Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com
Qu'est-ce qu'un Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com ?
Le Registre des Traitements RGPD est, en droit français, un registre des Traitements RGPD encadrant les pratiques de l'entreprise. Il est régi par RGPD art. 30 (Règlement UE 2016/679).
Le Registre des Traitements de Données en France est l'outil de base du principe d'accountability (responsabilisation) consacré par le RGPD art. 5 §2, qui impose au responsable du traitement de démontrer sa conformité au règlement. La Commission Nationale Informatique et Libertés (CNIL), autorité de contrôle nationale créée par la Loi Informatique et Libertés n°78-17 du 6 janvier 1978, peut exiger la communication du registre lors de ses contrôles (enquêtes sur plainte, contrôles en ligne, contrôles sur pièces ou sur place). En 2023, la CNIL a effectué 340 contrôles et prononcé 42 sanctions pour un montant total de 101 millions d'euros. Amazon (35 M EUR), Google (50 M EUR en 2019), Meta (1,2 Md EUR en Irlande en 2023) illustrent l'ampleur des sanctions potentielles.
Le Registre des Traitements de Données en France se distingue de l'ancienne déclaration CNIL (Loi n°78-17 dans sa version originale) supprimée par la Loi n°2018-493 du 20 juin 2018 transposant le RGPD en droit français. Sous le régime ancien, les traitements courants étaient déclarés auprès de la CNIL (déclaration normale) ou autorisés (certains traitements sensibles). Le RGPD a remplacé ce régime déclaratif par un régime d'accountability interne : l'organisation n'est plus obligée de déclarer ses traitements à la CNIL au préalable, mais elle est responsable de les documenter dans son registre et de respecter les principes RGPD sans autorisation préalable, sauf cas spécifiques (AIPD obligatoire, autorisations CNIL maintenues pour certains traitements).
La Cour de cassation a confirmé dans plusieurs arrêts (Cass. crim., 12 octobre 2021, n°20-85.099) que la violation du RGPD peut constituer une infraction pénale engageant la responsabilité personnelle du dirigeant, en complément des sanctions administratives prononcées par la CNIL. La Loi Informatique et Libertés n°78-17 prévoit des sanctions pénales allant jusqu'à 5 ans d'emprisonnement et 300 000 EUR d'amende pour les personnes physiques (art. 226-16 à 226-24 du Code pénal, section « Protection de la vie privée »).
Quand avez-vous besoin d'un Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com ?
Le Registre des Traitements de Données RGPD en France est obligatoire dans la quasi-totalité des situations professionnelles impliquant des données personnelles.
Tout responsable du traitement — entreprise, association, administration, organisme public — qui traite des données personnelles dans le cadre de ses activités a l'obligation de tenir un registre des traitements (RGPD art. 30 §1). Le RGPD ne prévoit pas de seuil de taille : même une TPE ou une micro-entreprise doit tenir ce registre dès qu'elle traite des données personnelles. Une dérogation existe pour les organisations de moins de 250 salariés qui ne traitent des données que de façon occasionnelle (art. 30 §5), mais en pratique cette dérogation est très étroite : dès qu'une entreprise tient un fichier clients, une liste de salariés ou envoie des newsletters, elle est concernée par l'obligation.
Lors de la création d'un fichier clients, prospects ou fournisseurs, le traitement doit être enregistré dans le registre avec ses finalités, sa base légale (intérêt légitime pour la prospection B2B, exécution du contrat pour les clients, consentement pour la prospection B2C) et sa durée de conservation.
Avant le lancement d'une application mobile, d'un site web collectant des données, ou d'un logiciel interne traitant des données personnelles, le traitement correspondant doit être documenté dans le registre. Si ce traitement est susceptible d'engendrer un risque élevé pour les droits des personnes, une AIPD (Analyse d'Impact Protection des Données, RGPD art. 35) doit être conduite avant le lancement.
Lors de la mise en place d'un système de vidéosurveillance, d'un système de contrôle d'accès biométrique, ou de tout système de surveillance des collaborateurs (monitoring des emails, géolocalisation des véhicules), le traitement doit être enregistré avec une base légale (intérêt légitime ou obligation légale) et les mesures de sécurité techniques et organisationnelles appropriées. La CNIL exige pour ces traitements des garanties spécifiques.
En cas de contrôle CNIL, le registre est l'un des premiers documents demandés. En cas d'absence de registre ou de registre insuffisant, la CNIL peut prononcer une mise en demeure et, en cas de non-conformité persistante, une sanction administrative pouvant atteindre 10 000 000 EUR ou 2% du CA mondial annuel pour la violation de l'art. 30 (art. 83 §4 RGPD).
Que faut-il inclure dans votre Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com ?
Le Registre des Traitements de Données RGPD en France doit contenir les éléments obligatoires listés à l'art. 30 §1 du RGPD pour chaque traitement répertorié.
**1. Identification du responsable du traitement et du DPO.** Le registre doit identifier le responsable du traitement (nom, SIREN, siège social) et son Délégué à la Protection des Données (DPO) s'il en a désigné un. La CNIL doit être notifiée de la désignation du DPO via son portail (notifications.cnil.fr). Pour les organismes publics, les responsables de traitement de données sensibles à grande échelle et les organismes effectuant un suivi systématique à grande échelle des personnes, la désignation d'un DPO est obligatoire (RGPD art. 37).
**2. Finalités du traitement.** Les finalités du traitement doivent être « déterminées, explicites et légitimes » (RGPD art. 5 §1 b). Un traitement ne peut poursuivre qu'une ou plusieurs finalités précisément définies. L'utilisation des données pour une finalité incompatible avec la finalité initiale est interdite sauf base légale supplémentaire.
**3. Base légale du traitement (art. 6 RGPD).** Chaque traitement doit reposer sur une des six bases légales : consentement de la personne (révocable à tout moment, non conditionné à l'accès au service) ; exécution d'un contrat ; obligation légale (ex. : conservation des bulletins de salaire imposée par le Code du travail) ; protection des intérêts vitaux ; mission d'intérêt public ; intérêt légitime du responsable ou d'un tiers (doit être mis en balance avec les intérêts des personnes). Pour les données sensibles (art. 9), une base légale supplémentaire est requise parmi les exceptions de l'art. 9 §2.
**4. Catégories de personnes concernées et données traitées.** Identifier toutes les catégories de personnes concernées (clients, prospects, salariés, fournisseurs, visiteurs, mineurs) et toutes les catégories de données traitées en précisant si des données sensibles au sens de l'art. 9 sont concernées (santé, origine ethnique, opinions politiques ou syndicales, données biométriques, génétiques, données sur la vie ou l'orientation sexuelle, infractions pénales).
**5. Destinataires et sous-traitants.** Lister tous les destinataires internes (services ayant accès aux données) et externes (sous-traitants au sens de l'art. 28 RGPD avec lesquels un DPA — Data Processing Agreement — est obligatoire, autorités publiques, partenaires commerciaux). Pour les transferts hors UE/EEE, préciser la garantie appropriée utilisée (clauses contractuelles types de la Commission européenne, décision d'adéquation, règles d'entreprise contraignantes).
**6. Durées de conservation.** Définir pour chaque catégorie de données une durée de conservation précise, justifiée par des délais légaux (prescription, obligation de conservation) ou des besoins opérationnels documentés. Référentiel de la CNIL : les durées de conservation en phase active (utilisation courante), archivage intermédiaire (conservation par précaution) et archivage définitif ou destruction.
**7. Mesures de sécurité techniques et organisationnelles.** Décrire les mesures mises en place pour garantir la sécurité des données (RGPD art. 32) : chiffrement, pseudonymisation, contrôles d'accès, politique de mots de passe, sauvegardes, plan de continuité d'activité, formation des utilisateurs, gestion des incidents et des violations de données. La CNIL publie un « Guide de la sécurité des données personnelles » (version 2023) comme référentiel.
forms-legal.com propose un modèle de Registre des Traitements RGPD pré-structuré, téléchargeable gratuitement et adaptable à la taille et au secteur d'activité de votre organisation.
Comment remplir votre Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com
Le Registre des Traitements de Données RGPD en France se remplit traitement par traitement, en suivant les étapes pratiques suivantes.
**Étape 1 — Inventaire des traitements.** Commencer par répertorier l'ensemble des activités de traitement de données personnelles menées par l'organisation. Un 'traitement' est toute opération sur des données personnelles : collecte, enregistrement, organisation, structuration, conservation, adaptation, consultation, utilisation, communication, diffusion, effacement. Exemples de traitements courants : gestion des ressources humaines (paie, congés), gestion commerciale (fichier clients, facturation), gestion des fournisseurs, communication (newsletter, réseaux sociaux), système informatique (logs d'accès, gestion des accès IT), vidéosurveillance, géolocalisation de véhicules.
**Étape 2 — Identifier le responsable du traitement.** Renseigner la dénomination sociale exacte (telle qu'inscrite au RCS), le numéro SIREN à 9 chiffres, l'adresse complète du siège social. Si l'organisation a désigné un DPO, indiquer ses coordonnées complètes (nom, email, numéro de téléphone).
**Étape 3 — Nommer chaque traitement.** Donner à chaque traitement un intitulé court et descriptif (ex. : 'Gestion de la paie — salariés CDI et CDD', 'Fichier prospects — marketing B2B', 'Vidéosurveillance — accès siège social'). Chaque traitement distinct doit avoir une entrée séparée dans le registre.
**Étape 4 — Définir les finalités et la base légale.** Pour chaque traitement, définir ses finalités précises et identifier la base légale applicable. En cas de doute entre 'intérêt légitime' (art. 6 §1 f) et 'consentement' (art. 6 §1 a), le test de l'intérêt légitime (Legitimate Interest Assessment — LIA) doit être documenté : l'intérêt poursuivi est-il légal et clair ? Le traitement est-il nécessaire et proportionné à cet intérêt ? Les droits et libertés des personnes ne l'emportent-ils pas sur cet intérêt ?
**Étape 5 — Identifier les données et les personnes concernées.** Pour chaque traitement, lister toutes les catégories de données traitées et distinguer les données courantes des données sensibles (art. 9 RGPD). Les données sensibles (santé, biométrie, origines ethniques, opinions syndicales ou politiques, condamnations pénales) nécessitent une base légale supplémentaire et des mesures de sécurité renforcées.
**Étape 6 — Recenser les destinataires et les sous-traitants.** Pour chaque destinataire externe (logiciel SaaS, prestataire de paie, hébergeur cloud), vérifier qu'un contrat de sous-traitance conforme à l'art. 28 RGPD est en place. Pour les transferts hors UE/EEE (ex. : logiciel américain, serveurs hors EEE), identifier la garantie utilisée (clauses contractuelles types de la Commission européenne SCC 2021, décision d'adéquation si pays listé par la Commission).
**Étape 7 — Définir les durées de conservation.** Se référer aux délais légaux de prescription (2 ans droit de la consommation, 3 ans pénal délits, 5 ans commercial, 10 ans comptable) et aux obligations légales de conservation (bulletins de paie : 50 ans minimum selon recommandation CNIL ; données de candidature non retenue : 2 ans max ; données biométriques de contrôle d'accès : 3 mois selon délibération CNIL).
Exigences juridiques pour Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com
Le Registre des Traitements de Données RGPD en France s'inscrit dans un cadre légal précis dont la maîtrise est essentielle pour assurer la conformité de l'organisation.
**RGPD art. 30 — Obligation de tenue du registre.** L'article 30 du RGPD impose à tout responsable du traitement et à tout sous-traitant de tenir un registre des activités de traitement. Ce registre doit être mis à disposition de l'autorité de contrôle (CNIL en France) sur simple demande (art. 30 §4). La dérogation pour les organisations de moins de 250 salariés (art. 30 §5) est très limitée : elle ne s'applique que si les traitements sont occasionnels, n'impliquent pas de données sensibles ou de données relatives à des infractions pénales, et ne présentent pas de risque pour les droits et libertés des personnes. En pratique, cette dérogation est rarement applicable car la plupart des organisations traitent des données de salariés ou de clients de manière régulière.
**CNIL et sanctions.** La CNIL peut prononcer des sanctions administratives allant jusqu'à 20 000 000 EUR ou 4% du CA mondial annuel (RGPD art. 83 §5) pour les violations des principes fondamentaux, ou jusqu'à 10 000 000 EUR ou 2% du CA mondial pour les violations relatives au registre (art. 83 §4). La Loi Informatique et Libertés n°78-17 prévoit en outre des sanctions pénales (Code pénal art. 226-16 à 226-24) : jusqu'à 5 ans d'emprisonnement et 300 000 EUR d'amende pour les personnes physiques en cas de traitement de données sans base légale ou sans respect des droits des personnes.
**DPO et désignation CNIL.** Le DPO doit être désigné et notifié à la CNIL via le portail de notification dédié (notifications.cnil.fr). La CNIL publie sur son site la liste des DPO désignés, ce qui constitue un signal de conformité positif. Le DPO doit disposer des ressources nécessaires à l'exercice de ses missions et d'une indépendance garantie (pas de conflit d'intérêts, Code du travail protection contre le licenciement si DPO interne).
**Violations de données et notification.** En cas de violation de données personnelles (accès non autorisé, perte, destruction, divulgation), le responsable du traitement a l'obligation de notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (RGPD art. 33), et d'informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits (art. 34). Le registre des traitements est indispensable pour réagir efficacement à un incident de sécurité car il permet d'identifier immédiatement les données compromises, les personnes concernées et les mesures de protection en place.
Erreurs courantes à éviter dans votre Registre des Traitements RGPD — Modèle Gratuit France | forms-legal.com
Le Registre des Traitements de Données RGPD en France est souvent incomplet ou inadapté. Voici les erreurs les plus fréquentes.
**Erreur n°1 — Registre limité aux traitements informatisés.** Le RGPD s'applique à tout traitement de données personnelles, qu'il soit informatisé ou non (art. 2 §1 RGPD : 'tout traitement automatisé' + 'traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier'). Les fichiers papier, les carnets d'adresses, les notes manuscrites contenant des données personnelles font partie du périmètre RGPD.
**Erreur n°2 — Bases légales incorrectes ou non documentées.** Un traitement dont la base légale est mal identifiée ou non documentée est non conforme. Le consentement est souvent invoqué à tort pour des traitements pouvant reposer sur l'exécution d'un contrat (gestion des clients) ou l'obligation légale (gestion des salariés). Le recours abusif au consentement crée une charge de gestion (obligation de le recueillir et de le gérer) sans bénéfice réel si une autre base légale est plus appropriée.
**Erreur n°3 — Durées de conservation indéfinies ou trop longues.** 'Conservation indefinite' ou 'jusqu'à demande de suppression' ne sont pas des durées conformes au RGPD. Les durées doivent être précises et justifiées. La CNIL a sanctionné de nombreuses organisations pour conservation excessive des données : Figaro (50 K EUR en 2023), Bouygues Telecom (500 K EUR en 2023 pour conservation de données après résiliation).
**Erreur n°4 — Absence de contrats DPA avec les sous-traitants.** Tout sous-traitant qui traite des données personnelles pour le compte du responsable du traitement doit être lié par un contrat de traitement des données (DPA — Data Processing Agreement) conforme à l'art. 28 RGPD. L'absence de DPA avec un hébergeur cloud, un logiciel SaaS ou un prestataire de services externalisés est une violation fréquente sanctionnée par la CNIL.
**Erreur n°5 — Transferts hors UE non documentés.** Utiliser des outils numériques (Google Workspace, Microsoft 365, AWS, Salesforce, HubSpot) sans documenter les garanties appropriées pour les transferts de données hors UE constitue une violation de l'art. 44-49 RGPD. Depuis l'invalidation du Privacy Shield (arrêt Schrems II, CJUE, 16 juillet 2020), les transferts vers les États-Unis doivent reposer sur les Clauses Contractuelles Types de la Commission européenne (SCC 2021) avec une évaluation de transfert d'impact (TIA — Transfer Impact Assessment).
**Erreur n°6 — Registre jamais mis à jour.** Un registre rédigé lors de la mise en conformité RGPD en 2018 et jamais actualisé depuis ne reflète plus la réalité des traitements de l'organisation. Le RGPD impose une mise à jour continue du registre à chaque création, modification ou suppression d'un traitement. Une revue annuelle complète est recommandée.
Questions Fréquentes
Oui, le Registre des Traitements RGPD est obligatoire pour la quasi-totalité des entreprises françaises, y compris les TPE et PME, dès lors qu'elles traitent des données personnelles (art. 30 RGPD). L'exemption prévue à l'art. 30 §5 pour les organisations de moins de 250 salariés est très étroite : elle ne s'applique que si les traitements sont occasionnels, n'impliquent pas de données sensibles ou de données relatives à des condamnations et infractions pénales, et ne présentent pas de risques pour les droits des personnes. Dès qu'une entreprise dispose d'un fichier clients, gère ses salariés, ou envoie des emails commerciaux, elle traite des données personnelles de manière régulière et doit tenir un registre. La CNIL propose un outil en ligne gratuit (Mon Registre RGPD sur le site cnil.fr) pour aider les TPE/PME à établir leur registre facilement.
La distinction entre sous-traitant et destinataire est fondamentale en droit RGPD car elle détermine les obligations contractuelles applicables. Un sous-traitant (art. 28 RGPD) est une personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement, selon ses instructions. Exemples : un prestataire de paie externalisé, un hébergeur cloud, un CRM SaaS. Le responsable du traitement doit conclure un DPA (contrat de traitement de données art. 28) avec chaque sous-traitant. Un destinataire (art. 4 §9 RGPD) est toute personne physique ou morale à qui les données sont communiquées, qu'il soit sous-traitant ou tiers. Les destinataires qui reçoivent des données dans le cadre de leur propre activité et pour leurs propres finalités (ex. : un assureur qui reçoit des données de santé dans le cadre d'un contrat d'assurance) sont des responsables de traitement distincts, pas des sous-traitants. La frontière peut être floue : un expert-comptable qui gère la paie pour son client est sous-traitant ; un expert-comptable qui audite les comptes et accède accessoirement aux données de paie est destinataire.
La CNIL a publié des recommandations sectorielles sur les durées de conservation dans son référentiel 'Durées de conservation' disponible sur cnil.fr. Les principales durées légales de référence sont : données de salariés (bulletins de paie, contrats, documents sociaux) : 5 ans après la fin du contrat (prescription prud'homale) à 50 ans (retraite) selon la nature des données ; données clients et factures : 10 ans (prescription commerciale, Code de commerce art. L123-22 et L110-4) ; données de candidatures non retenues : 2 ans maximum après le dernier contact ; données de vidéosurveillance : 30 jours maximum selon recommandations CNIL, sauf incident ; logs de connexion et accès IT : 6 mois à 1 an selon la Commission nationale de l'informatique et des libertés (délibération CNIL n°2021-122) ; données de santé (dossier médical patient) : 20 ans après le dernier acte de soin (Code de la santé publique R1112-7). Ces durées couvrent la 'phase active' d'utilisation. Au-delà, les données peuvent passer en archivage intermédiaire (accès restreint) pour la durée de prescription légale, puis être définitivement supprimées ou archivées définitivement si intérêt historique.
Oui. L'article 30 §4 du RGPD et l'article 19 de la Loi Informatique et Libertés n°78-17 (dans sa version modifiée par la Loi n°2018-493) donnent à la CNIL le droit d'accéder au Registre des Traitements sur simple demande, sans préavis particulier. Les contrôles CNIL peuvent prendre plusieurs formes : contrôles sur pièces (demande de documents par email ou courrier) ; contrôles en ligne (la CNIL vérifie le site web ou les applications sans se déplacer) ; contrôles sur place (dans les locaux, sur convocation ou sans préavis dans certains cas) ; auditions. Le Registre des Traitements est systématiquement demandé lors des contrôles CNIL. Son absence ou son insuffisance peut entraîner une mise en demeure puis une sanction administrative. La CNIL a prononcé des mises en demeure et sanctions pour absence de registre ou registre insuffisant dans de nombreux secteurs : hôtellerie, immobilier, commerce de détail, santé.
L'intégration des outils SaaS américains (Google Workspace, Microsoft 365, Salesforce, HubSpot, AWS, etc.) dans le Registre RGPD nécessite une approche rigoureuse en plusieurs étapes. Pour chaque outil, identifier : (1) le traitement concerné (messagerie professionnelle, CRM, facturation, etc.) ; (2) les données personnelles traitées via l'outil ; (3) le sous-traitant (fournisseur SaaS) et la base légale de leur accès aux données. Concernant les transferts hors UE : depuis l'invalidation du Privacy Shield par la CJUE (arrêt Schrems II du 16 juillet 2020) et l'adoption du cadre de protection des données UE-États-Unis (décision d'adéquation du 10 juillet 2023), les transferts vers des entités américaines certifiées DPF (Data Privacy Framework) sont à nouveau légalement possibles. Vérifier sur le registre DPF (dataprivacyframework.gov) si le fournisseur est certifié. Si non certifié, les Clauses Contractuelles Types (SCC 2021 de la Commission européenne) doivent être signées avec le fournisseur, accompagnées d'une évaluation de l'impact du transfert (TIA — Transfer Impact Assessment) documentée dans le registre.
Oui, absolument. Les données des salariés constituent l'une des catégories de traitements les plus encadrées par le RGPD et doivent figurer dans le Registre des Traitements. Les traitements RH typiques à documenter incluent : la gestion de la paie (données d'identité, IBAN, NIR/numéro de sécurité sociale, arrêts maladie — données sensibles art. 9 RGPD) ; la gestion des congés et absences ; la gestion des formations (Compte Personnel de Formation CPF) ; le contrôle d'accès aux locaux (biométrie si utilisée — données sensibles, autorisation CNIL requise) ; la géolocalisation des véhicules de service (délibération CNIL n°2015-165) ; le monitoring des emails professionnels (charte informatique obligatoire) ; la vidéosurveillance des locaux de travail. Pour les données de santé des salariés (arrêts maladie, invalidité, maternité), la base légale est l'obligation légale (art. 6 §1 c) et l'exception art. 9 §2 b (obligations de l'employeur en matière de droit du travail). La CNIL publie des recommandations spécifiques sur le traitement des données de salariés dans son guide 'Gérer les données RH' disponible sur cnil.fr.
Le Registre des Traitements RGPD doit être mis à jour de manière continue, à chaque modification substantielle des traitements de l'organisation. En pratique, cela signifie : mettre à jour le registre lors de chaque création d'un nouveau traitement (nouveaux logiciels, nouveaux fichiers, nouvelle utilisation de données) ; lors de chaque modification significative d'un traitement existant (changement de finalité, de base légale, de destinataires, de durée de conservation, de mesures de sécurité) ; lors de chaque suppression d'un traitement (fin d'utilisation d'un logiciel, fermeture d'un fichier). Une revue complète annuelle est recommandée par la CNIL pour s'assurer que le registre reflète la réalité des traitements en cours. Cette revue est l'occasion de vérifier que les contrats DPA avec les sous-traitants sont à jour, que les bases légales sont toujours valides, et que les durées de conservation sont respectées en pratique. Le DPO, lorsqu'il en existe un, est généralement chargé de coordonner cette mise à jour en coordination avec les responsables opérationnels (DSI, DRH, direction commerciale, direction financière).
Ce modèle est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois varient selon la juridiction et évoluent avec le temps. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.Clause de non-responsabilité complète
Une erreur ? Signalez-le-nousDocuments Connexes
Vous pourriez également trouver ces documents utiles :
Analyse d'Impact AIPD RGPD — Modèle Gratuit France | forms-legal.com
Modèle d'analyse d'impact AIPD conforme RGPD art. 35 et délibération CNIL 2018-326 pour la France. Double matérialité, risques, mesures. Gratuit.
Charte Lanceur d'Alerte Loi Waserman — Modèle Gratuit France | forms-legal.com
Modèle de charte lanceur d'alerte conforme Loi Waserman n°2022-401 et Directive UE 2019/1937 pour la France. Canal d'alerte interne, protection représailles.
Accord de Confidentialité (NDA) France
Accord de confidentialité unilatéral ou réciproque entre entreprises françaises conforme au Code civil art. 1112-2 et à la loi n°2018-670 du 30 juillet 2018 sur le secret des affaires. Protège les informations sensibles lors de due diligence, négociations M&A et partenariats commerciaux.