. Le DPO est obligatoire uniquement pour les organismes publics, ou lorsque l'activité principale implique un suivi régulier et systématique à grande échelle, ou le traitement à grande échelle de données sensibles. Hors de ces cas, il est facultatif mais recommandé. Beaucoup de PME désignent un référent RGPD interne ou font appel à un prestataire.

Pourquoi héberger ses données en France pour le RGPD ?

Héberger en France, ou dans l'UE, évite d'avoir à encadrer des transferts de données hors Europe, qui exigent des garanties spécifiques. C'est plus simple juridiquement et rassurant pour les clients. C'est la raison pour laquelle un outil comme Orizen, hébergé en France, facilite la mise en conformité des PME qu'il accompagne.

Hop, en haut ↑