Une définition simple du RGPD : le RGPD (Règlement Général sur la Protection des Données) est un règlement européen en vigueur depuis le 25 mai 2018 qui encadre le traitement des données personnelles des citoyens de l'UE. Il impose aux entreprises des obligations de transparence, de conservation limitée et de sécurité des données.
Le RGPD, c'est quoi ? Définition et signification
Le RGPD (Règlement Général sur la Protection des Données, Règlement (UE) 2016/679) est entré en vigueur le 25 mai 2018. Il remplace la directive 95/46/CE et uniformise la protection des données personnelles dans l'Union européenne.
Il s'applique à toute organisation - entreprise, association, administration - qui collecte, stocke ou traite des données personnelles de résidents de l'UE, quelle que soit leur localisation géographique.
RGPD : l'acronyme
RGPD = Règlement Général sur la Protection des Données. En anglais, on parle de GDPR (General Data Protection Regulation).
Quelles données sont protégées par le RGPD ?
Sont protégées les données personnelles, c'est-à-dire toute information permettant d'identifier une personne physique, directement ou indirectement :
- Directement : nom, prénom, adresse, téléphone, email, photo
- Indirectement : numéro client, adresse IP, identifiant cookie, données de localisation
Certaines données sont dites « sensibles » et font l'objet d'une protection renforcée (article 9 RGPD) : données de santé, opinion politique, religion, appartenance syndicale, orientation sexuelle, données biométriques et génétiques.
Données hors champ du RGPD
Ne sont pas concernées par le RGPD :
- Les personnes morales (sociétés, associations) - seules les personnes physiques sont protégées
- Les données anonymisées de façon irréversible
- Les traitements purement personnels ou domestiques (agenda personnel, répertoire téléphonique privé)
Les 7 principes clés du RGPD
Le RGPD repose sur 7 principes fondamentaux (article 5 RGPD) qui s'appliquent à tout traitement de données :
1. Licéité, loyauté et transparence. Tout traitement doit reposer sur une base légale valide (consentement, contrat, obligation légale, intérêt légitime...) et les personnes doivent en être informées clairement.
2. Limitation des finalités. Les données collectées ne peuvent être utilisées que pour les objectifs définis au moment de la collecte. Exemple : des données collectées pour la livraison ne peuvent pas servir à la prospection commerciale sans base légale adéquate.
3. Minimisation des données. Seules les données strictement nécessaires à la finalité doivent être collectées (pas de collecte "au cas où").
4. Exactitude. Les données doivent être tenues à jour et exactes. Des procédures de correction ou de suppression des données inexactes doivent exister.
5. Limitation de la conservation. Les données ne peuvent pas être conservées indéfiniment. Une durée de rétention précise doit être définie pour chaque traitement.
6. Intégrité et confidentialité (sécurité). Les données doivent être protégées contre les accès non autorisés, les pertes ou les destructions, par des mesures techniques et organisationnelles adaptées (article 32 RGPD).
7. Responsabilité (accountability). Les organisations doivent non seulement respecter le RGPD mais aussi être en mesure de le prouver à tout moment (registre des traitements, politique de confidentialité, AIPD, formation des équipes...).
Qui est concerné par le RGPD ?
Toute organisation qui traite des données personnelles de résidents de l'UE est concernée, quelle que soit sa taille, son secteur ou son pays d'établissement. L'applicabilité du RGPD ne dépend pas du seuil de chiffre d'affaires mais de l'activité de traitement.
Les deux rôles principaux définis par le RGPD sont :
- Responsable de traitement (RT) : décide des finalités et des moyens du traitement (l'employeur, l'organisme public, la marque e-commerce...)
- Sous-traitant (ST) : traite les données pour le compte du RT (hébergeur cloud, prestataire RH, agence marketing...)
Les deux sont soumis au RGPD. Le sous-traitant doit apporter des garanties suffisantes et signer un contrat de traitement de données (DPA - Data Processing Agreement) avec le RT (article 28 RGPD).
Les bases légales du RGPD
Tout traitement de données personnelles doit reposer sur l'une des 6 bases légales définies par l'article 6 du RGPD :
- Consentement : la personne a donné son accord explicite et révocable
- Contrat : le traitement est nécessaire à l'exécution d'un contrat avec la personne
- Obligation légale : le traitement est imposé par la loi (ex : conservation des bulletins de paie)
- Sauvegarde des intérêts vitaux : traitement nécessaire pour protéger la vie d'une personne
- Mission d'intérêt public : traitement effectué dans le cadre d'une mission publique
- Intérêt légitime : intérêt de l'organisation, à condition qu'il ne prévale pas sur les droits des personnes
L'intérêt légitime est la base légale la plus souple mais aussi la plus risquée : il nécessite une analyse de mise en balance (LIA - Legitimate Interest Assessment) documentée.
Le consentement RGPD
Le consentement est valide uniquement s'il est :
- Libre (pas de déséquilibre de pouvoir)
- Spécifique (pour chaque finalité)
- Éclairé (information claire sur l'usage)
- Univoque (action positive, pas de cases pré-cochées)
Le retrait du consentement doit être aussi simple que son octroi.
Les droits des personnes sous le RGPD
Le RGPD accorde 8 droits aux personnes concernées, que les organisations doivent être en mesure d'exercer dans un délai d'1 mois (prolongeable à 3 mois pour les demandes complexes) :
- Droit d'accès (art. 15) : obtenir une copie des données détenues
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli », art. 17) : supprimer les données sous certaines conditions
- Droit à la limitation (art. 18) : suspendre un traitement contesté
- Droit à la portabilité (art. 20) : récupérer ses données dans un format structuré
- Droit d'opposition (art. 21) : s'opposer à un traitement basé sur l'intérêt légitime ou à des fins de prospection
- Droits relatifs aux décisions automatisées (art. 22) : ne pas faire l'objet d'une décision uniquement automatisée aux effets significatifs
- Droit d'information (art. 13 et 14) : être informé de la collecte et de l'usage de ses données
Les obligations principales des entreprises
La mise en conformité RGPD repose sur un socle de documents et de processus obligatoires :
Le registre des traitements
Obligatoire pour toutes les organisations de plus de 250 salariés et pour celles dont les traitements présentent des risques (article 30 RGPD). Le registre recense tous les traitements de données : finalité, base légale, durée de conservation, destinataires, mesures de sécurité.
L'Analyse d'Impact relative à la Protection des Données (AIPD)
Obligatoire pour les traitements à risque élevé (article 35 RGPD) : vidéosurveillance, scoring, traitement de données sensibles à grande échelle... L'AIPD évalue les risques et les mesures pour y remédier.
La politique de confidentialité
Tout site web ou application collectant des données doit afficher une politique de confidentialité complète (articles 13 et 14 RGPD) : identité du responsable, finalités, bases légales, durées, droits des personnes, transferts hors UE.
Les contrats sous-traitants (DPA)
Chaque prestataire traitant des données pour votre compte doit signer un Data Processing Agreement (DPA) conforme à l'article 28 RGPD. Ce contrat définit les obligations du sous-traitant en matière de sécurité, de confidentialité et de gestion des violations.
La gestion des violations de données
Toute violation de données à caractère personnel doit être notifiée à la CNIL dans un délai de 72 heures si elle est susceptible d'engendrer un risque pour les droits et libertés des personnes (article 33 RGPD). Si le risque est élevé, les personnes concernées doivent également être informées (article 34 RGPD).
RGPD et PME : des obligations allégées, pas supprimées
Le RGPD n'exonère pas les PME de leurs obligations. Il prévoit simplement quelques aménagements pour les organisations de moins de 250 salariés :
- Registre des traitements simplifié (seuls les traitements réguliers ou à risque sont obligatoires)
- Pas d'obligation de désigner un DPO (sauf si les traitements sont à grande échelle ou sensibles)
Mais les principes fondamentaux s'appliquent intégralement : bases légales, droits des personnes, sécurité, notification des violations. Une PME qui collecte des emails marketing, gère des RH ou utilise un CRM est pleinement soumise au RGPD.
RGPD et intelligence artificielle : ce qui change en 2026
L'AI Act européen (en vigueur depuis août 2024, applicable progressivement jusqu'en 2027) ne remplace pas le RGPD : les deux textes se cumulent pour tout système d'IA traitant des données personnelles.
Concrètement en 2026, pour un DPO d'ETI :
- Systèmes d'IA à risque élevé (recrutement, scoring crédit, contrôle d'accès...) : AIPD obligatoire sous le RGPD ET conformité AI Act (documentation technique, supervision humaine, registre EU)
- Modèles de langage (LLM) utilisés pour traiter des données clients : bases légales RGPD à vérifier, durées de rétention à définir, information des personnes à mettre à jour
- Profilage automatisé : l'article 22 RGPD s'applique, l'AI Act ajoute des exigences de transparence supplémentaires pour les systèmes à risque élevé
La CNIL publie régulièrement des recommandations sur l'articulation RGPD/AI Act. Sa page dédiée à l'IA fait référence.
Les 5 priorités opérationnelles d'un DPO en ETI
Pour un DPO d'une ETI de 100 à 5 000 salariés, la mise en conformité RGPD se structure autour de 5 chantiers prioritaires :
Priorité 1 : Tenir le registre des traitements à jour
Le registre est le document central de la conformité. Il doit être mis à jour à chaque nouveau traitement, chaque changement de prestataire ou d'outil. Un registre incomplet ou obsolète est systématiquement relevé lors des contrôles CNIL.
Priorité 2 : Cartographier et auditer les sous-traitants
Pour une ETI, le nombre de sous-traitants (SaaS, prestataires RH, hébergeurs...) dépasse souvent 50. Chaque sous-traitant doit avoir signé un DPA conforme. L'audit annuel des DPA existants est une priorité opérationnelle.
Priorité 3 : Traiter les demandes d'exercice de droits
Le délai légal d'1 mois pour répondre aux demandes d'accès, de rectification ou d'effacement est strict. Mettre en place un processus formalisé (formulaire, workflow de traitement, archivage des réponses) est indispensable.
Priorité 4 : Gérer les violations de données
72 heures pour notifier la CNIL : c'est court. Un plan de réponse aux incidents doit exister avant qu'un incident survienne. Il définit les rôles (qui notifie ? qui valide ?), les modèles de notification et les critères de qualification de la violation.
Priorité 5 : Former les équipes
La conformité RGPD n'est pas l'affaire du seul DPO. Les équipes RH, marketing, IT et juridique doivent être formées aux règles essentielles : bases légales, données sensibles, droits des personnes. La formation doit être documentée (preuves de l'accountability).
Les sanctions CNIL en 2025-2026
La CNIL dispose de pouvoirs de sanction gradués :
- Mise en demeure : injonction de mise en conformité dans un délai fixé (publique ou confidentielle)
- Amende administrative : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel (le montant le plus élevé est retenu)
- Limitation ou interdiction de traitement : mesure provisoire ou définitive
Exemples de sanctions récentes :
- Sanction CNIL contre CEGEDIM SANTÉ (janvier 2025) : 800 000 euros pour manquements aux bases légales et aux durées de conservation
- Sanction CNIL contre ORANGE (novembre 2024) : 50 millions d'euros pour défauts de consentement en matière de prospection
- Sanction EDPB contre Meta (2023) : 1,2 milliard d'euros pour transferts illégaux de données vers les États-Unis
La CNIL publie ses décisions de sanction en ligne. Les contrôles peuvent être déclenchés par une plainte, une notification de violation ou une initiative de la CNIL (thématiques annuelles de contrôle).
Questions fréquemment posées
Qu'est-ce que le RGPD en termes simples ?
Le RGPD est la loi européenne sur la vie privée numérique, en vigueur depuis 2018. Il donne aux citoyens le contrôle sur leurs données personnelles et impose aux entreprises des règles strictes sur la collecte, le stockage et l'utilisation de ces données. En cas de non-respect, les amendes peuvent atteindre 4% du chiffre d'affaires mondial.
Le RGPD est-il obligatoire pour les PME ?
Oui. Le RGPD s'applique à toutes les organisations qui traitent des données personnelles de résidents de l'UE, sans seuil de taille. Une PME de 10 salariés qui gère des emails clients est soumise au RGPD. Seules quelques obligations sont allégées pour les moins de 250 salariés (registre simplifié, pas de DPO obligatoire).
Le RGPD s'applique-t-il aux TPE/PME ?
Oui, le RGPD s'applique à toutes les organisations qui traitent des données personnelles, y compris les TPE et PME. Les principes de base (licéité, minimisation, sécurité, droits des personnes) sont identiques quelle que soit la taille de l'organisation.
Quelles sanctions la CNIL peut-elle prononcer en cas de non-respect du RGPD ?
Le plafond des sanctions administratives est de 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel. La CNIL peut aussi prononcer des mises en demeure, des injonctions de mise en conformité et des limitations de traitement. En 2024-2025, les amendes les plus significatives concernent la prospection commerciale et les transferts hors UE.
Quelle est la différence entre RGPD et loi Informatique et Libertés ?
La loi Informatique et Libertés de 1978 est la loi française qui a précédé le RGPD. Elle a été mise à jour en 2018 pour transposer et compléter le RGPD en droit français. Le RGPD est directement applicable dans tous les États membres de l'UE ; la loi Informatique et Libertés y ajoute des spécificités françaises (ex : âge du consentement des mineurs fixé à 15 ans).
Combien de temps faut-il pour se mettre en conformité au RGPD ?
Pour une ETI (100-5 000 salariés), un projet de mise en conformité RGPD complet prend généralement 3 à 9 mois selon la complexité des traitements et les ressources disponibles. L'étape la plus longue est la cartographie des traitements. Avec un outil adapté, ce délai peut être réduit de 30 à 50%.
Comment prouver sa conformité au RGPD ?
La preuve de conformité repose sur 5 documents clés : le registre des traitements (à jour), les DPA signés avec les sous-traitants, les AIPD pour les traitements à risque, les politiques de confidentialité publiées et les preuves de formation des équipes. C'est l'obligation d'accountability définie par l'article 5.2 du RGPD.
Quel est le rôle du DPO dans le RGPD ?
Le DPO (Délégué à la Protection des Données) est le chef d'orchestre de la conformité RGPD. Il conseille l'organisation, surveille le respect du règlement, gère les demandes d'exercice de droits et fait le lien avec la CNIL. Sa désignation est obligatoire pour les organismes publics, les entreprises dont le traitement est à grande échelle ou systématique, et celles traitant des données sensibles.
Qu'est-ce que le RGPD concrètement pour une entreprise ?
Concrètement, le RGPD impose à une entreprise de savoir précisément quelles données elle collecte et pourquoi (registre des traitements), de s'assurer que chaque traitement a une base légale valide, de répondre aux demandes des personnes dans le délai légal, de sécuriser les données, de notifier les violations et de contractualiser avec ses sous-traitants.
RGPD et IA : qu'est-ce qui change en 2026 ?
Le RGPD continue de s'appliquer à tout système d'IA traitant des données personnelles. En 2026, l'AI Act s'y superpose pour les systèmes à risque élevé et les modèles d'IA à usage général. Le DPO doit désormais intégrer une double analyse : conformité RGPD (bases légales, droits des personnes) ET conformité AI Act (documentation technique, supervision humaine, transparence).


