RGPD : guide complet de la protection des donnees (2026)

Le RGPD (Règlement Général sur la Protection des Données, Règlement UE 2016/679) est le texte européen qui encadre la manière dont les organisations collectent, utilisent et protègent les données personnelles. Applicable depuis le 25 mai 2018, il est devenu en huit ans la colonne vertébrale du droit de la protection des données en Europe — et bien au-delà.

Les chiffres parlent d’eux-mêmes : en 2024, la CNIL a prononcé plus de 40 sanctions pour un montant total dépassant 55 millions d’euros. Les contrôles se sont systématisés, les plaintes des personnes ont explosé, et les entreprises qui n’ont pas encore intégré le RGPD dans leur fonctionnement courent un risque juridique et financier réel.

J’ai eu l’honneur de conseiller les services du Premier Ministre (SGDN/DCSSI) en qualité d’expert national pendant l’élaboration du texte. Après plus de 20 ans de pratique en droit des nouvelles technologies et un doctorat en droit privé (Paris II), je mesure à quel point ce règlement a transformé la relation entre les organisations et les individus. Ce guide a vocation à vous donner les clés pour comprendre le RGPD de façon complète, précise et opérationnelle.

Qu’est-ce que le RGPD ?

Le RGPD est un règlement européen — ce qui signifie qu’il s’applique directement dans tous les États membres de l’Union européenne, sans transposition nécessaire. Adopté le 27 avril 2016, il est devenu applicable le 25 mai 2018, abrogeant la Directive 95/46/CE qui encadrait jusque-là la protection des données personnelles au niveau européen.

En France, le RGPD est complété par la Loi Informatique et Libertés du 6 janvier 1978, profondément révisée par la loi du 20 juin 2018 pour s’articuler avec le règlement. Les deux textes forment un ensemble cohérent : le RGPD fixe le cadre général, la loi française précise certaines marges de manœuvre laissées aux États membres (âge du consentement des mineurs, traitement des données de santé, etc.).

Pour comprendre d’où vient le RGPD, il faut remonter à la Directive 95/46/CE. Ce texte, adopté en 1995, a structuré pendant vingt ans le droit européen de la protection des données. Mais la directive nécessitait une transposition dans chaque État membre, ce qui a engendré 28 législations différentes — un cauchemar pour les entreprises opérant sur plusieurs marchés. Le RGPD a mis fin à cette fragmentation en imposant un texte unique. Pour approfondir cette évolution, consultez notre article sur l’histoire du RGPD.

Le champ d’application territorial du RGPD est particulièrement large (Art. 3). Le règlement s’applique :

• À toute organisation établie dans l’UE qui traite des données personnelles, que le traitement ait lieu dans l’UE ou non ;
• À toute organisation établie hors de l’UE qui traite des données de personnes se trouvant dans l’UE, dès lors qu’elle leur propose des biens ou services ou qu’elle suit leur comportement au sein de l’UE.

Concrètement, une entreprise américaine qui vend des produits en ligne à des consommateurs français est soumise au RGPD. De même, une entreprise indienne qui développe une application mobile utilisée par des résidents européens entre dans le champ du règlement. C’est cette portée extraterritoriale qui a fait du RGPD une norme de référence mondiale, inspirant des législations similaires au Brésil (LGPD), au Japon, en Corée du Sud et dans de nombreux autres pays.

À qui s’applique le RGPD ?

Le champ d’application du RGPD est extrêmement large. Il concerne toute organisation — entreprise, association, administration, collectivité territoriale — qui traite des données personnelles.

La notion de données personnelles

L’article 4(1) du RGPD définit une donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition est volontairement englobante. Sont des données personnelles :

• Le nom, le prénom, l’adresse postale
• L’adresse email (y compris professionnelle)
• L’adresse IP (la CJUE l’a confirmé dans l’arrêt Breyer, C-582/14)
• Une photographie permettant d’identifier une personne
• Les données de localisation (GPS, Wi-Fi)
• Un identifiant de cookie
• Un numéro de sécurité sociale
• Les données d’un fichier employé (salaire, évaluations, arrêts maladie)
• Les données biométriques (empreinte digitale, reconnaissance faciale)

La notion est trompeuse : il ne s’agit pas uniquement de données « intimes » ou « sensibles ». Dès qu’une information permet de remonter, directement ou indirectement, à une personne physique, le RGPD s’applique.

La notion de traitement

L’article 4(2) définit le traitement de manière tout aussi large : toute opération effectuée sur des données personnelles, qu’elle soit automatisée ou non. Cela inclut la collecte, l’enregistrement, le stockage, la consultation, l’utilisation, la communication par transmission, la diffusion, le rapprochement, l’effacement ou la destruction.

En pratique, dès qu’une organisation possède un fichier client, un CRM, une base email, un système de vidéosurveillance, un logiciel RH ou un site web avec des formulaires de contact, elle effectue des traitements de données personnelles soumis au RGPD.

Les exceptions

Le RGPD ne s’applique pas aux traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique (Art. 2(2)©) — par exemple, un carnet d’adresses personnel. Les traitements à des fins de prévention et détection des infractions pénales relèvent d’un texte spécifique (Directive 2016/680).

Les 7 principes fondamentaux du RGPD

L’article 5 du RGPD pose les principes que tout traitement de données personnelles doit respecter. Ces principes ne sont pas de vagues déclarations d’intention : ce sont des règles juridiques contraignantes, dont la violation expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Licéité, loyauté et transparence

Art. 5(1)(a) — Le traitement doit reposer sur une base légale valide (voir section suivante). Il doit être loyal, c’est-à-dire ne pas tromper la personne sur l’utilisation réelle de ses données. Et il doit être transparent : la personne doit être informée de manière claire et compréhensible de ce qui est fait de ses données. C’est le fondement des mentions légales RGPD que toute organisation doit afficher.

Limitation des finalités

Art. 5(1)(b) — Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être réutilisées ensuite pour des finalités incompatibles avec celles d’origine. Par exemple, des données collectées pour la gestion d’un contrat ne peuvent pas être réutilisées pour de la prospection commerciale sans base légale distincte.

Minimisation des données

Art. 5(1)© — Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être collectées. Dans mon expérience, c’est l’un des principes les plus fréquemment méconnus : beaucoup d’organisations collectent par défaut toutes les données disponibles « au cas où ». Le RGPD impose l’approche inverse — ne collecter que ce dont on a effectivement besoin.

Exactitude

Art. 5(1)(d) — Les données doivent être exactes et, si nécessaire, mises à jour. Les données inexactes doivent être effacées ou rectifiées sans tarder. Ce principe justifie notamment le droit de rectification des personnes (Art. 16).

Limitation de la conservation

Art. 5(1)(e) — Les données ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités du traitement. La CNIL a sanctionné à de multiples reprises des organisations qui conservaient des données clients pendant des durées excessives. Chaque traitement doit avoir une durée de conservation définie et justifiée.

Intégrité et confidentialité

Art. 5(1)(f) — Les données doivent être protégées contre le traitement non autorisé ou illicite, ainsi que contre la perte, la destruction ou les dégâts accidentels. C’est le principe qui fonde l’obligation de sécurité des données (Art. 32) et la notification des fuites de données (Art. 33-34).

Responsabilité (accountability)

Art. 5(2) — Le responsable de traitement ne doit pas seulement respecter les principes : il doit être en mesure de démontrer qu’il les respecte. C’est le principe d’accountability, peut-être le plus structurant du RGPD. Il impose de documenter ses choix, de tenir un registre, de réaliser des analyses d’impact, de conserver des preuves de conformité. La conformité RGPD n’est pas un état déclaratif — c’est un processus documenté et continu.

Les 6 bases légales du traitement

L’article 6 du RGPD exige que tout traitement de données personnelles repose sur l’une des six bases légales énumérées au paragraphe 1. C’est un point fondamental, souvent mal compris : le consentement n’est pas toujours requis. C’est l’une des six bases possibles, et dans de nombreux cas, ce n’est même pas la plus appropriée.

Le consentement — Art. 6(1)(a)

La personne a donné son consentement de manière libre, spécifique, éclairée et univoque. Le consentement doit pouvoir être retiré aussi facilement qu’il a été donné. C’est la base légale privilégiée pour les cookies non essentiels, les newsletters, ou les traitements de prospection B2C.

L’exécution d’un contrat — Art. 6(1)(b)

Le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie, ou à l’exécution de mesures précontractuelles prises à sa demande. Par exemple : traiter les données d’un client pour lui livrer sa commande, gérer un abonnement, ou émettre une facture.

L’obligation légale — Art. 6(1)©

Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Exemples : conservation des factures pendant 10 ans (Code de commerce), déclarations sociales obligatoires, transmission d’informations à l’administration fiscale.

Les intérêts vitaux — Art. 6(1)(d)

Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ou d’une autre personne physique. Cette base légale est réservée aux situations d’urgence médicale ou de menace pour la vie. En pratique, elle est rarement utilisée.

La mission de service public — Art. 6(1)(e)

Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. C’est la base légale utilisée par les administrations, les collectivités territoriales et les organismes de service public.

L’intérêt légitime — Art. 6(1)(f)

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à condition que ces intérêts ne soient pas supplantés par les intérêts ou les libertés et droits fondamentaux de la personne. L’intérêt légitime exige un triple test :

1. Identification de l’intérêt légitime poursuivi (ex. : sécurité du réseau, prospection B2B, prévention de la fraude) ;
2. Test de nécessité : le traitement est-il réellement nécessaire pour atteindre cet objectif ?
3. Mise en balance : les intérêts de la personne ne l’emportent-ils pas ?

En B2B, l’intérêt légitime est souvent la base légale la plus appropriée pour la prospection commerciale ou la gestion de la relation client. La CNIL a rappelé dans ses lignes directrices que le consentement n’est pas la seule option. Dans mon expérience, le choix de la base légale est l’une des étapes les plus structurantes de la mise en conformité : une erreur à ce stade peut remettre en cause l’ensemble du traitement et exposer l’organisation à des sanctions.

Les droits des personnes

Les articles 12 à 22 du RGPD confèrent aux personnes un ensemble de droits sur leurs données. Ces droits ne sont pas théoriques : les organisations doivent mettre en place des procédures effectives pour y répondre. L’article 12 impose des obligations de transparence strictes dans la communication de ces droits.

Droit d’accès — Art. 15

Toute personne peut demander à un organisme si des données la concernant sont traitées et, dans l’affirmative, obtenir une copie de ces données ainsi que des informations sur les finalités, les catégories de données, les destinataires et la durée de conservation. L’article 15 est le droit le plus fréquemment exercé. La CNIL sanctionne régulièrement les organismes qui ne répondent pas aux demandes d’accès.

Droit de rectification — Art. 16

La personne peut obtenir la rectification de données inexactes la concernant, ainsi que le complément de données incomplètes.

Droit à l’effacement (droit à l’oubli) — Art. 17

La personne peut demander l’effacement de ses données dans certaines situations : retrait du consentement, données qui ne sont plus nécessaires, traitement illicite, ou opposition au traitement. Ce droit n’est pas absolu — il existe des exceptions, notamment lorsque le traitement est nécessaire pour respecter une obligation légale ou pour l’exercice du droit à la liberté d’expression.

Droit à la limitation du traitement — Art. 18

La personne peut obtenir la limitation du traitement de ses données (les données sont conservées mais ne sont plus activement utilisées) dans quatre cas : contestation de l’exactitude des données, traitement illicite, données nécessaires à l’exercice de droits en justice, ou vérification en cours de la mise en balance des intérêts légitimes.

Droit à la portabilité — Art. 20

La personne peut recevoir les données qu’elle a fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement. Ce droit ne s’applique que lorsque le traitement est fondé sur le consentement ou l’exécution d’un contrat et qu’il est réalisé de manière automatisée.

Droit d’opposition — Art. 21

La personne peut s’opposer à tout moment au traitement de ses données fondé sur l’intérêt légitime ou la mission de service public. Pour la prospection commerciale, le droit d’opposition est absolu : l’organisation doit cesser le traitement dès réception de la demande, sans condition.

Droit de ne pas faire l’objet d’une décision automatisée — Art. 22

La personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative. Des exceptions existent (contrat, consentement explicite, autorisation légale), mais elles sont encadrées strictement.

Délai de réponse : toute demande d’exercice de droits doit recevoir une réponse dans un délai d’un mois (Art. 12(3)), prolongeable de deux mois en cas de complexité.

Les obligations des entreprises

Le RGPD impose aux organisations un ensemble d’obligations concrètes. La fin des déclarations à la CNIL en 2018 ne signifie pas moins d’obligations — bien au contraire. Le système déclaratif a été remplacé par une logique de responsabilisation permanente.

Le registre des traitements — Art. 30

Toute organisation doit tenir un registre des activités de traitement. Ce registre recense l’ensemble des traitements de données personnelles mis en œuvre, avec pour chacun : la finalité, les catégories de données traitées, les destinataires, les durées de conservation, et les mesures de sécurité. C’est le document fondateur de toute démarche de conformité. Consultez notre exemple de registre RGPD rempli pour démarrer.

Le Délégué à la Protection des Données (DPO) — Art. 37-39

La désignation d’un DPO est obligatoire pour les organismes publics, les organisations dont l’activité de base implique un suivi régulier et systématique à grande échelle des personnes, et celles qui traitent à grande échelle des données sensibles. En pratique, même lorsqu’il n’est pas obligatoire, la désignation d’un DPO est fortement recommandée. Le DPO est le garant interne de la conformité : il informe, conseille, contrôle et fait le lien avec la CNIL.

L’analyse d’impact (AIPD) — Art. 35

Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, une AIPD (Analyse d’Impact relative à la Protection des Données) doit être réalisée préalablement. C’est le cas notamment pour la vidéosurveillance à grande échelle, le profilage systématique, le traitement de données sensibles à grande échelle, ou les technologies innovantes (IA, biométrie). La CNIL a publié une liste des traitements pour lesquels l’AIPD est obligatoire (Délibération n° 2018-327 du 11 octobre 2018).

Privacy by design et by default — Art. 25

Le RGPD impose d’intégrer la protection des données dès la conception des traitements et des systèmes (privacy by design), et de garantir que, par défaut, seules les données nécessaires sont traitées (privacy by default). En pratique, cela signifie que la conformité RGPD doit être prise en compte dès le cahier des charges de tout nouveau projet informatique.

Les contrats avec les sous-traitants — Art. 28

Lorsqu’une organisation confie le traitement de données personnelles à un prestataire (hébergeur, éditeur SaaS, prestataire de paie, etc.), un contrat conforme à l’article 28 du RGPD doit être conclu. Ce contrat doit préciser l’objet et la durée du traitement, la nature des données, les obligations du sous-traitant en matière de sécurité, de confidentialité et de notification des violations.

La notification des violations de données — Art. 33-34

En cas de violation de données personnelles (fuite, piratage, perte accidentelle), le responsable de traitement doit notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (Art. 33). Si la violation est susceptible d’engendrer un risque élevé pour les personnes concernées, celles-ci doivent également être informées directement (Art. 34). La CNIL a reçu plus de 17 000 notifications de violations en 2024.

Les transferts de données hors UE — Art. 44-49

Le transfert de données personnelles vers un pays situé en dehors de l’Union européenne n’est autorisé que si ce pays assure un niveau de protection adéquat (décision d’adéquation de la Commission européenne) ou si des garanties appropriées sont mises en place : clauses contractuelles types (SCCs), règles d’entreprise contraignantes (BCR), ou dérogations spécifiques de l’Art. 49. L’arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) a invalidé le Privacy Shield UE-États-Unis, remplacé en 2023 par le EU-US Data Privacy Framework.

Les données sensibles

L’article 9 du RGPD identifie des catégories de données bénéficiant d’une protection renforcée en raison de leur nature particulièrement intrusive. Le traitement de ces données est interdit par principe, sauf exceptions limitativement énumérées.

Sont des données sensibles :

• L’origine raciale ou ethnique
• Les opinions politiques
• Les convictions religieuses ou philosophiques
• L’appartenance syndicale
• Les données génétiques
• Les données biométriques aux fins d’identification
• Les données de santé
• Les données relatives à la vie sexuelle ou l’orientation sexuelle

Les exceptions au principe d’interdiction incluent notamment le consentement explicite de la personne, la nécessité pour la médecine du travail, l’intérêt public dans le domaine de la santé publique, ou le traitement par une fondation, association ou organisme à but non lucratif à caractère politique, philosophique, religieux ou syndical dans le cadre de ses activités légitimes.

En pratique, les données de santé sont la catégorie de données sensibles la plus fréquemment rencontrée par les organisations. Les employeurs doivent être particulièrement vigilants : les arrêts maladie, les déclarations d’aptitude, les dossiers de médecine du travail contiennent des données de santé protégées. La CNIL a sanctionné plusieurs organismes pour des manquements liés à la protection insuffisante de données de santé, notamment dans le secteur médical et les mutuelles.

Les sanctions RGPD

Le RGPD a instauré un régime de sanctions dissuasif, organisé en deux paliers définis à l’article 83.

Premier palier — Art. 83(4)

Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), pour les manquements aux obligations du responsable de traitement ou du sous-traitant : registre des traitements, sécurité des données, notification des violations, AIPD, DPO.

Second palier — Art. 83(5)

Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, pour les violations des principes de base du traitement, des droits des personnes, des règles relatives aux transferts internationaux ou des décisions de la CNIL.

Sanctions récentes marquantes

Les sanctions RGPD les plus significatives de ces dernières années illustrent la montée en puissance de l’application du règlement :

• Meta — 1,2 milliard d’euros (DPC Irlande, mai 2023), pour transferts de données vers les États-Unis en violation des exigences post-Schrems II ;
• Criteo — 40 millions d’euros (CNIL, juin 2023, Délibération SAN-2023-009), pour des manquements liés au consentement pour le ciblage publicitaire ;
• Amazon France Logistique — 32 millions d’euros (CNIL, janvier 2024, Délibération SAN-2024-003), pour surveillance excessive des salariés ;
• Clearview AI — 20 millions d’euros (CNIL, octobre 2022, Délibération SAN-2022-019), pour collecte illicite de données biométriques.

La CNIL a également mis en place une procédure de sanction simplifiée (depuis 2022) permettant de prononcer des amendes jusqu’à 20 000 euros pour les violations de moindre gravité, sans passer par la formation restreinte. Cette procédure accélérée augmente considérablement le nombre de sanctions prononcées.

Sanctions pénales en droit français

Au-delà des amendes administratives, le Code pénal français prévoit des sanctions pénales pour les atteintes aux données personnelles. Les articles 226-16 à 226-24 du Code pénal punissent de cinq ans d’emprisonnement et de 300 000 euros d’amende les infractions les plus graves (collecte frauduleuse, traitement illicite de données sensibles, entrave à l’action de la CNIL).

Comment se mettre en conformité : les 7 étapes

La mise en conformité RGPD n’est pas un projet ponctuel — c’est une démarche continue. Voici les sept étapes essentielles pour structurer votre conformité.

1. Cartographier vos traitements

La première étape consiste à réaliser un audit RGPD pour identifier l’ensemble des traitements de données personnelles de votre organisation. Pour chaque traitement, identifiez : quelles données sont collectées, pour quelle finalité, sur quelle base légale, pendant combien de temps, avec quels destinataires, et quelles mesures de sécurité sont en place. Cette cartographie est le socle de tout le reste.

2. Constituer le registre des traitements

Sur la base de la cartographie, formalisez votre registre des activités de traitement conformément à l’article 30. Ce registre doit être maintenu à jour et mis à disposition de la CNIL en cas de contrôle.

3. Identifier les bases légales de chaque traitement

Pour chaque traitement inscrit au registre, déterminez la base légale applicable parmi les six prévues à l’article 6(1). Cette étape est déterminante : la base légale conditionne les droits dont disposent les personnes et les obligations spécifiques qui s’appliquent.

4. Vérifier le respect des droits des personnes

Assurez-vous que vos processus permettent de répondre effectivement aux demandes d’exercice de droits : accès, rectification, effacement, portabilité, opposition. Vérifiez que vos mentions d’information sont conformes aux articles 13 et 14, et que les personnes disposent d’un point de contact identifié.

5. Sécuriser les données

Mettez en œuvre les mesures techniques et organisationnelles appropriées (Art. 32) : chiffrement, pseudonymisation, contrôle des accès, politique de mots de passe, sauvegarde, journalisation. La sécurité des données n’est pas un sujet uniquement technique — c’est une obligation juridique dont la violation est sanctionnée.

6. Réaliser les AIPD nécessaires

Identifiez les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes et réalisez les analyses d’impact requises. La CNIL met à disposition un outil PIA (Privacy Impact Assessment) gratuit pour faciliter cette démarche.

7. Documenter et maintenir la conformité dans le temps

La conformité RGPD est un processus vivant. Documentez vos décisions, conservez les preuves de conformité (registres, AIPD, contrats sous-traitants, procédures internes), et révisez régulièrement votre dispositif — au minimum annuellement et systématiquement lors de la mise en place de nouveaux traitements. Formez vos équipes, sensibilisez vos collaborateurs, et intégrez la protection des données dans votre gouvernance d’entreprise.

Des outils comme Legiscope permettent d’automatiser la cartographie des traitements, la tenue du registre et le suivi de la conformité dans le temps — c’est ce type de plateforme que j’ai développée précisément pour répondre aux besoins pratiques que je constatais chez mes clients.

Le RGPD et les autres réglementations

Le RGPD ne fonctionne pas de manière isolée. Depuis 2022, l’Union européenne a adopté un ensemble de textes qui s’articulent avec le RGPD et élargissent le cadre de la conformité numérique.

L’AI Act (Règlement sur l’intelligence artificielle) — Les systèmes d’IA traitent massivement des données personnelles. Le RGPD encadre le volet « données personnelles » de tout déploiement d’IA : base légale, transparence, AIPD obligatoire pour les systèmes à haut risque. Les deux textes se superposent et doivent être articulés. Consultez notre dossier conformité IA.

NIS2 (Directive sur la sécurité des réseaux et systèmes d’information) — La sécurité des données imposée par l’article 32 du RGPD rejoint les obligations de cybersécurité de NIS2. Pour les organisations concernées par les deux textes, une approche unifiée est indispensable. Voir notre hub sécurité informatique.

DORA (Digital Operational Resilience Act) — Pour le secteur financier, DORA impose des exigences de résilience numérique qui complètent les obligations de sécurité du RGPD.

Le Data Act — Ce règlement encadre l’accès aux données générées par les objets connectés. Il interagit avec le RGPD dès lors que ces données sont des données personnelles, ce qui est fréquemment le cas. Consultez notre hub Data Act.

La CSRD (Corporate Sustainability Reporting Directive) — Le reporting ESG implique le traitement de données personnelles des salariés (rémunération, diversité, conditions de travail). Le RGPD s’applique pleinement à ces traitements.

Cette multiplication des textes européens crée un environnement réglementaire dense. Pour les organisations, l’enjeu est d’adopter une approche de conformité intégrée plutôt que de traiter chaque texte en silo. Le RGPD reste la pierre angulaire de cet édifice : maîtriser ses exigences est le prérequis pour aborder sereinement les autres réglementations.

Ce qu’il faut retenir

• Le RGPD s’applique à toute organisation qui traite des données personnelles de personnes se trouvant dans l’UE, quelle que soit sa taille ou son lieu d’établissement.
• Tout traitement doit reposer sur l’une des 6 bases légales de l’article 6(1) — le consentement n’est pas toujours nécessaire.
• Les personnes disposent de droits effectifs (accès, rectification, effacement, opposition, portabilité) auxquels l’organisation doit répondre sous un mois.
• Le principe d’accountability impose de documenter et de pouvoir démontrer sa conformité, pas seulement de la déclarer.
• Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du CA mondial, et la CNIL a considérablement intensifié ses contrôles depuis 2022.
• La mise en conformité est un processus continu qui commence par la cartographie des traitements et la tenue du registre, et qui doit être maintenu dans la durée.

---

Recevez nos analyses conformité chaque semaine. Inscrivez-vous à la newsletter pour recevoir chaque semaine une analyse approfondie sur le RGPD, la conformité et les réglementations européennes.

---

FAQ

Que signifie RGPD ?

RGPD signifie Règlement Général sur la Protection des Données. C’est la dénomination française du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. En anglais, on parle de GDPR (General Data Protection Regulation).

Quand le RGPD est-il entré en vigueur ?

Le RGPD a été adopté le 27 avril 2016 et est devenu applicable le 25 mai 2018. Toute organisation traitant des données personnelles de personnes se trouvant dans l’UE doit s’y conformer depuis cette date.

Qui est concerné par le RGPD ?

Toute organisation — entreprise, association, administration, indépendant — qui traite des données personnelles de personnes se trouvant dans l’Union européenne est concernée, quelle que soit sa taille et quel que soit son lieu d’établissement (Art. 3). Le RGPD a une portée extraterritoriale.

Quelles sont les sanctions du RGPD ?

Les sanctions administratives peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)). En France, le Code pénal prévoit en outre des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Art. 226-16 et suivants du Code pénal).

Faut-il encore faire une déclaration à la CNIL ?

Non. Depuis l’entrée en application du RGPD le 25 mai 2018, le système des déclarations préalables à la CNIL a été supprimé. Il est remplacé par la logique d’accountability : chaque organisation est responsable de sa conformité et doit pouvoir la démontrer à tout moment.

Le consentement est-il toujours obligatoire ?

Non. Le consentement est l’une des six bases légales prévues par l’article 6(1) du RGPD, mais ce n’est pas la seule. Un traitement peut être fondé sur l’exécution d’un contrat, le respect d’une obligation légale, la sauvegarde des intérêts vitaux, une mission de service public, ou l’intérêt légitime du responsable de traitement. En B2B notamment, l’intérêt légitime ou l’exécution d’un contrat sont souvent les bases légales les plus appropriées.