RGPD – Règlement Général sur la Protection des Données

    1. Home  - 
    2. RGPD – Règlement Général sur la Protection des Données

    Mise à jour – mai 2026 : Le Digital Omnibus Package, publié le 19 novembre 2025 et partiellement en accord provisoire depuis le 7 mai 2026, vient modifier plusieurs textes présentés ci-dessous (RGPD, NIS2, DORA, AI Act, eIDAS, Data Act). Il ne crée pas de nouvelles obligations : il amende le cadre existant pour supprimer les redondances, harmoniser les procédures de signalement et réduire la charge administrative. Une page de fond détaille ses implications concrètes pour votre organisation.

    Le RGPD (Règlement UE 2016/679) encadre depuis le 25 mai 2018 le traitement des données personnelles dans toute l’Union européenne. Il s’applique à toute organisation, publique ou privée, qui traite des données de personnes situées dans l’UE, y compris depuis l’étranger.

    Son principe central : démontrer que chaque traitement est licite, proportionné, sécurisé et maîtrisé. Pas seulement le faire, le prouver. C’est l’accountability, et c’est elle qui transforme la conformité en exigence de documentation vivante.

    Image de juriste étudiant NIS2, DORA, le cadre cyber européen

    RGPD : ce qu’une entreprise doit comprendre immédiatement :

    • Le RGPD ne concerne pas uniquement les grands groupes.
    • Une PME peut être sanctionnée même avec peu de données.
    • Le sujet principal est la maîtrise des traitements et des flux de données.
    • Le RGPD impose une logique de preuve et de gouvernance continue.
    • Les sous-traitants, SaaS et transferts hors UE sont devenus des sujets majeurs.
    • La cybersécurité seule ne suffit pas à rendre un traitement conforme.

    Qui est concerné ?

    Situation

    Concerné par le RGPD ?

    Niveau d’attention

    Site vitrine avec formulaire de contact

    Oui

    Faible à modéré

    CRM clients / prospects

    Oui

    Modéré

    Gestion RH / paie

    Oui

    Élevé

    Outils marketing et tracking

    Oui

    Élevé

    Données de santé ou sensibles

    Oui

    Très élevé

    Utilisation de SaaS américains

    Très souvent

    Élevé

    Vidéosurveillance

    Souvent

    Modéré à élevé

    IA utilisant des données personnelles

    Oui

    Élevé

    Nature juridique du texte

    Consulter directement le Règlement européen (UE) 2016/679.

    Application directe dans tous les États membres depuis le 25 mai 2018, sans loi de transposition. Les États conservent quelques marges nationales : âge du consentement des mineurs, encadrement des traitements en contexte d’emploi, dérogations journalistiques et artistiques, certaines dispositions pour le secteur public.

    En France, la loi Informatique et Libertés du 6 janvier 1978, refondue en 2018, complète le règlement sur ces points.

    Présentation générale

    Le RGPD est le texte socle de la protection des données à caractère personnel dans l’Union européenne. Il encadre la collecte, le traitement et la circulation de toute information se rapportant à une personne identifiée ou identifiable.

    Son principe central tient en une phrase : une organisation ne possède pas les données personnelles qu’elle traite, elle doit pouvoir démontrer qu’elle les traite de manière licite, loyale, transparente, proportionnée, sécurisée et maîtrisée. C’est l’accountability (article 5§2), qui transforme la conformité en exigence de preuve documentée.

    Le règlement vise trois objectifs : protéger les personnes physiques sur leurs données, responsabiliser les organisations qui les traitent, harmoniser le cadre européen pour bâtir un marché unique fondé sur la confiance.

    Il repose sur sept principes (licéité, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité-confidentialité, responsabilité) et six bases légales pour traiter des données : contrat, obligation légale, consentement, intérêt légitime, mission d’intérêt public, sauvegarde des intérêts vitaux. Toute organisation doit pouvoir justifier laquelle de ces bases légitime chaque traitement.

    Contexte et champ d’application

    Le RGPD remplace la directive 95/46/CE de 1995. À l’époque, le web grand public émergeait à peine, les réseaux sociaux n’existaient pas, le cloud n’avait pas de nom. Vingt ans plus tard, l’exploitation industrielle des données personnelles par les géants du numérique (profilage publicitaire, courtage de données, suivi comportemental) avait rendu le cadre obsolète. Le choix d’un règlement plutôt que d’une directive visait justement à mettre fin au patchwork juridique créé par les transpositions hétérogènes du texte de 1995.

    Le RGPD s’applique aux organisations publiques ou privées qui traitent des données personnelles :

    • en tant que responsable de traitement, lorsqu’elles déterminent les finalités et moyens du traitement ;
    • en tant que sous-traitant, lorsqu’elles traitent les données pour le compte d’un client ;
    • dans l’UE, ou hors UE lorsqu’elles ciblent des personnes situées dans l’Union.

    Il couvre les données clients, salariés, prospects, utilisateurs, donateurs, bénéficiaires, partenaires, mais aussi les logs techniques identifiants, adresses IP, identifiants de session, données comportementales, données de paiement indirectes. Tout ce qui permet, directement ou indirectement, d’identifier une personne.

    Le champ matériel inclut les traitements automatisés comme les fichiers papier structurés. Sont exclus les activités strictement personnelles ou domestiques, la politique étrangère et de sécurité commune, et les traitements menés par les autorités à des fins de prévention et de détection des infractions pénales (couverts par la directive Police-Justice 2016/680).

    Le champ territorial (article 3) fait la portée mondiale du règlement : il s’applique aux organisations établies dans l’UE quel que soit le lieu où s’effectue le traitement, et aux organisations hors UE qui ciblent des personnes situées dans l’UE, soit par une offre de biens ou services, soit par un suivi de leur comportement. Cette extraterritorialité a fait du RGPD un texte de référence repris en inspiration par la Californie, le Brésil, l’Inde, la Corée du Sud.

    Base légale pour chaque traitement : contrat, obligation légale, consentement, intérêt légitime, mission d’intérêt public, sauvegarde des intérêts vitaux. Le choix doit être documenté et tenu.

    Information claire des personnes sur les traitements qui les concernent : finalité, base légale, destinataires, durée de conservation, droits, coordonnées du responsable et du DPO.

    Respect des droits : accès (art. 15), rectification (art. 16), effacement (art. 17), opposition (art. 21), limitation (art. 18), portabilité (art. 20), droit de ne pas faire l’objet d’une décision entièrement automatisée (art. 22).

    Registre des activités de traitement (art. 30) : obligatoire pour les organisations de plus de 250 salariés, et en dessous dès que le traitement n’est pas occasionnel, présente un risque pour les droits des personnes, ou concerne des données sensibles. En pratique, la quasi-totalité des entreprises traitant des données clients ou salariés y est soumise.

    Minimisation des données et limitation des durées de conservation : ne collecter que ce qui est nécessaire à la finalité, ne conserver que le temps nécessaire.

    Sécurité des données (art. 32) : mesures techniques et organisationnelles adaptées au risque, chiffrement, pseudonymisation, contrôle d’accès, sauvegardes, tests réguliers.

    Gestion des violations (art. 33-34) : notification à l’autorité de contrôle dans les 72 heures suivant la prise de connaissance, sauf si la violation est peu susceptible d’engendrer un risque pour les droits des personnes. Information des personnes concernées si le risque est élevé.

    Encadrement des sous-traitants (art. 28) : clauses contractuelles précises sur les instructions documentées, la confidentialité, la sécurité, la sous-traitance ultérieure, le retour ou la destruction des données, les audits.

    Analyse d’impact – AIPD ou DPIA (art. 35) : obligatoire quand un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés. Sont visés : profilage systématique, surveillance à grande échelle, traitements de données sensibles à grande échelle, croisements de fichiers d’origines différentes. La CNIL publie une liste de traitements pour lesquels l’AIPD est obligatoire.

    Privacy by design et by default (art. 25) : protection des données intégrée dès la conception du système et par défaut. Seules les données nécessaires sont collectées, la durée de conservation est minimisée, l’accès est restreint.

    Désignation d’un DPO (art. 37-39) : obligatoire pour les autorités et organismes publics, pour les organisations dont l’activité de base implique un suivi régulier et systématique à grande échelle, ou pour celles qui traitent à grande échelle des données sensibles ou relatives à des condamnations pénales.

    Encadrement des transferts hors UE (chapitre V) : un transfert vers un pays tiers n’est autorisé que sur fondement d’une décision d’adéquation de la Commission, de clauses contractuelles types (CCT), de règles d’entreprise contraignantes (BCR) ou d’une dérogation limitée. La saga Schrems II (juillet 2020) a invalidé le Privacy Shield UE-États-Unis ; le Data Privacy Framework adopté en juillet 2023 a rétabli un cadre, lui-même contesté devant la CJUE.

    Le RGPD repose sur une logique de responsabilité documentée. L’organisation ne se met pas en conformité une fois pour toutes, elle doit pouvoir démontrer à tout moment que ses traitements respectent le règlement. Cette logique d’accountability structure toute la pratique : registre, AIPD, politique de conservation, procédures de gestion des droits, contrats sous-traitants, formation des équipes, journalisation.

    Le règlement n’exige pas seulement des documents. Il exige une capacité de preuve. Une charte parfaite mais jamais appliquée n’a aucune valeur en cas de contrôle.

    La CNIL a fortement industrialisé ses contrôles depuis 2022 avec la procédure simplifiée. En 2025, sur 83 sanctions prononcées, 67 sont passées par cette procédure. Elle utilise désormais des outils automatisés qui scannent les sites web à grande échelle pour détecter les bandeaux cookies non conformes : un site peut être sanctionné sans qu’un agent n’ait jamais ouvert manuellement le navigateur dessus.

    Côté coopération européenne, le mécanisme du guichet unique (one-stop-shop) prévu par le RGPD permet à une organisation transfrontière d’avoir une autorité chef de file. En 2025, la CNIL a coopéré sur 4 décisions au sein de ce dispositif et examiné 9 projets de décisions d’homologues européens.

    DateÉtape
    27 avril 2016Adoption du règlement par le Parlement et le Conseil
    25 mai 2018Entrée en application
    Juillet 2020Arrêt Schrems II : invalidation du Privacy Shield
    Juillet 2023Adoption du Data Privacy Framework UE – États-Unis
    19 nov. 2025Présentation du Digital Omnibus Package par la Commission
    11 fév. 2026Avis conjoint EDPB / EDPS sur le Digital Omnibus
    20 fév. 2026Texte de compromis du Conseil retirant la redéfinition de « donnée personnelle »
    9 juin 2026Clôture de la consultation publique EDPB sur le modèle européen d’AIPD
    Fin 2026 / 2027Adoption attendue du Digital Omnibus Regulation

    Le RGPD est le texte qui irrigue tout le reste. La quasi-totalité des actes du droit européen du numérique y renvoient dès qu’une donnée personnelle entre en jeu.

    ePrivacy est sa lex specialis pour les communications électroniques. C’est elle qui régit les cookies et traceurs (article 5§3), et le RGPD s’applique ensuite pour le traitement ultérieur des données collectées.

    NIS2 et DORA prévoient des obligations de notification d’incidents qui se cumulent avec celle de l’article 33 dès qu’un incident de sécurité implique des données personnelles. Un même incident peut aujourd’hui déclencher trois notifications parallèles, avec trois délais différents. Le Digital Omnibus prévoit précisément de régler ce point.

    AI Act renvoie au RGPD pour le traitement des données d’entraînement et pour les déploiements de systèmes d’IA traitant des données personnelles. L’article 10 sur la gouvernance des données d’entraînement s’articule directement avec les principes de licéité et de minimisation.

    Data Act et DGA organisent le partage et la réutilisation des données mais s’effacent dès que des données personnelles sont concernées : le RGPD prime.

    DSA mobilise le RGPD pour la modération de contenu impliquant des données personnelles et pour la publicité ciblée (interdiction du ciblage des mineurs, restrictions sur le ciblage par données sensibles).

    DMA complète le RGPD côté concurrence : interdiction faite aux contrôleurs d’accès de combiner des données issues de différents services sans consentement, droit à la portabilité renforcé.

    eIDAS 2 s’appuie sur les principes de minimisation et de contrôle utilisateur. Le portefeuille EUDIW est conçu pour permettre la divulgation sélective d’attributs sans révéler l’identité complète.

    CRA impose des exigences de sécurité aux produits numériques qui, indirectement, renforcent l’obligation de sécurité de l’article 32 du RGPD côté responsable de traitement.

    REC (Critical Entities Resilience Directive) ne touche pas directement au RGPD mais s’inscrit dans le même écosystème de notification d’incidents que NIS2 et DORA.

    Cybersecurity Act : Articulation indirecte mais utile. Les schémas européens de certification cyber portés par l’ENISA peuvent appuyer la démonstration de conformité à l’obligation de sécurité de l’article 32 du RGPD. L’article 42 du RGPD ouvre d’ailleurs explicitement la voie à des mécanismes de certification en matière de protection des données. Pour le détail des schémas et du rôle de l’ENISA, voir Cybersecurity Act.

    3CF : relève du cadre de certification cyber porté par le Cybersecurity Act et l’ENISA. Pas d’articulation directe avec le RGPD, mais une convergence des standards de sécurité qui peuvent appuyer la démonstration de conformité à l’article 32.

    Le RGPD est l’un des textes les plus touchés par la proposition de Digital Omnibus présentée par la Commission le 19 novembre 2025. Les amendements envisagés visent à simplifier sans réécrire le règlement, mais leur portée reste très débattue.

    Pseudonymisation et notion de donnée personnelle. La proposition initiale de la Commission introduisait une lecture entity-relative de la donnée personnelle, et un nouvel article 41a permettant à la Commission de décider par actes d’exécution dans quels cas des données pseudonymisées cessent de constituer des données personnelles pour certains destinataires. Le Comité européen de la protection des données et le Contrôleur européen, dans leur avis conjoint du 11 février 2026, ont rejeté frontalement cette approche. Conséquence directe : le texte de compromis du Conseil du 20 février 2026 a retiré la redéfinition de la notion de donnée personnelle et renvoyé aux futures lignes directrices du Comité sur la pseudonymisation. L’issue reste ouverte.

    Cookies et consentement. La Commission propose de basculer une partie du régime cookies (actuellement dans la directive ePrivacy) vers un nouvel article 88a du RGPD. L’utilisateur pourrait refuser tous les cookies non essentiels en un clic, et une demande de consentement refusée ne pourrait être réitérée avant six mois. Des préférences centralisées au niveau du navigateur pourraient s’imposer aux sites.

    Notification de violation et guichet unique des incidents. Harmonisation à 96 heures du délai de notification (au lieu des 72 heures actuelles), et création d’un Single Entry Point géré par l’ENISA permettant une notification unique couvrant RGPD, NIS2, DORA, eIDAS et CER. Un même incident ne donnerait plus lieu à trois notifications parallèles.

    AIPD harmonisée. Remplacement des 27 listes nationales par une liste européenne unique de traitements soumis à AIPD, accompagnée d’un modèle commun élaboré par l’EDPB. Consultation publique en cours, clôture le 9 juin 2026.

    Allègements pour les PME. Exemptions étendues sur le registre des traitements et certaines obligations documentaires pour les organisations de moins de 750 personnes qui ne traitent pas de données sensibles à grande échelle.

    À ce stade, l’adoption finale est attendue fin 2026 ou en 2027. Le texte qui sortira sera vraisemblablement plus modéré que la proposition initiale, sous la pression des autorités de protection. C’est une proposition, pas un droit stabilisé.

    Pour une PME ou une ETI, la conformité RGPD se traduit par un dispositif simple mais vivant. Pas par une bibliothèque de documents qui dort sur un partage réseau.

    Un registre des traitements exploitable. Pas un PDF abandonné, un fichier maintenu, avec finalité, base légale, catégories de données, destinataires, durée de conservation et mesures de sécurité pour chaque traitement.

    Des politiques de confidentialité à jour et alignées sur ce qui se passe réellement. La politique affichée sur le site doit décrire les vrais traitements, pas une version générique copiée d’un concurrent.

    Des formulaires conformes. Cases à cocher non précochées, finalités distinctes, mention des durées, lien vers la politique. C’est aussi simple que ça à vérifier, c’est aussi fréquemment loupé.

    Une gouvernance des durées de conservation. Combien de temps gardez-vous une candidature non retenue, une facture, un email de prospect, une vidéo de surveillance ? Si personne ne sait, vous gardez trop, et trop longtemps.

    Une cartographie des sous-traitants et des clauses contractuelles RGPD dans les contrats. Cloud, paie, marketing automation, hébergement, CRM, outils de visioconférence. L’article 28 impose des clauses précises. La CNIL sanctionne désormais directement les sous-traitants défaillants.

    Un processus de gestion des demandes de droits. Quand une personne demande l’accès à ses données ou leur effacement, l’organisation a un mois pour répondre. Sans procédure interne, on dépasse les délais, et la CNIL est de plus en plus saisie par des plaignants individuels.

    Un processus de notification des violations. Une violation peut être un ransomware, une fuite via un partage mal configuré, un email envoyé en clair à la mauvaise personne, un vol d’ordinateur portable non chiffré. La règle des 72 heures court à partir de la prise de connaissance, pas à partir de la résolution. Sans procédure, on rate le délai.

    Des règles d’habilitation et de traçabilité. Qui accède à quoi, qui a fait quoi, depuis quand. Sans ça, impossible de démontrer la maîtrise des accès en cas d’incident.

    Une politique de sécurité cohérente avec les risques. Pas un copier-coller d’un standard ISO, des mesures réellement adaptées au contexte de l’organisation : MFA, chiffrement, sauvegardes, gestion des vulnérabilités, supervision.

    Une revue des traitements sensibles ou risqués et le lancement d’AIPD quand c’est nécessaire. Surveillance des salariés, recrutement automatisé, scoring client, géolocalisation, traitements de santé, vidéosurveillance étendue, IA appliquée à des décisions impactant les personnes.

    Une sensibilisation minimale des équipes métiers, RH, support, marketing, produit et IT. Ce sont elles qui manipulent les données au quotidien et qui produisent les violations par erreur.

    Une mise en conformité des cookies. C’est le sujet qui déclenche le plus de sanctions en procédure simplifiée. Bouton « Refuser » aussi visible que « Accepter », pas de dépôt avant consentement, traceurs strictement nécessaires identifiés, finalités distinctes. La CNIL scanne automatiquement les sites.

    Un DPO doit être désigné quand les critères de l’article 37 sont remplis. Et même quand ce n’est pas obligatoire, désigner un référent interne change tout : sans interlocuteur identifié, les sujets RGPD se diluent et ne sortent jamais des bonnes intentions.

    Le point central : le RGPD n’exige pas seulement des documents, il exige une capacité de preuve. Une PME qui peut montrer qu’elle sait quelles données elle traite, pourquoi, où, combien de temps, avec qui, sous quel risque, et comment elle protège les personnes concernées, est largement au-dessus de la moyenne.

    Côté charge réelle : pour une PME, l’investissement initial représente généralement 3 à 6 mois de travail accompagné, puis le maintien équivaut à un quart de poste à mi-temps. Pour une ETI multi-sites ou opérant à l’international, on parle d’un poste de DPO à temps plein appuyé par une équipe.

    Si votre entreprise est aussi entité essentielle ou importante au sens NIS2, ou entité financière soumise à DORA, la conformité RGPD se construit avec ces régimes en parallèle. Voir Conformité NIS2 et Conformité DORA pour l’approche par texte.

    L’article 83 fixe deux plafonds, le montant retenu étant le plus élevé entre la somme absolue et le pourcentage du chiffre d’affaires mondial consolidé.

    20 millions d’euros ou 4 % du CA mondial pour violation des principes fondamentaux (licéité, finalité, minimisation), des droits des personnes ou des règles de transfert hors UE.

    10 millions d’euros ou 2 % du CA mondial pour manquement aux obligations du responsable de traitement ou du sous-traitant : registre, sécurité, notification, privacy by design, désignation du DPO.

    À ces amendes s’ajoutent les mesures correctrices que peut prononcer la CNIL : injonctions sous astreinte, limitations temporaires ou définitives du traitement, suspension des flux de données vers un pays tiers, rappels à l’ordre, avertissements publics. Et hors sanction administrative directe : contentieux clients, contentieux salariés, atteinte réputationnelle, perte de marchés (les appels d’offres publics et grands comptes exigent désormais la conformité).

    Le bilan CNIL 2025 publié le 9 février 2026 donne la mesure du dispositif répressif : 259 décisions au total, dont 83 sanctions (16 en procédure ordinaire, 67 en procédure simplifiée), 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Le montant cumulé des amendes atteint 486 839 500 euros. Les sanctions les plus visibles : Google 325 M€, Shein 150 M€, Free 42 M€, France Travail 5 M€. Les sujets les plus sanctionnés : cookies et traceurs, surveillance des salariés, sécurité des données, prospection commerciale.

    Au-delà des amendes, la CNIL recourt de plus en plus à des injonctions sous astreinte (27 sanctions en 2025 contenaient une astreinte) qui obligent l’organisation à se mettre en conformité dans un délai court, avec une pénalité quotidienne en cas de retard. Trois liquidations d’astreinte ont été prononcées en 2025, ce qui signifie que les sommes ont été effectivement réclamées.

    Le RGPD est souvent réduit à un sujet juridique ou documentaire. Dans la pratique, les incidents les plus graves proviennent fréquemment de problèmes très opérationnels : droits d’accès mal maîtrisés, fuite de données dans un SaaS, erreurs de configuration cloud, export massif de données, phishing, comptes compromis ou absence de journalisation exploitable.

    Le texte impose une obligation de sécurité “adaptée au risque”. Cette formule paraît simple. Elle implique pourtant des arbitrages très concrets : MFA, segmentation des accès, sauvegardes, supervision, gestion des tiers, chiffrement, conservation des logs, contrôle des habilitations ou gestion des vulnérabilités.

    Les entreprises découvrent souvent le RGPD au moment d’un incident : ransomware, fuite de données clients, mauvaise exposition d’un bucket cloud ou erreur humaine dans un outil collaboratif.

    Le sujet dépasse largement la conformité documentaire. Une entreprise doit être capable de comprendre :

    • quelles données elle possède ;
    • où elles circulent ;
    • qui y accède ;
    • combien de temps elles sont conservées ;
    • quels prestataires les manipulent ;
    • comment détecter une compromission.

    Dans beaucoup d’organisations, le véritable problème n’est pas l’absence de politique RGPD. C’est l’absence de visibilité opérationnelle sur les données réellement utilisées.

    Où en êtes-vous sur le RGPD ?

    Radical-SSI vous accompagne pour :

    • Cartographier vos traitements ;
    • La réduction des risques de fuite de données ;
    • La gouvernance des SaaS et sous-traitants ;
    • L’articulation RGPD, NIS2, DORA et IA ;
    • La sécurisation opérationnelle des données sensibles ;
    • La préparation aux audits et contrôles.
    Prenons rendez-vous pour une consultation sans engagement.

    Partagez cette page via :