Qu'est-ce que le RGPD ? Définition complète et obligations 2026

20/5/2026
Tous les guides
📚 Notions de base

Une définition simple du RGPD : Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen en vigueur depuis le 25 mai 2018 qui encadre le traitement des données personnelles des citoyens de l'UE. Il impose aux entreprises des obligations de transparence, de consentement et de sécurité, avec des sanctions pouvant atteindre 20M€ ou 4% du chiffre d'affaires.

Ce guide vous explique concrètement ce qu'est le RGPD, qui est concerné, les 5 principes fondamentaux à respecter, les sanctions encourues et comment vous mettre en conformité. Actualisé avec les nouvelles règles AI Act 2026.

Le RGPD, c'est quoi ? Définition et signification

RGPD : l'acronyme

RGPD signifie Règlement Général sur la Protection des Données (RGPD). Il s'agit du règlement européen n° 2016/679 du 27 avril 2016, applicable depuis le 25 mai 2018 dans tous les pays de l'Union européenne.

En anglais, on parle de GDPR (General Data Protection Regulation).

Si vous manipulez ce type données en provenance de l'Union européenne (UE) ou depuis le sol européen, vous devez vous conformer à cette réglementation.

Mais concrètement, à quoi sert le RGPD ?

Le RGPD sert avant tout à protéger les personnes dont les données sont collectées. Grâce au au règlement européen, ces personnes physiques pourront accéder à leurs données collectées, décider de les rectifier ou de les effacer, et solliciter leur portabilité.

Pour cela, le RGPD impose des obligations aux responsables du traitement de ces données. Celui-ci doit garantir la protection et la sécurité des données personnelles qu'il collecte et doit pouvoir le démontrer.

Mise à jour janvier 2026 : Le RGPD continue d'évoluer avec l'entrée en vigueur progressive de l'AI Act (Règlement européen sur l'Intelligence Artificielle) et des nouvelles règles de sécurité NIS 2. En 2025, la CNIL a prononcé des sanctions record, dont 475 millions d'euros d'amendes (Google : 325M€, Shein : 150M€), marquant un durcissement sans précédent du contrôle.

Le RGPD en chiffres clés (2025-2026)

  • 325 millions € : Plus grosse amende CNIL jamais prononcée (Google, sept 2025)
  • 1 247 contrôles CNIL réalisés en 2025 (+15% vs 2024)
  • 32% des entreprises contrôlées = PME/TPE (<250 salariés)
  • 92% des entreprises déclarent être conformes... mais seulement 34% le sont réellement (selon contrôles CNIL)
  • Jusqu'à 20M€ ou 4% du CA : amende maximale RGPD

Dans ce guide actualisé janvier 2026, vous découvrirez :

  • La définition complète et actualisée du RGPD
  • Les 7 principes fondamentaux à respecter
  • Les sanctions et amendes 2025 (cas réels)
  • La convergence RGPD + AI Act + NIS 2 (nouveauté 2026)
  • Comment se mettre en conformité en 10 étapes

Qui est concerné par le RGPD ?

Il s'applique à toute entité se situant en UE ou ciblant des personnes en UE.

Toutes les entreprises présentes sur le territoire de l'Union européenne et stockant des données personnelles sont concernées.

Le RGPD s'applique :

  • pour toute taille d'entreprise
  • pour tout chiffre d'affaires
  • pour les entreprises privées ou les organismes publics
  • pour le B2B ou le B2C

Le règlement s'applique aussi aux sous-traitants (article 28 RGPD), même si ceux-ci ne sont pas basés en UE.

💡 Pour rappel, le sous-traitant est la personne ou l'organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).

Quels sont les objectifs du RGPD ?

Ses objectifs sont de :

  • protéger la vie privée des citoyens européens
  • éviter tout accès non autorisé aux données personnelles
  • éviter toute manipulation non conforme aux données personnelles

Pour cela, le RGPD permet de vérifier la mise en application de différents droits :

  • Le droit à l'information (comment et où sont collectées les données et dans quel but)(article 12 RGPD)(article 13 RGPD).
  • Le droit d'accès (quelles données précises sont collectées) (article 15 RGPD).
  • Le droit d'opposition (interdiction de collecte) (article 21 RGPD).
  • Le droit de rectification (modification de ses données) (article 16 RGPD).
  • Le droit à l'oubli (suppression des données) (article 17 RGPD).
  • Le droit à la portabilité (récupération de ses données) (article 20 RGPD)

Quels sont les 5 grands principes du RGPD ?

L'article 5 RGPD énonce les grands principes qui doivent guider votre réflexion concernant les données que vous avec déjà collectées ou que vous allez collecter :

1. Principe de finalité

Vous devez limiter votre collecte des données personnelles à un seul but précis et identifié. Ces données ne doivent pas être utilisées à d'autres fins. Une finalité doit être déterminée par traitement et par base légale.

2. Principe de minimisation

Vous ne devez utiliser que des données nécessaires à l'atteinte de votre objectif. Les autres données ne doivent pas être enregistrées. Seules les données pertinentes pour atteindre l'objectif doivent être collectée.

3. Principe de durée limitée

Vous ne devez conserver les données collectées que le temps nécessaire à la réalisation de votre objectif. Chaque traitement doit avoir une durée limitée dans le temps où prédéterminée par référence à un évènement, par exemple, jusqu'à la désincription à la newsletter ou 5 ans après le départ d'un client.

4. Principe de sécurité

Vous devez garantir l'intégrité et la confidentialité des données collectées. Par exemple, aucun tiers non autorisé ne doit pouvoir y accéder. La sécurité des données personnelles est un élément très important du rgpd definition.

5. Principe des droits des personnes

Vous devez laisser la maîtrise des données collectées aux personnes concernées par le traitement des données. Il faut donc informer les personnes du traitement de leurs données personnelles, notamment par l'intermédiaire de la Politique de confidentialité.

Le règlement général impose également d'y décrire l'ensemble des droits que les personnes : information, accès, modification, opposition, suppression etc. Notons également qu'au titre de l'information des personnes, l'entreprise doit également communiquer sur les sous traitants à qui sont transférés les données personnelles des personnes concernées. C'est un principe important de la protection des données.

Quelle est la différence entre la CNIL et le RGPD ?

En France, le Règlement Général sur la Protection des Données est placé sous l'autorité de la Commission Nationale de l'Informatique et des Libertés (CNIL). Cependant, avant le RGPD, entré en vigueur en 2018, la CNIL était chargée de la protection des données sur le fondement la loi informatique et Libertés du 6 janvier 1978 qui est toujours en vigueur et s'articule avec le RGPD.

On peut donc dire qu'elle est le gendarme de la protection des données.

À ce titre, elle a le pouvoir de sanctionner les organismes non conformes, en cas de manquement, de violation ou de plainte.

D'ailleurs, la CNIL a publié son plan stratégique pour 2025/2028 que vous pouvez retrouver ici.

Le parlement européen est également en train de voter un nouveau texte pour réguler l'intelligence artificielle "IA Act" pour lequel la CNIL se positionne comme l'autorité de régulation par essence.

Bilan CNIL 2025 : les chiffres clés

  • 1 247 contrôles réalisés (+15% vs 2024)
  • 15 247 plaintes reçues
  • 478 millions euros d'amendes
  • 32% des contrôles concernent les TPE/PME

Attention, en 2026, la CNIL cible de plus en plus les petites structures ! Et depuis août 2025, la CNIL est l'une des autorités de régulation française pour l'AI Act.

Est-ce que le RGPD est obligatoire ?

Le RGPD est bien obligatoire dans l'ensemble des 28 états membres de l'UE.

Tout acteur européen utilisant des données personnelles doit se conformer à ce règlement.

Il s'applique également aux données des européens traitées par des acteurs en dehors de l'UE.

Quand faut-il s'occuper du RGPD ?

L'idéal est comme souvent de la prévoir dès le départ. Donc d'an-ti-ci-per ! 😊

S'en préoccuper au dernier moment, quand tout est déjà en place, est souvent une mauvaise idée.

Pourquoi ?

Parce que certaines mesures techniques et organisationnelles demanderont plus d'effort de mise en place si cela n'a pas été prévu dès le départ.

Quelles sanctions en cas de non-conformité ?

Les sanctions RGPD ont atteint des niveaux record en 2025 :

Top 5 des amendes CNIL en 2025 :

  • Google Ireland - 325 millions € (Septembre 2025) - Cookies publicitaires dans Gmail sans consentement préalable
  • Shein - 150 millions € (Septembre 2025) - Consentement cookies non conforme
  • Nexpublica France - 1,7 million € (décembre 2025) - Défaut de sécurité logiciel PCRM
  • American Express France - 1,5 million € (novembre 2025) - Non-respect des règles traceurs
  • Mobius Solutions (sous-traitant Deezer) - 1 million € (décembre 2025) - Violation de données utilisateurs

Total des amendes CNIL 2025 - 478 millions € (record historique !)

Il est donc conseillé de se mettre en conformité !

Les 3 niveaux de sanctions RGPD

  • Sanctions pénales : jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende
  • Sanctions administratives : injonction de cesser la violation des données personnelles, avertissement et mise en demeure à se conformer au RGPD, limitation ou suspension temporaire du traitement des données, amende comprise entre 2 et 4% du chiffre d'affaires annuel (jusqu'à 20 millions d'euros)
  • Sanctions additionnelles : versement de dommages et intérêts en cas dommage matériel ou moral ou de déficit d'image, sans oublier l'impact réputationnel d'une telle sanction sur votre entreprise qui peut avoir l'effet d'une double sanction !

Quelques définitions clés du RGPD

Qu'est-ce qu'une donnée personnelle ? (définition RGPD)

Une donnée personnelle est une information qui concerne une personne physique identifiée (article 4 RGPD). Le RGPD donne une définition large à une donnée personnelle pour assurer au maximum la protection des données. Il s'agit de toute information directe ou indirecte permettant d'identifier une personne physique.

Logiquement cela peut être son nom ou son prénom. Mais cela peut aussi être son numéro de téléphone, son numéro de sécurité sociale, son ADN ou même seulement son adresse IP.

Cela peut même être un faisceau de données qui permettent d'identifier cette personne, comme la localisation, l'âge, les comportements d'achat.

Qu'est-ce que le Privacy by Design ?

C'est justement le fait de prévoir en amont, dès la conception, la prise en compte des problématiques liées au RGPD.

Le but est de définir, le plus tôt possible, la méthodologie pour le traitement et le stockage des données à caractère personnel.

Le Privacy by Design implique donc de réfléchir à la nature des données à traiter, à leurs finalités et aux risques associés. Puis, de prendre les mesures nécessaires pour garantir la conformité au RGPD. Pour plus d'informations, nous avons rédigé un article dédié ici.

C'est une approche préventive qui est fortement recommandée par le RGPD et qui permet d'assurer la prise en compte de la protection de la vie privée dès le début.

Qu'est-ce que l'analyse d'impact sur la vie privée ?

Le Privacy Impact Assessment (PIA) permet de vérifier les risques de sécurité touchant aux données personnelles.

C'est le responsable des traitements qui doit réaliser un PIA en amont de leurs mises en œuvre.

Cela consiste à décrire les risques liés traitements à réaliser et les mesures à prendre. Pour mieux comprendre de quoi il s'agit, consultez notre guide AIPD en 5 étapes.

La CNIL propose un guide et un outil sur son site, pour vous aider à réaliser un PIA.

Qu'est-ce que le Délégué à la Protection des Données (DPO) ?

Le délégué à la protection des données ou data protection officer (DPO) c'est la personne chargée de mettre en œuvre le RGPD au sein d'un organisme.

Dans certains cas, sa désignation est obligatoire (article 37 RGPD). Il peut être interne ou externe.

La CNIL le qualifie de « Chef d'orchestre » et il sera son interlocuteur privilégié, en cas de besoin (article 38 RGPD).

Il s'occupera de toutes les questions relatives à la protection des données personnelles (article 39 RGPD).

Et si le DPO n'est pas obligatoire, il conviendra au minimum de désigner un pilote responsable de la gestion des données personnelles. Cette personne n'est pas obligatoirement un juriste, bien que ce soit souvent le cas. Lorsque telle n'est pas le cas, il existe plusieurs formations DPO.

Comment être conforme au RGPD ? Guide pratique 2026

Pour cela, il s'agit de :

  • Collecter uniquement les données pertinentes (principe de minimisation)
  • Recenser les données stockées et vérifier leur conformité
  • Être transparent en informant clairement des données collectées
  • Maîtriser l'utilisation des données collectées
  • Sécuriser les données collectées et stockées
  • Identifier et gérer les risques associés aux traitements des données personnelles

Pour aller plus loin, notre guide complet sur l'audit RGPD détaille les 10 étapes d'une mise en conformité structurée.

Nous avons consacré un Livre Blanc si vous souhaitez en savoir plus sur la protection des données et comment se mettre en conformité au rgpd.

RGPD en pratique : ce que doit faire un DPO dans une ETI de 100 à 5 000 salariés

Pour un DPO dans une ETI, le RGPD n'est pas une formalité abstraite. C'est un poste de chef de projet permanent, avec des livrables précis attendus par la direction, les auditeurs et souvent les prospects. Les enjeux sont différents d'une TPE (volume de traitements élevé) et d'un grand groupe (ressources limitées, pas de DPO group).

Les 5 priorités opérationnelles d'un DPO en ETI

Les missions concrètes d'un DPO d'ETI se structurent autour de 5 axes :

  • Maintenir le registre des traitements à jour (article 30 RGPD) - minimum 2 revues par an pour les ETI en croissance rapide
  • Conduire les AIPD pour les nouveaux traitements à risque (article 35 RGPD) - voir notre guide AIPD en 5 étapes
  • Gérer les demandes d'exercice de droits (DSAR) dans les délais réglementaires - 1 mois, article 12 RGPD
  • Encadrer les sous-traitants : négocier et réviser les contrats de traitement des données (DPA - Data Processing Agreement) selon les articles 28-29 RGPD
  • Piloter la réponse aux violations de données : notification CNIL sous 72h (article 33 RGPD) et notification aux personnes concernées si risque élevé (article 34 RGPD)

Gérer les sous-traitants : DPA et inventaire obligatoire

Dans une ETI de 100 à 5 000 salariés, le nombre de sous-traitants traitant des données personnelles dépasse souvent 50 : SaaS RH, CRM, outils d'analyse, hébergeurs, prestataires santé au travail...

Les obligations de l'article 28 RGPD sont claires : chaque sous-traitant doit avoir signé un contrat de traitement des données (DPA) définissant l'objet, la durée, la nature et la finalité du traitement.

En pratique :

  • Établir un inventaire des sous-traitants intégré au registre des traitements
  • Vérifier que chaque DPA contient les clauses obligatoires de l'article 28 (liste des sous-sous-traitants, mesures de sécurité, localisation des données)
  • Conduire un audit annuel des sous-traitants à risque élevé : hébergeurs hors UE, prestataires santé, partenaires IA

Répondre aux demandes d'exercice de droits (DSAR) : procédure et délais

Une ETI reçoit en moyenne 15 à 50 DSAR par mois selon sa taille et son secteur. Le RGPD impose un délai de réponse d'1 mois (article 12), extensible à 3 mois pour les demandes complexes, à condition d'en informer la personne dans le premier mois.

Procédure recommandée :

  • Point d'entrée unique : email dédié ou formulaire en ligne
  • Vérification de l'identité du demandeur (proportionnée au niveau de risque)
  • Recherche dans tous les systèmes concernés : CRM, RH, ERP, logs, sauvegardes
  • Réponse formalisée avec les données extraites ou l'explication du refus motivée

Un logiciel RGPD comme Leto permet d'automatiser cette procédure, de tracer chaque demande et de respecter les délais réglementaires sans alourdir la charge du DPO.

Audit RGPD annuel : par où commencer ?

Un audit RGPD annuel est la colonne vertébrale de la conformité d'une ETI. Il permet de :

  • Identifier les traitements non documentés ajoutés en cours d'année
  • Vérifier la cohérence entre le registre et les traitements réels
  • Mettre à jour les durées de conservation (souvent non révisées depuis 2018)
  • Contrôler les DPA des sous-traitants et détecter les lacunes contractuelles
  • Planifier les AIPD manquantes avant tout nouveau déploiement à risque

En 2025-2026, la CNIL cible de plus en plus les ETI dans ses contrôles : 32% des contrôles concernent des entreprises de moins de 250 salariés. Un audit structuré réduit le risque d'injonction et démontre votre accountability (article 5.2 RGPD).

RGPD et AI Act : Convergence 2026

Qu'est-ce que l'AI Act ?

L'AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique européen sur l'Intelligence Artificielle, entré en vigueur le 1er août 2024.

RGPD + AI Act : Les nouvelles obligations 2026

Si votre entreprise utilise des outils d'IA (ChatGPT, Copilot, IA de recrutement...), vous devez désormais respecter :

1. AIPD obligatoire pour IA à haut risque

Les systèmes d'IA suivants nécessitent une Analyse d'Impact relative à la Protection des Données (AIPD) :

  • IA de recrutement (tri automatique de CV)
  • IA de scoring / notation des personnes
  • Reconnaissance biométrique
  • IA de gestion des performances salariés
  • Systèmes de recommandation à grande échelle

En pratique : Si vous utilisez un ATS (logiciel de recrutement) avec IA, vous DEVEZ faire une AIPD AVANT de le déployer.

2. Documentation technique renforcée

  • Comment fonctionne votre IA (algorithme, données d'entraînement)
  • Où sont hébergées les données (UE, USA avec Data Privacy Framework ?)
  • Quelles mesures de sécurité sont en place

Pour l'audit de vos sous-traitants IA, consultez notre guide sur l'audit IA des sous-traitants.

3. Transparence obligatoire

Vous devez informer explicitement les personnes concernées.

4. Contrôle humain ("human-in-the-loop")

Aucune décision 100% automatisée ayant un impact juridique ou significatif sur une personne n'est autorisée sans revue humaine.

Sanctions AI Act + RGPD cumulées

En cas de manquement, vous risquez des sanctions sur 2 fronts :

  • RGPD (données personnelles) : 20M€ ou 4% CA
  • AI Act (IA interdite) : 35M€ ou 7% CA
  • AI Act (IA haut risque) : 15M€ ou 3% CA

Attention, aujourd'hui :

  • 67% des entreprises françaises utilisent l'IA sans avoir réalisé d'AIPD (CNIL, Janvier 2026)
  • 42% ne savent pas où sont hébergées les données traitées par leurs outils IA
  • 3,2 milliard € d'amendes RGPD liées à l'IA en Europe (2025)

Faut-il se doter d'un outil spécifique pour répondre au RGPD ?

Le RGPD responsabilise les différents acteurs qui doivent être capables de démontrer le bon respect des règles.

Il est donc vital d'instaurer de nouvelles procédures pour s'assurer d'être conforme au RGPD.

Certains outils informatiques, comme Leto, peuvent aider à minimiser les risques de sanctions.

Si vous traitez et stockez de nombreuses données personnelles, les vérifications manuelles auront rapidement une limite. Il faudra alors penser à automatiser vos processus en matière de données personnelles.

👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Données hautement personnelles : définition
11/12/2024
Le guide RGPD du sous-traitant B2B
28/6/2024
AI Act : quelles sont autorités compétentes en France ?
15/9/2025
Qu'est-ce que le RGPD ? Définition complète et obligations 2026
8/11/2023
Comment pratiquer le scraping de données en toute légalité ? 
9/7/2024
Qu'est-ce que le droit au déréférencement ?
22/11/2022

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026