Lois européennes de protection des données : RGPD, AI Act et les réformes numériques 2025-2026

Le règlement (UE) 2016/679, le RGPD, établit une norme unique de protection des données dans l'ensemble des 27 États membres de l'UE et s'impose à toute organisation dans le monde qui traite des données à caractère personnel de personnes situées dans l'UE. Les violations exposent à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en vertu de l'article 83.
L'Union européenne a bâti le cadre de protection des données le plus complet au monde. En son cœur se trouve le règlement général sur la protection des données (RGPD), un corpus de règles unique qui s'applique dans chaque pays de l'UE. Autour de lui s'articulent des lois sectorielles couvrant les communications électroniques, l'intelligence artificielle, les marchés de données, les plateformes en ligne et les contrôleurs d'accès algorithmiques.
Cette page constitue le portail du droit européen de la protection des données. Elle explique l'articulation du cadre juridique, présente les principaux instruments juridiques et leur statut actuel, et renvoie vers des guides détaillés pour chaque État membre de l'UE et chaque sous-thème du RGPD.
Cet article est fourni à titre d'information générale et ne constitue pas un avis juridique. Consultez un avocat ou un professionnel de la protection des données qualifié pour obtenir des conseils adaptés à votre situation.
Réponse rapide
Le RGPD est une loi de l'UE qui protège les données à caractère personnel. Il s'applique à toute organisation, où qu'elle se trouve dans le monde, qui traite des données à caractère personnel de personnes situées dans l'UE. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Chaque État membre de l'UE l'applique par l'intermédiaire de sa propre autorité de protection des données (APD), coordonnées par le Comité européen de la protection des données (CEPD).
Le RGPD n'est pas la seule loi de l'UE relative aux données. La directive ePrivacy régit les cookies et les communications électroniques. L'AI Act européen encadre les systèmes d'intelligence artificielle. Le Data Act, le règlement sur la gouvernance des données, le règlement sur les services numériques et le règlement sur les marchés numériques forment ensemble une réglementation numérique plus large. Le règlement procédural RGPD de 2025 rationalise l'exécution transfrontalière, et la proposition de Digital Omnibus de 2025 est actuellement en train de simplifier plusieurs de ces instruments simultanément.
Le RGPD (règlement général sur la protection des données) : la loi européenne fondamentale
Le règlement général sur la protection des données, le règlement (UE) 2016/679, a été adopté le 14 avril 2016 et est entré en application le 25 mai 2018. Il a remplacé la directive de 1995 sur la protection des données (directive 95/46/CE), qui avait engendré une mosaïque de législations nationales incohérentes.
Parce que le RGPD est un règlement et non une directive, il est directement applicable dans tous les États membres sans nécessiter de transposition nationale de ses dispositions fondamentales. Lorsque le RGPD laisse une marge d'appréciation aux États membres, notamment sur l'âge du consentement pour les données des enfants, des conditions supplémentaires pour les données relatives à l'emploi, ou des exemptions spécifiques, les lois nationales de mise en œuvre comblent ces lacunes.

Le champ d'application territorial (article 3)
Le RGPD s'applique dans trois situations. Premièrement, à toute organisation disposant d'un établissement dans l'UE qui traite des données à caractère personnel dans le cadre des activités de cet établissement, quel que soit le lieu où le traitement s'effectue physiquement. Deuxièmement, à toute organisation en dehors de l'UE qui propose des biens ou des services à des personnes situées dans l'UE. Troisièmement, à toute organisation en dehors de l'UE qui surveille le comportement de personnes situées dans l'UE.
Cette portée extraterritoriale étendue signifie qu'une entreprise établie aux États-Unis, en Inde ou en Australie doit se conformer au RGPD dès lors qu'elle cible des clients de l'UE ou suit leur comportement en ligne. Les lignes directrices 3/2018 du CEPD sur le champ d'application territorial précisent en détail l'interprétation de l'article 3.
Les sept principes (article 5)
Toute activité de traitement doit respecter sept principes : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité. Le principe de responsabilité impose aux organisations de démontrer leur conformité, et non simplement de l'affirmer.
Six bases juridiques du traitement (article 6)
Un traitement n'est licite que s'il repose sur l'une des six bases juridiques suivantes : le consentement, l'exécution d'un contrat, une obligation légale, la sauvegarde des intérêts vitaux, l'intérêt public ou l'exercice de l'autorité publique, ou les intérêts légitimes. Les organisations doivent identifier et documenter leur base juridique avant que le traitement ne débute et ne peuvent pas en changer rétroactivement.
Le consentement doit être libre, spécifique, éclairé et univoque. Il doit être aussi facile à retirer qu'à donner. Les cases précochées et le consentement groupé ne satisfont pas à la norme de consentement du RGPD.
Les droits des personnes concernées (articles 15 à 22)
Le RGPD confère aux personnes physiques huit droits opposables : l'accès, la rectification, l'effacement (le « droit à l'oubli »), la limitation du traitement, la portabilité des données, l'opposition, et les droits liés à la prise de décision automatisée, y compris le profilage. Les organisations doivent répondre dans un délai d'un mois calendaire, extensible de deux mois supplémentaires pour les demandes complexes.
Les obligations des responsables du traitement et des sous-traitants
Les responsables du traitement déterminent les finalités et les moyens du traitement. Les sous-traitants agissent sur instruction des responsables du traitement. Un contrat écrit doit encadrer chaque relation responsable-sous-traitant. Les responsables du traitement doivent désigner un délégué à la protection des données (DPD) dans les cas prévus, réaliser des analyses d'impact relatives à la protection des données (AIPD) avant tout traitement à haut risque, et tenir un registre des activités de traitement.
La notification des violations (articles 33 et 34)
Les responsables du traitement doivent notifier leur autorité de contrôle dans un délai de 72 heures après avoir eu connaissance d'une violation de données à caractère personnel. Si la violation présente un risque élevé pour les personnes concernées, le responsable du traitement doit également en informer les personnes concernées sans délai indu.
Les sanctions (article 83)
La structure de sanctions à deux paliers du RGPD prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (palier inférieur) et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (palier supérieur), le montant le plus élevé étant retenu dans chaque cas. Depuis mai 2018, les autorités de contrôle de l'UE ont prononcé plus de 6,8 milliards d'euros d'amendes réparties sur plus de 2 700 actions d'exécution.
Pour un traitement détaillé de chaque thème, consultez les sous-pages du RGPD répertoriées ci-dessous.
Le RGPD dans les 27 États membres
Le RGPD est la même loi dans chaque pays de l'UE, mais la législation nationale de mise en œuvre, les autorités de contrôle nationales et la jurisprudence nationale façonnent son fonctionnement en pratique.

Les lois nationales de mise en œuvre traitent les sujets pour lesquels le RGPD laisse une marge d'appréciation aux États membres. La loi fédérale allemande sur la protection des données (BDSG) fixe des règles strictes en matière de surveillance des salariés et de comités d'entreprise. La loi française Informatique et Libertés est en vigueur depuis 1978 et a été mise à jour pour s'harmoniser avec le RGPD. La loi irlandaise sur la protection des données de 2018 fixe l'âge minimal du consentement des enfants à 16 ans. Chaque État membre dispose de ses propres règles complémentaires.
Les autorités de contrôle nationales instruisent les plaintes, réalisent des audits et prononcent des amendes. La Commission irlandaise de protection des données (DPC) est l'autorité chef de file pour la plupart des grandes entreprises technologiques américaines, celles-ci ayant établi leur siège européen en Irlande. La DPC irlandaise a infligé environ 4 milliards d'euros d'amendes RGPD au total via le mécanisme du guichet unique, soit la part la plus importante par valeur au niveau national.
Le mécanisme du guichet unique permet aux organisations disposant d'établissements dans plusieurs États membres de traiter avec une seule autorité de contrôle chef de file pour les traitements transfrontaliers. Les autorités de contrôle concernées dans d'autres États membres peuvent soulever des objections, et les litiges sont soumis au CEPD pour une décision contraignante. Le règlement procédural RGPD (présenté ci-dessous) renforce ce mécanisme par des délais contraignants à compter d'avril 2027.
La section consacrée aux guides par État membre ci-dessous renvoie vers la loi de mise en œuvre et la page de l'autorité de contrôle de chaque pays de l'UE sur ce site.
La directive ePrivacy et le règlement ePrivacy retiré
La directive ePrivacy (directive 2002/58/CE) régit la vie privée dans les communications électroniques. Elle est à l'origine des règles européennes de consentement aux cookies. L'article 5, paragraphe 3, de la directive exige un consentement préalable avant le stockage ou l'accès à des informations sur l'appareil d'un utilisateur, la règle à l'origine des bandeaux de cookies présents sur pratiquement tous les sites web européens.
La directive ePrivacy est une directive, et non un règlement ; chaque État membre l'a donc transposée différemment en droit national. L'Allemagne, la France, l'Espagne et d'autres pays ont abouti à des conclusions différentes sur ce qui constitue un consentement valide aux cookies au titre de leurs transpositions nationales respectives.
La proposition de règlement ePrivacy a été présentée en janvier 2017. Elle visait à remplacer la directive ePrivacy par un règlement directement applicable et à harmoniser davantage les règles relatives aux cookies et à la vie privée des communications avec le RGPD. La proposition est restée bloquée au Conseil pendant des années, sans parvenir à un accord sur la conservation des données et le traitement fondé sur l'intérêt légitime.
Le 11 février 2025, la Commission européenne a formellement retiré la proposition de règlement ePrivacy dans son programme de travail 2025. La Commission a invoqué l'absence d'accord prévisible entre les colégislateurs et l'obsolescence du texte au regard de la législation adoptée depuis lors. La directive ePrivacy actuelle et ses transpositions nationales demeurent donc en vigueur indéfiniment.
La proposition de Digital Omnibus de novembre 2025 reprend une partie de ce chantier inachevé en proposant de déplacer les règles de consentement aux cookies de la directive ePrivacy vers le RGPD et d'élargir la liste des activités de traitement pouvant se poursuivre sans consentement. Pour une présentation détaillée des règles actuelles, consultez notre explicatif sur la directive ePrivacy.
L'AI Act européen (règlement (UE) 2024/1689)
L'AI Act européen est le premier cadre réglementaire complet au monde pour l'intelligence artificielle. Il a été publié au Journal officiel de l'UE le 12 juillet 2024 et est entré en vigueur le 1er août 2024.
L'AI Act adopte une approche fondée sur le risque, répartissant les systèmes d'IA en quatre niveaux : risque inacceptable (interdit purement et simplement), risque élevé (obligations de conformité strictes), risque limité (exigences de transparence) et risque minimal (aucune obligation contraignante). Les systèmes d'IA qui traitent des données à caractère personnel sont souvent soumis simultanément à l'AI Act et au RGPD.

Le calendrier d'application progressive
L'AI Act s'applique par phases :
- 2 février 2025 : les pratiques d'IA interdites et les obligations de maîtrise de l'IA sont devenues applicables. Les systèmes utilisant la manipulation subliminale, la notation sociale par les autorités publiques et la plupart des identifications biométriques en temps réel dans les espaces publics sont interdits depuis cette date.
- 2 août 2025 : les obligations pour les fournisseurs de modèles d'IA à usage général (IAUG) sont devenues applicables. Les États membres doivent désigner des autorités nationales compétentes et adopter des lois nationales sur les sanctions. La gouvernance au niveau de l'UE (le Comité de l'IA, le comité scientifique et le forum consultatif) est opérationnelle.
- 2 décembre 2026 : les obligations de transparence et d'étiquetage des contenus générés par l'IA s'appliquent (date reportée du 2 août 2026 par l'accord politique du Digital Omnibus de mai 2026). Une nouvelle interdiction visant les systèmes d'IA générant des images intimes non consenties s'applique également à compter de cette date.
- 2 décembre 2027 : échéance de conformité pour les systèmes d'IA à haut risque autonomes énumérés à l'annexe III (reportée par l'accord politique du Digital Omnibus depuis le 2 août 2026).
- 2 août 2028 : échéance de conformité pour l'IA à haut risque intégrée dans les produits réglementés énumérés à l'annexe I.
La simplification de l'AI Act par le Digital Omnibus (mai 2026)
Le 7 mai 2026, le Parlement européen et le Conseil sont parvenus à un accord politique provisoire dans le cadre du Digital Omnibus pour modifier l'AI Act. Outre les modifications de calendrier mentionnées ci-dessus, l'accord étend les exemptions réglementaires disponibles pour les PME aux petites entreprises à moyenne capitalisation, restreint certaines catégorisations à haut risque, et renforce les pouvoirs de supervision du Bureau de l'IA. L'adoption formelle est attendue avant le 2 août 2026.
Le règlement procédural RGPD (règlement (UE) 2025/2518)
Pendant des années, le mécanisme du guichet unique du RGPD a souffert d'incohérences procédurales : les autorités de contrôle appliquaient des critères de recevabilité différents, les enquêtes duraient des années sans délai contraignant, et les plaignants des petits États membres disposaient d'une visibilité limitée sur leurs dossiers transfrontaliers.
Le règlement procédural RGPD, le règlement (UE) 2025/2518, a été adopté en 2025 pour corriger ces problèmes. Il est entré en vigueur le 1er janvier 2026 et s'appliquera à compter du 2 avril 2027.
Ses principales dispositions comprennent :
- Des critères de recevabilité harmonisés : les mêmes critères s'appliquent pour déterminer si une plainte est recevable, quel que soit l'État membre dans lequel elle est déposée.
- Un délai d'enquête contraignant de 15 mois : l'autorité de contrôle chef de file doit achever son enquête dans un délai de 15 mois, avec une possible prolongation de 12 mois dans les affaires particulièrement complexes.
- Un mécanisme de résolution anticipée : les autorités de contrôle chef de file peuvent résoudre les plaintes avant l'ouverture des procédures formelles de coopération, réduisant la charge administrative et accélérant les résultats.
- Des droits procéduraux renforcés : les parties visées par une enquête et les plaignants disposent tous deux du droit d'accéder aux conclusions préliminaires et de les commenter avant qu'une décision définitive ne soit rendue.
La proposition de Digital Omnibus de novembre 2025
Le 19 novembre 2025, la Commission européenne a publié le Digital Omnibus dans le cadre d'un paquet numérique accompagné de la stratégie de l'Union des données et des portefeuilles européens d'entreprise. Le Digital Omnibus est une proposition législative unique visant à simplifier et à modifier plusieurs lois numériques existantes : le RGPD, l'AI Act, la directive ePrivacy, le Data Act, la loi sur la cybersécurité, et d'autres.
Les principales propositions relatives au RGPD comprennent :
- La simplification du consentement aux cookies : les règles de consentement aux cookies seraient transférées de la directive ePrivacy vers le RGPD, avec une liste élargie d'activités exemptées de consentement, permettant des préférences de consentement en un clic valables six mois, ou un consentement enregistré au niveau du navigateur ou de l'appareil.
- Des listes harmonisées d'AIPD : le CEPD établirait des listes à l'échelle de l'UE des activités de traitement nécessitant ou non une AIPD. Les listes approuvées par la Commission primeraient sur les listes nationales contradictoires.
- Un point de signalement unique des incidents : un mécanisme unifié pour signaler les incidents de cybersécurité et les violations de données à caractère personnel au titre du RGPD, de la directive NIS2 et d'autres instruments.
Le Digital Omnibus fait l'objet de négociations en trilogue entre la Commission, le Parlement et le Conseil à la mi-2026. S'il est adopté, les modifications du RGPD mettraient formellement à jour le règlement (UE) 2016/679.
Le CEPD et le mécanisme de contrôle de la cohérence
Le Comité européen de la protection des données (CEPD) est l'organe indépendant de l'UE chargé d'assurer l'application cohérente du RGPD dans tous les États membres. Il est composé des responsables de chaque autorité de contrôle nationale et du Contrôleur européen de la protection des données (CEPD, EDPS en anglais).
Ses principales fonctions comprennent la publication de lignes directrices, de recommandations et de bonnes pratiques ; l'adoption de décisions contraignantes en cas de litige dans le cadre du mécanisme du guichet unique ; et la conduite d'actions d'exécution coordonnées au titre du cadre d'exécution coordonnée (CEF).
Le Contrôleur européen de la protection des données (CEPD) supervise le traitement des données à caractère personnel par les institutions de l'UE elles-mêmes et conseille sur les projets législatifs de l'UE ayant une dimension liée à la protection des données.
Le mécanisme de contrôle de la cohérence : lorsqu'une autorité de contrôle nationale adopte une mesure susceptible d'affecter des personnes concernées dans d'autres États membres, elle doit soumettre un projet de décision au CEPD. Si une autorité de contrôle concernée soulève une objection pertinente et motivée que l'autorité chef de file refuse de suivre, le CEPD rend une décision contraignante. Ce mécanisme a produit l'amende de 1,2 milliard d'euros infligée à Meta en 2023, la plus importante amende RGPD à ce jour, lorsque le CEPD a annulé l'amende inférieure initialement proposée par la DPC irlandaise.
L'action d'exécution coordonnée 2026 : l'action CEF 2026 du CEPD porte sur les obligations de transparence et d'information du RGPD. Toutes les autorités de contrôle nationales mènent des enquêtes parallèles sur le même thème. En 2025, le CEF portait sur le droit à l'effacement.
L'ensemble plus large de la réglementation numérique de l'UE
Le RGPD constitue le socle, mais le droit européen des données va bien au-delà. Plusieurs instruments complémentaires traitent de secteurs ou de types d'activités de traitement spécifiques.
Le règlement sur la gouvernance des données (DGA), le règlement (UE) 2022/868, applicable depuis septembre 2023. Le DGA établit des cadres de confiance pour le partage volontaire de données entre entreprises et entre les secteurs public et privé. Il crée des intermédiaires de données reconnus et autorise des organisations altruistes en matière de données. Lorsqu'il concerne des données à caractère personnel, le RGPD s'applique parallèlement.
Le Data Act, le règlement (UE) 2023/2854, applicable depuis le 12 septembre 2025. Le Data Act confère aux utilisateurs de produits connectés (appareils intelligents, machines industrielles, véhicules) le droit d'accéder aux données générées par l'utilisation de ces produits et de les partager. Il encadre le partage de données entre entreprises et entre entreprises et administrations. Lorsque des données à caractère personnel sont concernées, le RGPD s'applique en parallèle.
Le règlement sur les services numériques (DSA), le règlement (UE) 2022/2065. Le DSA encadre les intermédiaires et plateformes en ligne, avec des obligations en matière de modération des contenus, de transparence et d'accès des chercheurs aux données. Les très grandes plateformes en ligne (VLOP) et les très grands moteurs de recherche en ligne (VLOSE) sont soumis à des obligations supplémentaires. Le 2 juillet 2025, la Commission a publié un acte délégué permettant aux chercheurs qualifiés d'accéder aux données internes des VLOP pour étudier les risques systémiques.
Le règlement sur les marchés numériques (DMA), le règlement (UE) 2022/1925. Le DMA cible les plateformes « contrôleurs d'accès » (Google, Meta, Apple, Amazon, Microsoft, ByteDance) avec des obligations d'interopérabilité, de portabilité des données et de consentement. En avril 2025, la Commission a rendu ses premières décisions de non-conformité : Apple a reçu une amende de 500 millions d'euros pour des restrictions d'orientation dans l'App Store, et Meta une amende de 200 millions d'euros pour ne pas avoir proposé aux utilisateurs un service moins gourmand en données.
La directive NIS2, la directive (UE) 2022/2555. NIS2 impose des obligations de cybersécurité et de signalement d'incidents aux opérateurs de services essentiels et aux fournisseurs numériques. Les violations de données qui constituent également des incidents de cybersécurité peuvent déclencher des obligations de notification au titre à la fois du RGPD et de NIS2, une complexité que la proposition de point de signalement unique du Digital Omnibus vise à résoudre.
Les décisions d'adéquation et les transferts internationaux
Les transferts de données à caractère personnel de l'UE vers des pays tiers sont régis par le chapitre V du RGPD. Une décision d'adéquation de la Commission européenne autorise des flux de données libres vers une destination sans garanties supplémentaires.
En mai 2026, les décisions d'adéquation couvrent : Andorre, l'Argentine, le Brésil (2026), le Canada (organisations commerciales), les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni, les États-Unis (pour les organisations certifiées au titre du cadre de protection des données UE-États-Unis), l'Uruguay, et l'Organisation européenne des brevets (2025).
Le cadre de protection des données UE-États-Unis (DPF) : la Commission a adopté la décision d'adéquation relative au DPF le 10 juillet 2023, remplaçant le Privacy Shield invalidé. Le cadre repose sur des engagements exécutifs américains limitant l'accès des agences de renseignement et sur la Data Protection Review Court (DPRC) comme mécanisme de recours. Plus de 2 800 organisations détenaient une certification DPF active début 2026. Le Tribunal de l'UE a rejeté un recours en justice le 3 septembre 2025 (affaire T-553/23), mais un pourvoi supplémentaire devant la CJUE (affaire C-703/25 P, déposé le 31 octobre 2025) demeure pendant.
En l'absence de décision d'adéquation, les transferts peuvent recourir aux clauses contractuelles types (CCT, mises à jour en juin 2021), aux règles d'entreprise contraignantes (BCR), ou à des dérogations spécifiques. Les organisations utilisant des CCT doivent également réaliser une analyse d'impact relative au transfert (AIT).
Sous-pages du RGPD sur ce site
Ces pages traitent en détail de chaque grand thème du RGPD :
- Qu'est-ce que le RGPD ? Guide complet de la protection des données de l'UE
- Exigences de consentement au titre du RGPD : ce qui constitue un consentement valide
- Droits des personnes concernées au titre du RGPD : accès, effacement et portabilité
- Notification des violations au titre du RGPD : la règle des 72 heures expliquée
- Amendes et sanctions du RGPD : liste complète et guide
- Liste de contrôle pour la conformité au RGPD pour les entreprises
- Le RGPD pour les petites entreprises : guide de conformité simplifié
- La loi européenne sur les cookies (directive ePrivacy) expliquée
Guides par État membre de l'UE
Chaque État membre de l'UE dispose de sa propre loi nationale de mise en œuvre et de sa propre autorité de contrôle indépendante. Ces pages expliquent comment le RGPD s'applique dans chaque pays, ce que la loi nationale ajoute, et comment l'autorité de contrôle locale l'applique :
- Lois de protection des données de l'Autriche (DSG)
- Lois de protection des données de la Belgique
- Lois de protection des données de la Bulgarie
- Lois de protection des données de la Croatie
- Lois de protection des données de Chypre
- Lois de protection des données de la République tchèque
- Lois de protection des données du Danemark
- Lois de protection des données de l'Estonie
- Lois de protection des données de la Finlande
- Lois de protection des données de la France (CNIL)
- Lois de protection des données de l'Allemagne (BDSG)
- Lois de protection des données de la Grèce (HDPA)
- Lois de protection des données de la Hongrie (NAIH)
- Lois de protection des données de l'Irlande (DPC)
- Lois de protection des données de l'Italie (Garante)
- Lois de protection des données de la Lettonie
- Lois de protection des données de la Lituanie (VDAI)
- Lois de protection des données du Luxembourg (CNPD)
- Lois de protection des données de Malte
- Lois de protection des données des Pays-Bas (AP)
- Lois de protection des données de la Pologne (UODO)
- Lois de protection des données du Portugal (CNPD)
- Lois de protection des données de la Roumanie (ANSPDCP)
- Lois de protection des données de la Slovaquie
- Lois de protection des données de la Slovénie
- Lois de protection des données de l'Espagne (AEPD / LOPDGDD)
- Lois de protection des données de la Suède (IMY)
Membres de l'EEE hors UE appliquant le RGPD via l'accord EEE :
Guides approfondis
- Transferts internationaux de données au titre du RGPD : les règles du chapitre V (2026)
- Le droit à l'oubli au titre du RGPD (article 17) expliqué
- Le RGPD s'applique-t-il aux entreprises américaines ? Guide de conformité
- AI Act européen et protection des données : l'articulation avec le RGPD expliquée
Frequently Asked Questions
Le RGPD s'applique-t-il aux entreprises situées en dehors de l'Union européenne ?
Oui. Le RGPD s'applique à toute organisation dans le monde qui propose des biens ou des services à des personnes situées dans l'UE ou qui surveille le comportement de personnes situées dans l'UE. Une entreprise n'a pas besoin d'une présence physique en Europe pour relever du RGPD. L'article 3 établit ce champ d'application territorial étendu, et les lignes directrices 3/2018 du CEPD sur le champ d'application territorial précisent son application aux organisations extérieures à l'UE.
Quelle est l'amende maximale prévue par le RGPD ?
L'amende maximale est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'organisation pour l'exercice précédent, le montant le plus élevé étant retenu. Cette sanction de palier supérieur s'applique aux violations des principes fondamentaux du traitement, des droits des personnes concernées et des règles de transfert international. L'amende individuelle la plus élevée à ce jour est de 1,2 milliard d'euros, infligée à Meta en 2023 par la Commission irlandaise de protection des données pour des transferts illicites de données d'utilisateurs de l'UE vers les États-Unis.
Le règlement ePrivacy va-t-il encore voir le jour ?
Non. La Commission européenne a formellement retiré la proposition de règlement ePrivacy en février 2025 dans le cadre de son programme de travail 2025. La proposition était bloquée depuis 2017. La directive ePrivacy existante (2002/58/CE) et ses transpositions nationales demeurent en vigueur. Certains enjeux liés à ePrivacy sont désormais traités via la proposition de Digital Omnibus de novembre 2025, qui propose d'intégrer les règles de consentement aux cookies dans le cadre du RGPD.
Qu'est-ce que le règlement procédural RGPD ?
Le règlement (UE) 2025/2518 est un nouveau règlement de l'UE qui rationalise l'exécution transfrontalière du RGPD dans le cadre du mécanisme du guichet unique. Il est entré en vigueur le 1er janvier 2026 et s'appliquera à compter du 2 avril 2027. Il instaure des délais d'enquête contraignants de 15 mois, des critères de recevabilité harmonisés des plaintes dans tous les États membres, un mécanisme de résolution anticipée, et des droits procéduraux renforcés pour les parties et les plaignants.
Qu'est-ce que le Digital Omnibus de l'UE et comment affecte-t-il le RGPD ?
Le Digital Omnibus est une proposition de la Commission européenne publiée le 19 novembre 2025 dans le cadre d'un paquet numérique. Pour le RGPD, les principales propositions consistent à transférer les règles de consentement aux cookies de la directive ePrivacy vers le RGPD, à harmoniser au niveau de l'UE les listes d'exigences en matière d'AIPD, et à créer un point de signalement unique pour les violations de données et les incidents de cybersécurité. L'Omnibus propose également des prolongations de calendrier pour l'AI Act et des simplifications pour les PME et les petites entreprises à moyenne capitalisation. Il fait l'objet de négociations en trilogue à la mi-2026.
Quels pays peuvent recevoir des données à caractère personnel de l'UE sans garanties supplémentaires ?
En mai 2026, la Commission européenne a accordé des décisions d'adéquation aux destinations suivantes : Andorre, l'Argentine, le Brésil, le Canada (organisations commerciales), les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni, les États-Unis (pour les organisations certifiées au titre du cadre de protection des données UE-États-Unis), l'Uruguay, et l'Organisation européenne des brevets. Les données à caractère personnel peuvent circuler vers ces destinations sans clauses contractuelles types ni autre mécanisme supplémentaire.
Comment l'AI Act européen interagit-il avec le RGPD ?
L'AI Act européen et le RGPD s'appliquent simultanément aux systèmes d'IA qui traitent des données à caractère personnel. L'AI Act impose des obligations de classification des risques, de transparence, de journalisation et d'évaluation de conformité aux fournisseurs et déployeurs d'IA. Lorsqu'un système d'IA traite des données à caractère personnel, les exigences du RGPD, notamment la base juridique, la minimisation des données, la limitation des finalités et les AIPD pour les traitements à haut risque, s'appliquent également. Le CEPD et la Commission élaborent des lignes directrices communes sur l'articulation entre les deux instruments, pour adoption en 2026.
Sources and References
- Texte intégral du RGPD, règlement (UE) 2016/679(eur-lex.europa.eu).gov
- Commission européenne, la protection des données dans l'UE(commission.europa.eu).gov
- Lignes directrices 3/2018 du CEPD sur le champ d'application territorial (article 3)(edpb.europa.eu).gov
- Lignes directrices 1/2024 du CEPD sur l'intérêt légitime(edpb.europa.eu).gov
- Commission européenne, décisions d'adéquation pour les transferts internationaux de données(commission.europa.eu).gov
- Décision d'adéquation relative au cadre de protection des données UE-États-Unis (juillet 2023)(ec.europa.eu).gov
- Comité européen de la protection des données (CEPD)(edpb.europa.eu).gov
- CEPD, amende de 1,2 milliard d'euros infligée à Facebook (décision contraignante)(edpb.europa.eu).gov
- CEF 2026 du CEPD, action d'exécution coordonnée sur la transparence(edpb.europa.eu).gov
- GDPR Enforcement Tracker, base de données des amendes et sanctions(enforcementtracker.com)
- Directive ePrivacy 2002/58/CE, texte intégral(eur-lex.europa.eu).gov
- AI Act européen, texte intégral du règlement (UE) 2024/1689(eur-lex.europa.eu).gov
- AI Act européen, stratégie numérique de la Commission européenne(digital-strategy.ec.europa.eu).gov
- Conseil de l'UE, accord politique sur la simplification de l'AI Act (mai 2026)(consilium.europa.eu).gov
- Paquet numérique de l'UE, aperçu de la Commission(digital-strategy.ec.europa.eu).gov
- Data Act de l'UE, règlement (UE) 2023/2854(digital-strategy.ec.europa.eu).gov
- Règlement sur la gouvernance des données, règlement (UE) 2022/868(digital-strategy.ec.europa.eu).gov
- Règlement sur les services numériques, Commission européenne(commission.europa.eu).gov
- Règlement sur les marchés numériques, Commission européenne(commission.europa.eu).gov