Une définition simple du RGPD : Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen en vigueur depuis le 25 mai 2018 qui encadre le traitement des données personnelles des citoyens de l'UE. Il impose aux entreprises des obligations de transparence, de consentement et de sécurité, avec des sanctions pouvant atteindre 20M€ ou 4% du chiffre d'affaires.
Ce guide vous explique concrètement ce qu'est le RGPD, qui est concerné, les 5 principes fondamentaux à respecter, les sanctions encourues et comment vous mettre en conformité. Actualisé avec les nouvelles règles AI Act 2026.
Le RGPD, c'est quoi ? Définition et signification
RGPD : l'acronyme
RGPD signifie Règlement Général sur la Protection des Données (RGPD). Il s'agit du règlement européen n° 2016/679 du 27 avril 2016, applicable depuis le 25 mai 2018 dans tous les pays de l'Union européenne.
En anglais, on parle de GDPR (General Data Protection Regulation).
Si vous manipulez ce type données en provenance de l’Union européenne (UE) ou depuis le sol européen, vous devez vous conformer à cette réglementation.
Mais concrètement, à quoi sert le RGPD ?
Le RGPD sert avant tout à protéger les personnes dont les données sont collectées. Grâce au au règlement européen, ces personnes physiques pourront accéder à leurs données collectées, décider de les rectifier ou de les effacer, et solliciter leur portabilité.
Pour cela, le RGPD impose des obligations aux responsables du traitement de ces données. Celui-ci doit garantir la protection et la sécurité des données personnelles qu'il collecte et doit pouvoir le démontrer.
Mise à jour janvier 2026 : Le RGPD continue d'évoluer avec l'entrée en vigueur progressive de l'AI Act (Règlement européen sur l'Intelligence Artificielle) et des nouvelles règles de sécurité NIS 2. En 2025, la CNIL a prononcé des sanctions record, dont 475 millions d'euros d'amendes (Google : 325M€, Shein : 150M€), marquant un durcissement sans précédent du contrôle.
Le RGPD en chiffres clés (2025-2026)
- 325 millions €: Plus grosse amende CNIL jamais prononcée (Google, sept 2025)
- 1 247 contrôles CNIL réalisés en 2025 (+15% vs 2024)
- 32% des entreprises contrôlées = PME/TPE (<250 salariés)
- 92% des entreprises déclarent être conformes... mais seulement 34% le sont réellement (selon contrôles CNIL)
- Jusqu'à 20M€ ou 4% du CA : amende maximale RGPD
Dans ce guide actualisé janvier 2026, vous découvrirez :
- La définition complète et actualisée du RGPD
- Les 7 principes fondamentaux à respecter
- Les sanctions et amendes 2025 (cas réels)
- La convergence RGPD + AI Act + NIS 2 (nouveauté 2026)
- Comment se mettre en conformité en 10 étapes
Qui est concerné par le RGPD ?
Il s’applique à toute entité se situant en UE ou ciblant des personnes en UE.
Toutes les entreprises présentes sur le territoire de l’Union européenne et stockant des données personnelles sont concernées.
Le RGPD s’applique :
- pour toute taille d’entreprise
- pour tout chiffre d’affaires
- pour les entreprises privées ou les organismes publics
- pour le B2B ou le B2C
Le règlement s’applique aussi aux sous-traitants (article 28 RGPD), même si ceux-ci ne sont pas basés en UE.
💡 Pour rappel, le sous-traitant est la personne ou l’organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).
Quels sont les objectifs du RGPD ?
Ses objectifs sont de :
- protéger la vie privée des citoyens européens
- éviter tout accès non autorisé aux données personnelles
- éviter toute manipulation non conforme aux données personnelles
Pour cela, le RGPD permet de vérifier la mise en application de différents droits :
- Le droit à l'information (comment et où sont collectées les données et dans quel but)(article 12 RGPD)(article 13 RGPD).
- Le droit d'accès (quelles données précises sont collectées) (article 15 RGPD).
- Le droit d'opposition (interdiction de collecte) (article 21 RGPD).
- Le droit de rectification (modification de ses données) (article 16 RGPD).
- Le droit à l'oubli ( suppression des données) (article 17 RGPD).
- Le droit à la portabilité (récupération de ses données) (article 20 RGPD)
Quels sont les 5 grands principes du RGPD ?
L'article 5 RGPD énonce les grands principes qui doivent guider votre réflexion concernant les données que vous avec déjà collectées ou que vous allez collecter :
1. Principe de finalité
Vous devez limiter votre collecte des données personnelles à un seul but précis et identifié. Ces données ne doivent pas être utilisées à d’autres fins. Une finalité doit être déterminée par traitement et par base légale.
2. Principe de minimisation
Vous ne devez utiliser que des données nécessaires à l’atteinte de votre objectif. Les autres données ne doivent pas être enregistrées. Seules les données pertinentes pour atteindre l'objectif doivent être collectée.
3. Principe de durée limitée
Vous ne devez conserver les données collectées que le temps nécessaire à la réalisation de votre objectif. Chaque traitement doit avoir une durée limitée dans le temps où prédéterminée par référence à un évènement, par exemple, jusqu'à la désincription à la newsletter ou 5 ans après le départ d'un client.
4. Principe de sécurité
Vous devez garantir l’intégrité et la confidentialité des données collectées. Par exemple, aucun tiers non autorisé ne doit pouvoir y accéder. La sécurité des données personnelles est un élément très important du rgpd definition.
5. Principe des droits des personnes
Vous devez laisser la maîtrise des données collectées aux personnes concernées par le traitement des données. Il faut donc informer les personnes du traitement de leurs données personnelles, notamment par l'intermédiaire de la Politique de confidentialité.
Le règlement général impose également d'y décrire l'ensemble des droits que les personnes : information, accès, modification, opposition, suppression etc. Notons également qu'au titre de l'information des personnes, l'entreprise doit également communiquer sur les sous traitants à qui sont transférés les données personnelles des personnes concernées. C'est un principe important de la protection des données.
Quelle est la différence entre la CNIL et le RGPD ?
En France, le Règlement Général sur la Protection des Données est placé sous l'autorité de la Commission Nationale de l'Informatique et des Libertés (CNIL). Cependant, avant le RGPD, entré en vigueur en 2018, la CNIL était chargée de la protection des données sur le fondement la loi informatique et Libertés du 6 janvier 1978 qui est toujours en vigueur et s'articule avec le RGPD.
On peut donc dire qu’elle est le gendarme de la protection des données.
À ce titre, elle a le pouvoir de sanctionner les organismes non conformes, en cas de manquement, de violation ou de plainte.
D'ailleurs, la CNIL a publié son plan stratégique pour 2025/2028 que vous pouvez retrouver ici.
Le parlement européen est également en train de voter un nouveau texte pour réguler l'intelligence artificielle "IA Act" pour lequel la CNIL se positionne comme l'autorité de régulation par essence.
Bilan CNIL 2025 : les chiffres clés
- 1 247 contrôles réalisés (+15% vs 2024)
- 15 247 plaintes reçues
- 478 millions euros d'amendes
- 32% des contrôles concernent les TPE/PME
Attention, en 2026, la CNIL cible de plus en plus les petites structures ! Et depuis août 2025, la CNIL est l'une des autorités de régulation française pour l'AI Act.
Est-ce que le RGPD est obligatoire ?
Le RGPD est bien obligatoire dans l’ensemble des 28 états membres de l’UE.
Tout acteur européen utilisant des données personnelles doit se conformer à ce règlement.
Il s’applique également aux données des européens traitées par des acteurs en dehors de l’UE.
Quand faut-il s’occuper du RGPD ?
L’idéal est comme souvent de la prévoir dès le départ. Donc d’an-ti-ci-per ! 😊
S’en préoccuper au dernier moment, quand tout est déjà en place, est souvent une mauvaise idée.
Pourquoi ?
Parce que certaines mesures techniques et organisationnelles demanderont plus d’effort de mise en place si cela n’a pas été prévu dès le départ.
Quelles sanctions en cas de non-conformité ?
Les sanctions RGPD ont atteint des niveaux record en 2025 :
Top 5 des amendes CNIL en 2025 :
- Google Ireland - 325 millions € (Septembre 2025) - Cookies publicitaires dans Gmail sans consentement préalable
- Shein - 150 millions € (Septembre 2025) - Consentement cookies non conforme
- Nexpublica France- 1,7 million € (décembre 2025) - Défaut de sécurité logiciel PCRM
- American Express France - 1,5 million € (novembre 2025) - Non-respect des règles traceurs
- Mobius Solutions (sous-traitant Deezer) - 1 million € (décembre 2025) - Violation de données utilisateurs
Total des amendes CNIL 2025 - 478 millions € (record historique !)
Il est donc conseillé de se mettre en conformité !
Les 3 niveaux de sanctions RGPD
- Sanctions pénales : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende
- Sanctions administratives : injonction de cesser la violation des données personnelles, avertissement et mise en demeure à se conformer au RGPD, limitation ou suspension temporaire du traitement des données, amende comprise entre 2 et 4% du chiffre d’affaires annuel (jusqu’à 20 millions d’euros)
- Sanctions additionnelles : versement de dommages et intérêts en cas dommage matériel ou moral ou de déficit d’image, sans oublier l’impact réputationnel d’une telle sanction sur votre entreprise qui peut avoir l’effet d’une double sanction !
Quelques définitions clés du RGPD
Qu’est-ce qu’une donnée personnelle ? (définition RGPD)
Une donnée personnelle est une information qui concerne une personne physique identifiée (article 4 RGPD). Le RGPD donne une définition large à une donnée personnelle pour assurer au maximum la protection des données. Il s'agit de toute information directe ou indirecte permettant d'identifier une personne physique.
Logiquement cela peut être son nom ou son prénom. Mais cela peut aussi être son numéro de téléphone, son numéro de sécurité sociale, son ADN ou même seulement son adresse IP.
Cela peut même être un faisceau de données qui permettent d’identifier cette personne, comme la localisation, l’âge, les comportements d’achat.
Qu’est-ce que le Privacy by Design ?
C’est justement le fait de prévoir en amont, dès la conception, la prise en compte des problématiques liées au RGPD.
Le but est de définir, le plus tôt possible, la méthodologie pour le traitement et le stockage des données à caractère personnel.
Le Privacy by Design implique donc de réfléchir à la nature des données à traiter, à leurs finalités et aux risques associés. Puis, de prendre les mesures nécessaires pour garantir la conformité au RGPD. Pour plus d'informations, nous avons rédigé un article dédié ici.
C’est une approche préventive qui est fortement recommandée par le RGPD et qui permet d’assurer la prise en compte de la protection de la vie privée dès le début.
Qu’est-ce que l’analyse d’impact sur la vie privée ?
Le Privacy Impact Assessment (PIA) permet de vérifier les risques de sécurité touchant aux données personnelles.
C’est le responsable des traitements qui doit réaliser un PIA en amont de leurs mises en œuvre.
Cela consiste à décrire les risques liés traitements à réaliser et les mesures à prendre. Pour mieux comprendre de quoi il s'agit, nous avons rédigé un article ici.
La CNIL propose un guide et un outil sur son site, pour vous aider à réaliser un PIA.
Qu’est-ce que le Délégué à la Protection des Données (DPO) ?
Le délégué à la protection des données ou data protection officer (DPO) c'est la personne chargée de mettre en œuvre le RGPD au sein d’un organisme.
Dans certains cas, sa désignation est obligatoire (article 37 RGPD). Il peut être interne ou externe.
La CNIL le qualifie de « Chef d’orchestre » et il sera son interlocuteur privilégié, en cas de besoin (article 38 RGPD).
Il s’occupera de toutes les questions relatives à la protection des données personnelles (article 39 RGPD).
Et si le DPO n’est pas obligatoire, il conviendra au minimum de désigner un pilote responsable de la gestion des données personnelles. Cette personne n'est pas obligatoirement un juriste, bien que ce soit souvent le cas. Lorsque telle n'est pas le cas, il existe plusieurs formations DPO.
Comment être conforme au RGPD ? Guide pratique 2026
Pour cela, il s’agit de :
- Collecter uniquement les données pertinentes (principe de minimisation)
- Recenser les données stockées et vérifier leur conformité
- Être transparent en informant clairement des données collectées
- Maîtriser l’utilisation des données collectées
- Sécuriser les données collectées et stockées
- Identifier et gérer les risques associés aux traitements des données personnelles
Nous avons consacré un Livre Blanc si vous souhaitez en savoir plus sur la protection des données et comment se mettre en conformité au rgpd.
RGPD et AI Act : Convergence 2026
Qu'est-ce que l'AI Act ?
L'AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique européen sur l'Intelligence Artificielle, entré en vigueur le 1er août 2024.
RGPD + AI Act : Les nouvelles obligations 2026
Si votre entreprise utilise des outils d'IA (ChatGPT, Copilot, IA de recrutement...), vous devez désormais respecter :
1. AIPD obligatoire pour IA à haut risque
Les systèmes d'IA suivants nécessitent une Analyse d'Impact relative à la Protection des Données (AIPD) :
- IA de recrutement (tri automatique de CV)
- IA de scoring / notation des personnes
- Reconnaissance biométrique
- IA de gestion des performances salariés
- Systèmes de recommandation à grande échelle
En pratique : Si vous utilisez un ATS (logiciel de recrutement) avec IA, vous DEVEZ faire une AIPD AVANT de le déployer.
2. Documentation technique renforcée
- Comment fonctionne votre IA (algorithme, données d'entraînement)
- Où sont hébergées les données (UE, USA avec Data Privacy Framework ?)
- Quelles mesures de sécurité sont en place
3. Transparence obligatoire
Vous devez informer explicitement les personnes concernées.
4. Contrôle humain ("human-in-the-loop")
Aucune décision 100% automatisée ayant un impact juridique ou significatif sur une personne n'est autorisée sans revue humaine.
Sanctions AI Act + RGPD cumulées
En cas de manquement, vous risquez des sanctions sur 2 fronts :
- RGPD (données personnelles) : 20M€ ou 4% CA
- AI Act (IA interdite) : 35M€ ou 7% CA
- AI Act (IA haut risque) : 15M€ ou 3% CA
Attention, aujourd'hui :
- 67% des entreprises françaises utilisent l'IA sans avoir réalisé d'AIPD (CNIL, Janvier 2026)
- 42% ne savent pas où sont hébergées les données traitées par leurs outils IA
- 3,2 milliard € d'amendes RGPD liées à l'IA en Europe (2025)
Pour aller plus loin :
Guide RGPD et IA : Comment Utiliser ChatGPT en Étant Conforme
AI Act : Quelles sont les autorités compétences en France ?
5 bonnes pratiques pour sensibiliser vos équipes à l'IA
Faut-il se doter d’un outil spécifique pour répondre au RGPD ?
Le RGPD responsabilise les différents acteurs qui doivent être capables de démontrer le bon respect des règles.
Il est donc vital d’instaurer de nouvelles procédures pour s’assurer d’être conforme au RGPD.
Certains outils informatiques, comme Leto, peuvent aider à minimiser les risques de sanctions.
Si vous traitez et stockez de nombreuses données personnelles, les vérifications manuelles auront rapidement une limite. Il faudra alors penser à automatiser vos processus en matière de données personnelles.
👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !
Questions fréquemment posée sur le RGPD
Qu'est-ce que le RGPD ? (Définition simple)
Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen n°2016/679 qui encadre le traitement des données personnelles depuis le 25 mai 2018. En anglais, on parle de GDPR (General Data Protection Regulation). Il s'applique à toute organisation qui collecte, stocke ou utilise des informations permettant d'identifier une personne physique en Europe. Son objectif : protéger la vie privée des citoyens européens en leur donnant le contrôle sur leurs données.
Quels sont les 5 principes fondamentaux du RGPD ?
Les 5 principes du RGPD énoncés à l'article 5 sont : 1) La finalité - collecter les données pour un objectif précis et légitime ; 2) La minimisation - ne collecter que les données strictement nécessaires ; 3) La durée limitée - conserver les données uniquement le temps nécessaire ; 4) La sécurité - protéger les données contre tout accès non autorisé ; 5) Les droits des personnes - permettre aux individus d'accéder, rectifier ou supprimer leurs données.
Quelle est la différence entre la CNIL et le RGPD ?
Le RGPD est un règlement européen, c'est-à-dire un texte de loi qui définit les règles de protection des données personnelles. La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française chargée de faire appliquer ce règlement. En résumé : le RGPD fixe les règles, la CNIL les fait respecter en France. La CNIL peut contrôler les entreprises, recevoir les plaintes et prononcer des sanctions pouvant atteindre 20 millions d'euros.
Quelles sont les sanctions RGPD en 2026 ?
Les sanctions RGPD sont de trois types : administratives (jusqu'à 20M€ ou 4% du CA mondial), pénales (jusqu'à 5 ans de prison et 300 000€ d'amende), et civiles (dommages et intérêts). En 2025, la CNIL a prononcé 478 millions d'euros d'amendes, un record historique. Les plus grosses sanctions : Google (325M€), Shein (150M€). Depuis 2026, les sanctions peuvent être cumulées avec l'AI Act, portant le maximum à 35M€ ou 7% du CA pour les infractions liées à l'intelligence artificielle.
Qui est concerné par le RGPD ?
Toute organisation qui collecte ou traite des données personnelles de personnes situées dans l'Union européenne est concernée par le RGPD, quelle que soit sa taille (TPE, PME, ETI, grand groupe), son secteur d'activité (B2B ou B2C), ou sa localisation géographique (même hors UE si elle cible des Européens). Cela inclut également les sous-traitants qui traitent des données pour le compte d'autres entreprises. En pratique : si vous avez des clients, employés ou prospects en Europe, le RGPD s'applique à vous.
