RGPD : tout ce que vous devez savoir pour vos Projets CRM, Data et MarTech

Le RGPD s’applique à toutes les entreprises, privées ou publiques, des 27 États membres de l’Union européenne, dès lors qu’elles collectent ou traitent des données à caractère personnel sur des résidents de l’UE. Les entreprises non implantées en UE sont également concernées si elles traitent des données de résidents européens.

Concrètement, l’immense majorité des entreprises est concernée. Et les PME ne font pas exception, contrairement à une idée reçue qui a eu la vie longue.

Que recouvre la notion de « données à caractère personnel » (DCP) ? Le RGPD la définit comme toute information se rapportant à une personne physique identifiée ou identifiable : nom, prénom, adresse email, numéro de téléphone, identifiant en ligne, données de localisation, données comportementales dès lors qu’elles peuvent être rattachées à un individu.

Les entreprises B2B sont concernées dès lors qu’elles collectent des informations sur des représentants de personnes morales (ce qui, dans les faits, est presque toujours le cas).

Le RGPD s’articule autour de 4 principes fondamentaux :

1. Le consentement. Le consentement des individus doit être explicite, positif et retirable à tout moment. Les entreprises doivent être en mesure de prouver son recueil. En B2B, des nuances s’appliquent : la collecte du consentement n’est pas obligatoire si la finalité de la collecte est respectée, mais le consentement redevient nécessaire pour des sollicitations par des tiers.
2. La transparence. Les entreprises ont l’obligation de fournir aux individus, dès la phase de collecte, des informations claires et sans ambiguïté sur la manière dont leurs données seront traitées. La transparence est la condition d’un consentement éclairé.
3. Le droit des personnes. Le RGPD consacre plusieurs droits : droit d’accès, droit à l’oubli, droit à la portabilité des données, droit à la limitation du traitement, droit d’opposition. Les entreprises doivent mettre en place les processus permettant de garantir l’exercice effectif de ces droits.
4. La responsabilité (accountability). Les entreprises doivent pouvoir démontrer leur conformité : registre des traitements, analyses d’impact, mesures de sécurité documentées, désignation d’un DPO (Délégué à la Protection des Données) le cas échéant. Le principe de Privacy by Design impose d’intégrer la protection des données dès la conception des produits et services.

Ces quatre principes constituent le socle. Ils n’ont pas changé depuis 2018. Ce qui a changé, en revanche, c’est leur interprétation, leur application concrète et les conséquences de leur non-respect.

Retour au sommaire de l’article

C’est sans doute l’évolution la plus lourde de conséquences pour les entreprises qui utilisent des outils MarTech américains…et elles sont nombreuses.

En juillet 2020, la Cour de Justice de l’Union Européenne a rendu l’arrêt « Schrems II », invalidant le Privacy Shield, le mécanisme qui encadrait jusqu’alors les transferts de données personnelles vers les États-Unis. Le raisonnement de la Cour : les programmes de surveillance américains (FISA 702, Executive Order 12333) permettent des ingérences disproportionnées dans les droits fondamentaux des citoyens européens, sans voie de recours effective.

Du jour au lendemain, des milliers d’entreprises se sont retrouvées sans base juridique pour transférer des données vers leurs prestataires américains. Le repli s’est fait sur les Clauses Contractuelles Types (CCT), assorties d’une obligation nouvelle : réaliser des Transfer Impact Assessments (TIA) pour évaluer si le cadre juridique du pays de destination garantit un niveau de protection suffisant.

Après trois années de négociations, un nouveau cadre a été validé en juillet 2023 : le Data Privacy Framework (DPF). Ce mécanisme repose sur une auto-certification des entreprises américaines auprès du Département du Commerce des États-Unis. Il instaure également un mécanisme de recours pour les citoyens européens.

Point de vigilance : le DPF n’est pas un blanc-seing. Si votre prestataire américain n’est pas formellement certifié DPF, le transfert n’est pas couvert par ce cadre. Vous retombez dans le régime classique : CCT + TIA. Cette vérification est devenue un réflexe indispensable à chaque sélection d’outil SaaS  (CRM, CDP, marketing automation, outil analytics…).

Si vous vous souvenez des bandeaux cookies qui indiquaient « en poursuivant votre navigation, vous acceptez l’utilisation de cookies », sachez que cette pratique est illégale depuis 2020.

La CNIL a adopté en octobre 2020 des lignes directrices imposant une règle simple : le refus des traceurs doit être aussi simple que leur acceptation.

Concrètement, le bouton « Tout refuser » (ou « Continuer sans accepter ») doit figurer au même niveau, sur le même écran et avec la même visibilité que le bouton « Tout accepter ». Les bandeaux asymétriques, les parcours de refus en plusieurs clics, les cases pré-cochées : tout cela est terminé.

En parallèle, le Comité Européen de la Protection des Données (CEPD) a mené entre 2022 et 2024 une offensive structurelle contre les dark patterns, des interfaces conçues pour manipuler le consentement.

Les techniques interdites sont désormais précisément catégorisées :

• Surcharge cognitive (Overloading) : submerger l’utilisateur de requêtes répétées pour le pousser à accepter par lassitude.
• Obstruction (Obstructing) : dissimuler les options de refus derrière des menus complexes, des liens cassés ou des parcours interminables.
• Omission (Skipping) : concevoir l’interface pour que l’option la plus intrusive soit le chemin par défaut.
• Manipulation émotionnelle (Stirring) : culpabiliser ou effrayer l’utilisateur qui souhaite restreindre le traitement de ses données.

En 2026, la CNIL a poussé la logique plus loin avec des recommandations sur le consentement multi-terminaux : les choix de l’utilisateur doivent être mémorisés et harmonisés sur l’ensemble de ses appareils dès lors qu’il est connecté à son compte.

Pour approfondir le sujet des outils de gestion du consentement, consultez notre article sur les CMP (Consent Management Platforms) et le RGPD.

L’époque où le RGPD était perçu comme un épouvantail théorique est révolue. Les chiffres parlent d’eux-mêmes.

Sources : Bilan sanctions CNIL 2025 et bilans annuels publiés par la CNIL pour les années précédentes.

Le nombre de sanctions a été multiplié par 6 en cinq ans. Et le profil des entreprises sanctionnées a changé. En 2025, 67 sanctions sur 83 ont été prononcées via la procédure simplifiée, un mécanisme qui permet de traiter plus rapidement les dossiers concernant des structures de toute taille, PME comprises.

Deux affaires de début 2026 illustrent le durcissement :

• Free Mobile / Free (janvier 2026) : 42 millions d’euros d’amende. Une cyberattaque avait permis l’accès non autorisé aux données de 24 millions de contrats d’abonnés. La CNIL a pointé l’absence d’authentification multifacteur sur des accès critiques et des durées de conservation excessives.
• France Travail (janvier 2026) : 5 millions d’euros. Fuite de données de demandeurs d’emploi, manquements à l’article 32 du RGPD (sécurité des traitements).

Le message est clair : l’article 32 du RGPD (sécurité des traitements) est devenu le premier levier de sanction. La CNIL ne sanctionne plus seulement le fait qu’une violation ait eu lieu. Elle sanctionne le fait que cette violation ait été rendue possible par l’absence de mesures techniques élémentaires. Nous y reviendrons dans la partie consacrée aux impacts concrets sur vos projets.

Pour aller plus loin sur ce sujet, consultez notre article sur le coût des violations de données.

Retour au sommaire de l’article

Adopté en juin 2024, l’AI Act (Artificial Intelligence Act) est le premier cadre réglementaire contraignant au monde sur l’Intelligence Artificielle. Le point fondamental à retenir : l’AI Act ne remplace pas le RGPD. Les deux textes s’appliquent de manière cumulative. Tout système d’IA qui traite des données personnelles doit reposer sur une base légale définie par le RGPD.

Depuis août 2025, plusieurs pratiques d’IA sont formellement interdites en Europe :

• Le scoring social (évaluation et classification des citoyens en fonction de leur comportement).
• La reconnaissance d’émotions sur le lieu de travail ou dans les établissements d’enseignement.
• Le scraping massif d’images faciales pour constituer des bases de reconnaissance faciale.
• La catégorisation biométrique fondée sur des données sensibles (opinions politiques, orientation sexuelle, convictions religieuses).
• L’exploitation algorithmique des vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique.

Les sanctions prévues sont d’une ampleur inédite : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Pour les systèmes d’IA classés « à haut risque », ce qui inclut les algorithmes utilisés dans le recrutement, la notation de crédit ou l’accès aux services essentiels, le déploiement nécessite une Analyse d’Impact (AIPD) sous le prisme du RGPD, couplée à une documentation technique prouvant l’absence de biais discriminatoires.

Nous détaillons les implications pour vos projets CRM dans la section dédiée au RGPD et à l’IA.

L’AI Act n’est pas le seul nouveau venu.

3 autres règlements interagissent avec le RGPD :

• Le DSA (Digital Services Act) renforce la responsabilité des plateformes en ligne. Il interdit le ciblage publicitaire des mineurs et prohibe l’utilisation de données sensibles (santé, opinions politiques) pour le profilage publicitaire.
• Le DMA (Digital Markets Act) cible les « contrôleurs d’accès » (les GAFAM). Il leur interdit de croiser les données entre leurs différents services sans consentement explicite. C’est une disposition qui impacte directement l’écosystème publicitaire digital.
• Le Data Act, applicable depuis septembre 2025, encadre le partage des données générées par les objets connectés (IoT). Il renforce le droit à la portabilité des données initialement consacré par le RGPD.

Dernier élément de contexte : le Digital Omnibus, une proposition de la Commission européenne déposée en novembre 2025 qui vise à simplifier le cadre réglementaire numérique européen.

Parmi les mesures envisagées :

• Extension du délai de notification des failles de sécurité de 72 à 96 heures.
• Intégration des règles cookies (actuellement dans la directive ePrivacy) directement dans le RGPD.
• Exemptions ciblées pour le profilage à très faible risque et l’analyse d’audience basique.

Le point de friction majeur concerne une proposition de redéfinition restrictive de la notion de « donnée personnelle » pour les données pseudonymisées. Le CEPD s’y est opposé frontalement dans son Opinion conjointe 2/2026. En février 2026, des compromis circulaient au Conseil, visant à retirer cette disposition controversée du texte final. Ce débat est à suivre de près.

Retour au sommaire de l’article

Vous êtes en train de sélectionner un CRM, une CDP, un outil de marketing automation ou une solution d’analytics ? La localisation des données et le cadre juridique du prestataire font partie des critères d’évaluation.

Concrètement, cela signifie :

• Vérifier la certification DPF pour tout éditeur américain. Si l’éditeur n’est pas certifié, exiger contractuellement les Clauses Contractuelles Types (CCT).
• Évaluer l’option d’hébergement européen quand elle existe — c’est le cas chez un nombre croissant d’éditeurs SaaS.
• Intégrer ces critères dans le cahier des charges et le RFP. Ce n’est pas un sujet à traiter « après ». C’est un critère de sélection à part entière.
• En cas de traitement de données sensibles ou à grande échelle, évaluer les alternatives souveraines : hébergement SecNumCloud, éditeurs européens, architectures hybrides.

Chez CustUp, nous intégrons systématiquement cette analyse dans nos missions de sélection CRM et de définition de l’architecture du SI Client.

Le Privacy by Design n’est pas un concept abstrait, c’est un principe de conception qui doit se traduire concrètement dans l’architecture de votre Système d’Information Clients.

Qu’est-ce que cela implique ?

• Minimisation des données dès la conception du modèle de données. Ne collectez et ne stockez que les données dont vous avez réellement besoin pour vos cas d’usage définis.
• Durées de conservation définies par finalité, intégrées au paramétrage de vos outils, pas laissées à l’appréciation de chacun.
• Pseudonymisation et chiffrement sur les données sensibles, en transit comme au repos.
• Politique de purge automatisée. Son absence est désormais considérée comme une faute : c’est l’un des griefs retenus par la CNIL dans la sanction Free en janvier 2026.

Pour structurer cette démarche, consultez nos ressources sur la gouvernance des données.

Votre plan de collecte est le premier point de contact entre votre entreprise et les données personnelles de vos clients. C’est là que la conformité RGPD commence…ou échoue.

Quelques principes opérationnels :

• Chaque point de collecte doit être associé à une finalité explicite. Pas de collecte « au cas où ».
• Gestion des consentements par finalité, pas par formulaire. Un opt-in newsletter ne vaut pas opt-in prospection commerciale. Un consentement email ne vaut pas consentement SMS.
• Traçabilité : vous devez être en mesure de prouver le consentement en cas de contrôle CNIL (horodatage, contenu exact de l’information délivrée, canal de collecte).
• Impact sur vos scénarios de marketing automation : chaque scénario doit reposer sur un consentement valide pour le canal et la finalité concernés. Cela suppose une segmentation fine et un interfaçage correct entre votre CMP et votre outil d’activation.

Le RGPD consacre des droits pour les personnes physiques : droit d’accès, droit à l’effacement, droit à la portabilité, droit à la limitation du traitement. En 2026, ces droits ne sont plus théoriques. Les demandes sont de plus en plus fréquentes et les délais de réponse sont encadrés : 1 mois maximum.

Cela implique de prévoir les workflows dans votre CRM : formulaire de demande accessible, processus de traitement documenté, suppression effective dans toutes les bases (y compris les copies, les sauvegardes et les outils tiers), confirmation au demandeur. Ces processus doivent être conçus en amont du déploiement, pas après.

Pour approfondir ce sujet, consultez notre article sur les étapes de la conformité GDPR.

C’est probablement l’évolution la plus concrète pour les équipes opérationnelles.

L’article 32 du RGPD (sécurité des traitements) n’est plus une obligation de moyens abstraite, c’est le principal levier de sanction financière.

La jurisprudence de 2025-2026 a établi une doctrine claire : certaines mesures techniques, autrefois considérées comme de simples bonnes pratiques, sont désormais des obligations légales de fait.

Leur absence constitue une faute lourde :

• Authentification multifacteur (MFA) sur les accès critiques et les comptes administrateurs.
• Journalisation et traçabilité des accès aux données personnelles.
• Politique de purge automatisée des données dont la durée de conservation est expirée.
• Chiffrement des données sensibles en transit et au repos.
• Tests d’intrusion réguliers et audits de sécurité.
• Plan de réponse aux incidents documenté et testé.

Ce n’est pas un sujet IT déconnecté du CRM. Votre CRM stocke des données personnelles. Votre CDP aussi. Votre outil de marketing automation aussi. La sécurité de ces outils est votre responsabilité en tant que responsable de traitement.

Consultez notre article sur la sécurité des données clients et notre page sur le diagnostic données GDPR.

Retour au sommaire de l’article

Le RGPD (Règlement Général sur la Protection des Données), ou GDPR en anglais, est le règlement européen de référence en matière de protection des données personnelles. En vigueur depuis le 25 mai 2018, il s’applique à toute organisation traitant des données à caractère personnel de résidents de l’Union européenne. Il s’articule autour de quatre principes : le consentement, la transparence, le droit des personnes et la responsabilité des entreprises (accountability).

Toutes les entreprises qui collectent ou traitent des données personnelles de résidents de l’UE sont concernées, quelle que soit leur taille ou leur localisation. Cela inclut les PME et les TPE, les entreprises B2B comme B2C, et les entreprises non européennes opérant sur le marché européen. En 2025, la CNIL a accéléré ses contrôles sur les PME, rendant l’argument de la taille de l’entreprise inopérant.

Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de 487 millions d’euros, un record historique. Les manquements à la sécurité des données (article 32) sont devenus le premier motif de sanctions financières lourdes.

Le RGPD introduit des critères de sélection incontournables : localisation des données (hébergement UE ou hors UE), certification Data Privacy Framework pour les éditeurs américains, clauses contractuelles types, capacités de paramétrage du Privacy by Design (durées de conservation, gestion des consentements par finalité, politique de purge). Ces critères doivent être intégrés dès le cahier des charges.

Oui, le RGPD s’applique cumulativement avec l’AI Act (adopté en 2024). Tout système d’IA traitant des données personnelles doit reposer sur une base légale RGPD. Les personnes conservent leurs droits (accès, effacement) sur les données d’entraînement. L’AI Act ajoute des interdictions spécifiques (scoring social, reconnaissance d’émotions) et des obligations de transparence pour les IA génératives.

Le Data Privacy Framework est le cadre juridique qui encadre les transferts de données personnelles entre l’UE et les États-Unis depuis juillet 2023. Il remplace le Privacy Shield, invalidé par l’arrêt Schrems II en 2020. Il fonctionne par auto-certification : seules les entreprises américaines formellement inscrites sur la liste du DPF sont couvertes. Pour les prestataires non certifiés, l’entreprise européenne doit recourir aux Clauses Contractuelles Types (CCT) assorties d’une analyse d’impact (TIA).