NIS2 & DORA en vigueur. EU AI Act arrive — réservez une démo
Tous les référentiels
Cadre réglementaire

Conformité GDPR, automatisée et continue

Allez au-delà de la conformité par cases à cocher. Matproof automatise vos registres des traitements, vos workflows DPIA et les droits des personnes concernées — pour une conformité GDPR continue.

Demander une démo

Qu'est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD), formellement Règlement UE 2016/679, est la loi européenne phare en matière de protection des données qui a fondamentalement transformé la manière dont les organisations du monde entier traitent les données personnelles. En vigueur depuis le 25 mai 2018, le RGPD a établi un cadre unifié de protection des données dans tous les États membres de l'UE et de l'EEE, remplaçant le patchwork de lois nationales fondées sur la Directive de 1995 sur la protection des données. Il est largement considéré comme le règlement de protection des données le plus complet et le plus influent au monde.

Le RGPD repose sur sept principes fondamentaux qui régissent tout traitement de données personnelles : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité. Ces principes ne sont pas simplement aspirationnels — ils constituent la base juridique par rapport à laquelle toutes les activités de traitement sont mesurées. Les organisations doivent être en mesure de démontrer la conformité à chaque principe, un concept connu sous le nom de principe de responsabilité au titre de l'Article 5(2).

L'une des caractéristiques les plus significatives du RGPD est sa portée extraterritoriale. En vertu de l'Article 3, le règlement s'applique non seulement aux organisations établies dans l'UE, mais également à toute organisation dans le monde qui offre des biens ou services aux résidents de l'UE ou qui surveille leur comportement. Cela signifie qu'une entreprise technologique basée aux États-Unis, une startup fintech à Singapour ou un fournisseur SaaS en Israël doit se conformer au RGPD s'il traite des données personnelles de personnes dans l'UE — indépendamment de l'endroit où les données sont effectivement traitées.

En Allemagne, le RGPD est complété par la Bundesdatenschutzgesetz (BDSG), qui ajoute des dispositions nationales dans les domaines où le RGPD permet une flexibilité aux États membres. La BDSG établit des exigences plus strictes dans plusieurs domaines — notamment, elle impose la désignation d'un délégué à la protection des données (Datenschutzbeauftragter) pour toute organisation comptant 20 employés ou plus régulièrement engagés dans le traitement automatisé de données personnelles. L'Allemagne dispose également de 16 autorités de protection des données des Länder (Landesdatenschutzbehoerden) en plus du commissaire fédéral (BfDI), créant un paysage d'application complexe mais robuste.

Qui a besoin de la conformité RGPD ?

Le RGPD s'applique à pratiquement toute organisation qui traite des données personnelles de personnes dans l'UE/EEE, que ce soit en tant que responsable de traitement (déterminant les finalités et les moyens du traitement) ou en tant que sous-traitant (traitant des données pour le compte d'un responsable de traitement). Le règlement ne prévoit pas de seuil de chiffre d'affaires ni de taille minimale d'entreprise — même les auto-entrepreneurs et les micro-entreprises doivent s'y conformer.

Responsables de traitement

  • Toute entreprise établie dans l'UE traitant des données personnelles
  • Entreprises hors UE offrant des biens/services aux résidents de l'UE
  • Entreprises hors UE surveillant le comportement de résidents de l'UE
  • Autorités publiques et organismes gouvernementaux
  • Prestataires de santé et entreprises pharmaceutiques
  • Entreprises de services financiers et d'assurance

Sous-traitants

  • Fournisseurs de services cloud et d'hébergement
  • Plateformes SaaS traitant des données clients
  • Prestataires de services de paie et RH
  • Plateformes de marketing et d'analyse
  • Prestataires d'externalisation IT et de services gérés
  • Fournisseurs de support client et de centres d'appels

Une attention particulière s'applique aux organisations traitant des catégories particulières de données personnelles (Article 9) — y compris les données de santé, les données biométriques, les données génétiques, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale et les données relatives à la vie sexuelle ou à l'orientation sexuelle. Le traitement de ces données nécessite de remplir l'une des conditions spécifiques de l'Article 9(2), et les organisations traitant ces catégories à grande échelle doivent désigner un DPO et généralement réaliser des AIPD.

Not sure if you're compliant?

Take the free GDPR readiness assessment — 10 questions, 3 minutes.

Check your readiness

Exigences clés du RGPD en détail

1. Base juridique du traitement (Article 6)

Chaque activité de traitement doit avoir une base juridique valide. Le RGPD prévoit six bases juridiques : le consentement, la nécessité contractuelle, l'obligation légale, les intérêts vitaux, la mission d'intérêt public et les intérêts légitimes. Les organisations doivent identifier et documenter la base juridique de chaque activité de traitement avant le début du traitement. Le consentement doit être libre, spécifique, éclairé et sans ambiguïté — et il doit être aussi facile à retirer qu'à donner. Les intérêts légitimes nécessitent un test de mise en balance documenté.

2. Droits des personnes concernées (Articles 12-22)

Le RGPD accorde aux personnes huit droits : le droit à l'information (transparence), le droit d'accès, le droit de rectification, le droit à l'effacement (droit à l'oubli), le droit à la limitation du traitement, le droit à la portabilité des données, le droit d'opposition et les droits liés à la prise de décision automatisée et au profilage. Les organisations doivent répondre aux demandes des personnes concernées dans un délai d'un mois (extensible de deux mois pour les demandes complexes) et fournir la réponse gratuitement dans la plupart des cas.

3. Registre des activités de traitement (Article 30)

Les responsables de traitement et les sous-traitants de plus de 250 employés — ou ceux dont le traitement présente des risques, implique des catégories particulières ou concerne des condamnations pénales — doivent tenir des registres détaillés des activités de traitement (ROPA/Verarbeitungsverzeichnis). Ces registres doivent inclure les finalités du traitement, les catégories de personnes concernées et de données personnelles, les destinataires, les transferts internationaux, les durées de conservation et une description des mesures de sécurité. Les registres doivent être mis à disposition de l'autorité de contrôle sur demande.

4. Analyse d'impact relative à la protection des données (Article 35)

Une AIPD est obligatoire lorsque le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées. Cela comprend le profilage systématique et extensif avec des effets significatifs, le traitement à grande échelle de catégories particulières de données et la surveillance systématique de zones accessibles au public. L'AIPD doit décrire les opérations de traitement, évaluer la nécessité et la proportionnalité, évaluer les risques et identifier les mesures pour y remédier. Si les risques restent élevés après l'atténuation, une consultation préalable de l'autorité de contrôle est requise au titre de l'Article 36.

5. Délégué à la protection des données (Articles 37-39)

Un DPO doit être désigné par les autorités publiques, les organisations dont les activités de base exigent un suivi régulier et systématique des personnes à grande échelle, ou les organisations traitant des catégories particulières de données à grande échelle. En Allemagne, la BDSG étend cette exigence à toute entreprise comptant 20 employés ou plus régulièrement impliqués dans le traitement automatisé de données. Le DPO doit posséder une expertise en droit de la protection des données, opérer de manière indépendante, rendre compte directement au plus haut niveau de direction et ne peut être révoqué ou pénalisé pour l'exercice de ses fonctions.

6. Notification de violation (Articles 33-34)

Les violations de données personnelles doivent être notifiées à l'autorité de contrôle compétente dans les 72 heures suivant le moment où le responsable de traitement en a pris connaissance, à moins que la violation ne soit pas susceptible d'entraîner un risque pour les personnes. La notification doit inclure la nature de la violation, le nombre approximatif de personnes concernées et d'enregistrements affectés, les conséquences probables et les mesures prises ou proposées. Si la violation est susceptible d'entraîner un risque élevé pour les personnes, celles-ci doivent également être informées directement sans retard injustifié. Les sous-traitants doivent notifier les responsables de traitement sans retard injustifié après avoir pris connaissance d'une violation.

7. Transferts internationaux de données (Articles 44-49)

Les transferts de données personnelles en dehors de l'UE/EEE ne sont autorisés que si le pays destinataire assure un niveau de protection adéquat (décision d'adéquation), ou si des garanties appropriées sont mises en place. Les clauses contractuelles types (CCT) sont le mécanisme de transfert le plus couramment utilisé, bien que les règles d'entreprise contraignantes (BCR) soient disponibles pour les transferts intra-groupe. Suite à l'arrêt Schrems II, les organisations utilisant des CCT doivent également réaliser une analyse d'impact du transfert (TIA) pour évaluer les lois de protection des données du pays destinataire et mettre en œuvre des mesures supplémentaires si nécessaire.

8. Contrats de sous-traitance (Article 28)

Lorsqu'un responsable de traitement fait appel à un sous-traitant, un contrat de sous-traitance écrit (DPA/Auftragsverarbeitungsvertrag) doit être en place. Le contrat doit spécifier l'objet et la durée du traitement, la nature et la finalité du traitement, les types de données personnelles, les catégories de personnes concernées et les obligations et droits du responsable de traitement. Les sous-traitants doivent fournir des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées et ne doivent pas faire appel à des sous-traitants ultérieurs sans l'autorisation du responsable de traitement.

Sanctions en cas de non-conformité au RGPD

Le RGPD a introduit les amendes les plus élevées jamais vues en matière de protection des données, et l'activité de mise en application a considérablement augmenté d'année en année depuis 2018. À fin 2025, les autorités de contrôle à travers l'Europe ont infligé des amendes cumulées dépassant 4 milliards d'euros.

Jusqu'à 20 M EUR / 4 %

Amendes de niveau supérieur pour les violations des principes de traitement, des droits des personnes concernées et des règles de transfert international (le montant le plus élevé étant retenu)

Jusqu'à 10 M EUR / 2 %

Amendes de niveau inférieur pour les violations administratives et organisationnelles, y compris les registres des traitements, la désignation du DPO et les mesures de sécurité

Sanctions pénales

La BDSG allemande ajoute une responsabilité pénale pouvant aller jusqu'à 3 ans d'emprisonnement pour le traitement non autorisé intentionnel de données ou l'obtention de données par tromperie

Responsabilité civile

Les personnes concernées ont le droit à réparation pour les dommages matériels et immatériels (Article 82), permettant des actions collectives à travers l'UE

Parmi les amendes RGPD notables figurent Meta (1,2 milliard d'euros pour les transferts internationaux), Amazon (746 millions d'euros pour la publicité ciblée) et WhatsApp (225 millions d'euros pour des manquements à la transparence). En Allemagne, H&M a reçu une amende de 35,3 millions d'euros pour la surveillance des employés, et 1&1 Telecom a été sanctionné à hauteur de 9,55 millions d'euros pour des procédures d'authentification inadéquates. Ces affaires démontrent que l'application touche des entreprises de toutes tailles dans tous les secteurs.

Comment atteindre la conformité RGPD

La conformité RGPD n'est pas un projet ponctuel mais un programme continu. Voici une approche structurée pour construire et maintenir un cadre de conformité RGPD complet :

  1. 1

    Cartographie des données et registre des traitements

    Cartographiez tous les flux de données personnelles dans votre organisation : quelles données vous collectez, d'où elles proviennent, comment elles sont traitées, qui y a accès, où elles sont stockées et avec qui elles sont partagées. Créez et maintenez votre registre des activités de traitement (ROPA). Cela constitue le fondement de toutes les autres activités de conformité RGPD et doit être tenu à jour au fur et à mesure de l'évolution des activités de traitement.

  2. 2

    Évaluation de la base juridique et avis de confidentialité

    Pour chaque activité de traitement, déterminez et documentez la base juridique appropriée. Mettez à jour les avis de confidentialité pour répondre aux exigences de transparence du RGPD (Articles 13-14), en communiquant clairement les données que vous collectez, pourquoi, sur quelle base juridique, pendant combien de temps vous les conservez et quels droits les personnes ont. Révisez et mettez à jour les mécanismes de consentement lorsque le consentement est la base juridique.

  3. 3

    Désignation du DPO et gouvernance

    Déterminez si votre organisation est tenue de désigner un délégué à la protection des données. En Allemagne, cela est obligatoire pour les entreprises de 20 employés ou plus engagés dans le traitement automatisé de données. Établissez une structure de gouvernance de la protection des données avec des rôles, des responsabilités et des lignes hiérarchiques clairs. Mettez en place une formation régulière à la protection de la vie privée pour tous les employés qui traitent des données personnelles.

  4. 4

    Processus de droits des personnes concernées

    Mettez en place des processus et des systèmes pour traiter les demandes des personnes concernées dans le délai requis d'un mois. Cela comprend les demandes d'accès, les demandes de suppression, les demandes de portabilité et les oppositions. Assurez-vous de pouvoir identifier et récupérer toutes les données personnelles relatives à une personne dans tous les systèmes, et que les processus de suppression se répercutent sur tous les espaces de stockage de données et sous-traitants concernés.

  5. 5

    Détection et notification des violations

    Mettez en œuvre des mesures techniques pour détecter rapidement les violations de données et établissez un plan de réponse aux incidents respectant l'exigence de notification sous 72 heures. Définissez les procédures d'escalade, les modèles de notification et les critères de décision pour évaluer le risque pour les personnes concernées. Réalisez régulièrement des exercices de réponse aux violations pour vous assurer que votre équipe peut respecter les délais stricts sous pression réelle.

  6. 6

    Gestion des fournisseurs et transferts internationaux

    Passez en revue toutes les relations avec les sous-traitants et assurez-vous que des contrats de sous-traitance appropriés sont en place. Pour les transferts internationaux de données, mettez en œuvre les garanties appropriées (CCT, BCR ou décisions d'adéquation) et réalisez des analyses d'impact du transfert si nécessaire. Utilisez Matproof pour centraliser le suivi de la conformité des fournisseurs, automatiser la gestion des DPA et maintenir une surveillance continue de votre chaîne de traitement.

Questions fréquentes sur le RGPD

Qu'est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD), officiellement Règlement UE 2016/679, est la loi européenne globale sur la protection des données. En vigueur depuis le 25 mai 2018, il régit la manière dont les organisations collectent, traitent, stockent et transfèrent les données personnelles des personnes dans l'UE/EEE. Le RGPD a remplacé la Directive de 1995 sur la protection des données et s'applique directement dans tous les États membres de l'UE sans nécessiter de transposition nationale, bien que les États membres puissent ajouter des dispositions supplémentaires.

Le RGPD s'applique-t-il aux entreprises en dehors de l'UE ?

Oui. Le RGPD a une portée extraterritoriale en vertu de l'Article 3. Il s'applique à toute organisation — indépendamment de son lieu d'établissement — qui traite des données personnelles de personnes dans l'UE/EEE si elle leur offre des biens ou services, ou surveille leur comportement au sein de l'UE/EEE. Cela signifie qu'une entreprise SaaS américaine avec des clients dans l'UE doit se conformer au RGPD, y compris désigner un représentant dans l'UE au titre de l'Article 27.

Quelles sont les sanctions pour les violations du RGPD ?

Le RGPD établit un système de sanctions à deux niveaux. Le niveau supérieur prévoit des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les violations des principes de traitement, des droits des personnes concernées et des règles de transfert international. Le niveau inférieur impose des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour les violations administratives et organisationnelles. En Allemagne, la BDSG ajoute des sanctions pénales pouvant aller jusqu'à 3 ans d'emprisonnement pour certaines violations.

Ai-je besoin d'un délégué à la protection des données (DPO) ?

En vertu du RGPD, un DPO est obligatoire pour les autorités publiques, les organisations dont les activités de base impliquent un suivi régulier et systématique des personnes à grande échelle, ou les organisations traitant des catégories particulières de données à grande échelle. En Allemagne, la BDSG abaisse considérablement ce seuil : toute entreprise de 20 employés ou plus régulièrement engagés dans le traitement automatisé de données personnelles doit désigner un DPO (Datenschutzbeauftragter). Le DPO peut être interne ou externe.

Qu'est-ce qu'une AIPD et quand est-elle requise ?

Une analyse d'impact relative à la protection des données (AIPD) est une évaluation des risques requise au titre de l'Article 35 chaque fois que le traitement est "susceptible d'entraîner un risque élevé" pour les personnes concernées. Cela comprend le profilage systématique, le traitement à grande échelle de catégories particulières de données et la surveillance systématique de zones publiques. Les autorités de contrôle publient également des listes d'activités de traitement nécessitant une AIPD. L'AIPD doit décrire le traitement, évaluer la nécessité et la proportionnalité, évaluer les risques et identifier les mesures d'atténuation.

Qu'est-ce que l'exigence de notification de violation sous 72 heures ?

En vertu de l'Article 33, les responsables de traitement doivent notifier l'autorité de contrôle compétente d'une violation de données personnelles dans les 72 heures suivant le moment où ils en ont pris connaissance, à moins que la violation ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes. La notification doit décrire la violation, les personnes concernées, les conséquences probables et les mesures prises. Si la violation est susceptible d'entraîner un risque élevé pour les personnes, celles-ci doivent également être notifiées directement au titre de l'Article 34.

GDPR Readiness Assessment

Evaluate your data protection compliance

Take the free assessment

Fonctionnalités clés

Registre des activités de traitement

Maintenez automatiquement les registres de l’Article 30. Suivez les activités de traitement, les bases juridiques, les durées de conservation et les flux de données.

Analyses d’impact sur la protection des données

Workflows DPIA automatisés pour les traitements à haut risque. Évaluations étape par étape avec notation des risques et suivi de l’atténuation.

Gestion des droits des personnes concernées

Traitez les demandes d’accès, de suppression et de portabilité dans les délais réglementaires. Piste d’audit complète pour chaque demande.

Workflows de notification de violation

Workflows de notification de violation en 72 heures. Générez automatiquement les rapports pour les autorités de contrôle et les personnes concernées.

Gestion du consentement

Suivez le consentement sur l’ensemble des activités de traitement. Gérez les acceptations, les retraits et les cycles de renouvellement du consentement.

Traitement des données par des tiers

Gérez les accords de sous-traitance, le suivi des sous-traitants ultérieurs et les garanties de transfert international (CCT, décisions d’adéquation).

Pourquoi Matproof

Registres de l’Article 30 générés automatiquement
Workflow de notification de violation en 72 heures intégré
Droits des personnes concernées traités dans les délais
Hébergé 100 % dans l’UE — nous pratiquons ce que nous prênons

Conformité conformité à travers l’Allemagne

Trouvez des guides de conformité spécifiques à votre ville pour votre institution financière.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Voir toutes les villes et référentiels

GDPR Readiness Assessment

Evaluate your data protection compliance

Take the free assessment

Témoignages clients

Les équipes qui ne redoutent plus la saison des audits.

85 %de préparation en moins

Matproof nous a fait gagner des mois de préparation d'audit. Nous avons connecté nos outils le lundi et dès le vendredi, nous avions des preuves cartographiées selon DORA. Notre auditeur a été impressionné par la profondeur de la piste d'audit.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Prêt à commencer ?

Prêt à commencer ?

Découvrez comment Matproof automatise la conformité pour votre organisation.

Demander une démo