Liste de contrôle pour la conformité au RGPD 2026 : guide étape par étape

La conformité au RGPD au titre du règlement (UE) 2016/679 exige des organisations qu'elles prennent des mesures documentées dans quatorze domaines interdépendants, de la cartographie des données et de l'identification de la base juridique jusqu'à la réponse aux violations et la formation continue du personnel. Le principe de responsabilité énoncé à l'article 5, paragraphe 2, impose aux responsables du traitement de pouvoir démontrer leur conformité à tout moment, ce qui fait d'une approche systématique et fondée sur des preuves l'obligation de base.
La conformité au RGPD n'est pas un projet ponctuel. Le règlement général sur la protection des données (règlement (UE) 2016/679) exige des preuves documentées de conformité, et chaque modification de vos activités de traitement peut engendrer de nouvelles obligations. Cette liste de contrôle couvre chaque domaine essentiel de conformité, avec des références aux articles pertinents du RGPD, aux orientations officielles du CEPD, et aux développements récents les plus significatifs.
Informations vérifiées pour la dernière fois le 19 mai 2026. Cet article présente des informations juridiques d'ordre général et ne constitue pas un avis juridique. Consultez un avocat ou un professionnel de la protection des données qualifié pour obtenir des conseils adaptés à votre organisation.
Champ d'application juridictionnel : cette liste de contrôle porte sur la conformité au règlement général sur la protection des données de l'UE (règlement (UE) 2016/679) tel qu'il s'applique dans les États membres de l'UE et de l'EEE. Elle ne traite pas du UK GDPR (qui a divergé du RGPD de l'UE après le Brexit) ni des lois nationales de mise en œuvre. Pour une comparaison, consultez RGPD contre UK GDPR. Pour une présentation générale du règlement, consultez Qu'est-ce que le RGPD.
La liste de contrôle pour la conformité au RGPD : vue d'ensemble
La conformité au RGPD exige des actions dans quatorze domaines interdépendants. Les sections suivantes traitent chacun d'eux à tour de rôle. Commencez par la cartographie des données, car chaque autre étape dépend de la connaissance des données que vous détenez et de leur finalité.
| Étape | Domaine de conformité | Articles clés | Priorité |
|---|---|---|---|
| 1 | Cartographie des données et registre des traitements | Art. 30 | Fondamentale |
| 2 | Identification de la base juridique | Art. 6 | Critique |
| 3 | Mentions d'information et transparence | Art. 12, 13, 14 | Critique |
| 4 | Gestion du consentement | Art. 7, 8 | Lorsque le consentement est la base juridique |
| 5 | Procédures relatives aux droits des personnes concernées | Art. 15 à 22 | Critique |
| 6 | Désignation du DPD | Art. 37 à 39 | Lorsque requis |
| 7 | Analyses d'impact relatives à la protection des données | Art. 35 | Avant tout traitement à haut risque |
| 8 | Contrats avec les sous-traitants | Art. 28 | Critique |
| 9 | Mesures de sécurité | Art. 32 | Critique |
| 10 | Plan de réponse aux violations | Art. 33, 34 | Critique |
| 11 | Garanties pour les transferts internationaux | Chapitre V | Si les données quittent l'UE/EEE |
| 12 | Protection des données dès la conception et par défaut | Art. 25 | Continue |
| 13 | Formation du personnel et responsabilité | Art. 39, paragraphe 1, point b) | Continue |
| 14 | Gestion des prestataires et réexamen continu | Art. 24, 28 | Continue |
Étape 1 : cartographie des données et registre des activités de traitement (article 30)
Avant qu'une organisation puisse se conformer au RGPD, elle doit savoir quelles données à caractère personnel elle collecte, d'où elles proviennent, où elles vont, et pourquoi elles sont traitées. La cartographie des données constitue le socle de toute autre activité de conformité. L'article 30 exige ensuite que cette connaissance soit formalisée dans un registre écrit des activités de traitement (RAT).
Ce qu'il faut documenter dans votre inventaire des données
Pour chaque activité de traitement, consignez :
- Les catégories de données à caractère personnel (noms, adresses e-mail, adresses IP, données de santé, données financières, données biométriques)
- Les catégories de personnes concernées (clients, salariés, visiteurs du site web, candidats à l'emploi)
- La finalité de chaque activité de traitement
- La base juridique du traitement (voir l'étape 2)
- Les lieux et systèmes de stockage
- Les personnes ayant accès aux données (rôles internes et destinataires externes)
- Les durées de conservation ou les critères permettant de les déterminer
- Si les données quittent l'UE/EEE, et le cas échéant, par quel mécanisme de transfert
Ce que les responsables du traitement doivent consigner au titre de l'article 30, paragraphe 1
L'article 30, paragraphe 1, impose aux responsables du traitement de tenir des registres écrits comprenant :
- Le nom et les coordonnées du responsable du traitement (et les coordonnées du DPD, le cas échéant)
- Les finalités du traitement
- Les catégories de personnes concernées et de données à caractère personnel
- Les catégories de destinataires, y compris les pays tiers
- Les détails des transferts internationaux et le mécanisme juridique utilisé
- Les durées de conservation envisagées
- Une description générale des mesures de sécurité techniques et organisationnelles
Les sous-traitants ont une obligation parallèle au titre de l'article 30, paragraphe 2 : ils doivent consigner les catégories de traitements effectués pour le compte de chaque responsable du traitement.
L'exemption pour les PME et la modification proposée par le Digital Omnibus
L'article 30, paragraphe 5, dispense actuellement les organisations de moins de 250 salariés de tenir un registre complet, à condition que le traitement ne soit pas susceptible d'engendrer un risque pour les personnes concernées, qu'il ne soit qu'occasionnel, et qu'il n'inclue pas de données sensibles. En pratique, la plupart des organisations traitent des données suffisamment régulièrement pour que cette exemption s'applique rarement dans son intégralité.
La proposition de Digital Omnibus de novembre 2025 relèverait ce seuil à moins de 750 salariés (avec des critères financiers), sous réserve de la même exclusion en cas de risque élevé. Le CEPD et le CEPD (EDPS), dans leur avis conjoint 2/2026, ont salué l'objectif de simplification tout en recommandant que l'exemption soit liée aux définitions statutaires des PME et des petites entreprises à moyenne capitalisation, dans un souci de clarté. Cette proposition n'est pas entrée en vigueur à la date du présent article.

Étape 2 : identifier la base juridique de chaque activité de traitement (article 6)
L'article 6 du RGPD exige que chaque activité de traitement repose sur l'une des six bases juridiques. La base doit être identifiée avant le début du traitement ; il n'est pas permis d'en changer après coup.
Les six bases juridiques
| Base juridique | Quand elle s'applique | Conditions clés |
|---|---|---|
| Consentement (art. 6, § 1, a)) | La personne donne volontairement son accord | Libre, spécifique, éclairé, univoque ; révocable à tout moment |
| Contrat (art. 6, § 1, b)) | Le traitement est nécessaire à l'exécution d'un contrat avec la personne | Doit être nécessaire, non simplement pratique |
| Obligation légale (art. 6, § 1, c)) | Le traitement est requis par le droit de l'UE ou d'un État membre | L'exigence légale spécifique doit être identifiée |
| Intérêts vitaux (art. 6, § 1, d)) | Le traitement est nécessaire pour protéger la vie d'une personne | Étroite ; ne peut être utilisée de façon routinière |
| Mission d'intérêt public (art. 6, § 1, e)) | Le traitement est nécessaire à l'exécution d'une mission d'intérêt public | Généralement les autorités publiques |
| Intérêts légitimes (art. 6, § 1, f)) | Le traitement est nécessaire aux intérêts légitimes du responsable du traitement ou d'un tiers | Un test de mise en balance documenté est requis |
Pour les catégories particulières de données au titre de l'article 9 (santé, biométrie, génétique, origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, condamnations pénales), une base juridique de l'article 6 et une condition distincte de l'article 9 sont toutes deux requises.
De nombreuses organisations optent par défaut pour le consentement alors que les intérêts légitimes ou la nécessité contractuelle seraient plus appropriés. Le consentement engendre des obligations de gestion continues, notamment le suivi, les mécanismes de retrait, et éventuellement un renouvellement du consentement. Pour des orientations détaillées, consultez exigences de consentement au titre du RGPD.
Étape 3 : rédiger des mentions d'information claires (articles 12, 13, 14)
Les articles 13 et 14 exigent des organisations qu'elles fournissent des informations transparentes aux personnes concernées. L'action d'exécution coordonnée CEF 2026 du CEPD porte spécifiquement sur les obligations de transparence et d'information au titre des articles 12, 13 et 14, ce qui signifie que les autorités de contrôle de tous les États membres de l'UE auditent activement les mentions d'information cette année.
Contenu requis d'une mention d'information conforme au RGPD
Une mention d'information conforme doit inclure :
- L'identité et les coordonnées du responsable du traitement, ainsi que les coordonnées du DPD le cas échéant
- Les finalités et la base juridique de chaque activité de traitement
- Les catégories de données à caractère personnel collectées
- Les destinataires ou catégories de destinataires
- Les détails de tout transfert international de données et les garanties en place
- Les durées de conservation, ou les critères utilisés pour les déterminer
- L'ensemble des huit droits des personnes concernées
- Le droit d'introduire une réclamation auprès d'une autorité de contrôle
- La question de savoir si la fourniture des données constitue une exigence légale ou contractuelle
- Des informations sur la prise de décision automatisée, y compris le profilage, et la logique sous-jacente
Lorsque les données sont collectées directement auprès de la personne concernée (article 13), la mention doit être fournie au moment de la collecte. Lorsque les données sont obtenues auprès d'un tiers (article 14), la mention doit être fournie dans un délai d'un mois. L'article 12 exige un langage clair, concis, transparent et facilement accessible ; une approche par couches (résumé court avec liens vers des sections détaillées) fonctionne bien.
Étape 4 : mettre en place un processus de gestion du consentement (articles 7, 8)
Lorsque le consentement constitue la base juridique retenue, l'article 7 impose des exigences spécifiques. Un consentement qui ne satisfait pas à ces exigences est invalide et le traitement est dépourvu de base juridique.
Exigences pour un consentement valide au titre du RGPD
« Le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. » (RGPD, article 7, paragraphe 1)
Un consentement valide au titre de l'article 7 doit être :
- Librement donné : aucune subordination d'un service à un consentement à un traitement non nécessaire ; aucun déséquilibre de pouvoir empêchant un choix véritable
- Spécifique : un consentement distinct pour chaque finalité de traitement ; le consentement groupé n'est pas valide
- Éclairé : la personne doit savoir qui collecte les données, dans quel but, et qu'elle peut retirer son consentement
- Univoque : un acte positif clair est requis ; les cases précochées, le silence et l'inaction ne constituent pas un consentement
- Révocable : le retrait doit être aussi simple que le fait de donner son consentement ; la poursuite du traitement après le retrait n'est pas autorisée
Pour le traitement des données à caractère personnel des enfants, l'article 8 exige le consentement parental pour les enfants de moins de 16 ans ; les États membres peuvent abaisser ce seuil à 13 ans.
Exigences relatives à l'infrastructure de gestion du consentement
- Enregistrer l'horodatage, le mécanisme et le texte affiché au moment du recueil du consentement pour chaque personne
- Permettre le retrait du consentement et déclencher la suppression correspondante dans tous les systèmes
- Signaler le moment où le consentement a été obtenu et s'il demeure valide
- Prendre en charge les processus de renouvellement du consentement lorsque les finalités du traitement évoluent
- Conserver les registres de consentement dans un format accessible à l'autorité de contrôle sur demande
Étape 5 : mettre en place des procédures relatives aux droits des personnes concernées (articles 15 à 22)
Le RGPD confère aux personnes physiques huit droits sur leurs données à caractère personnel. Pour une présentation détaillée de chaque droit, consultez droits des personnes concernées au titre du RGPD.
Les huit droits en un coup d'œil
| Droit | Article | Obligation essentielle |
|---|---|---|
| Accès | 15 | Fournir une copie des données et les informations spécifiées dans un délai d'un mois |
| Rectification | 16 | Corriger les données inexactes ou compléter les données incomplètes sans délai indu |
| Effacement | 17 | Supprimer les données lorsqu'elles ne sont plus nécessaires, que le consentement est retiré, ou que l'opposition aboutit |
| Limitation | 18 | Suspendre le traitement pendant la contestation de l'exactitude ou de la licéité |
| Portabilité des données | 20 | Fournir les données dans un format structuré et lisible par machine |
| Opposition | 21 | Cesser un traitement fondé sur l'intérêt légitime ou la prospection directe |
| Décision automatisée | 22 | Ne pas faire l'objet d'une décision entièrement automatisée produisant des effets significatifs sans intervention humaine |
Liste de contrôle opérationnelle pour les procédures relatives aux droits
- Désigner une équipe ou une personne chargée de traiter les demandes d'accès des personnes concernées
- Créer des canaux de réception et accuser rapidement réception des demandes
- Mettre en place des procédures de vérification d'identité pour prévenir toute divulgation non autorisée
- Cartographier tous les systèmes contenant des données à caractère personnel afin de pouvoir les localiser et les compiler rapidement
- Documenter le traitement de chaque type de droit, y compris les réponses partielles et les refus
- Suivre les délais : la période standard est d'un mois calendaire, extensible à trois mois pour les demandes complexes, mais la personne doit en être informée dans le premier mois
- Former le personnel en contact avec la clientèle à reconnaître les demandes relatives aux droits, même lorsque la personne n'utilise pas de terminologie juridique

Étape 6 : désigner un délégué à la protection des données lorsque requis (article 37)
L'article 37 du RGPD rend la désignation d'un DPD obligatoire dans trois circonstances.
Quand un DPD est obligatoire
Un DPD doit être désigné lorsque :
- Le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public (les juridictions agissant dans l'exercice de leur fonction juridictionnelle sont exclues)
- Les activités principales exigent un suivi régulier et systématique à grande échelle des personnes
- Les activités principales impliquent un traitement à grande échelle de catégories particulières de données (article 9) ou de données relatives aux condamnations pénales (article 10)
Les « activités principales » désignent les activités essentielles de l'organisation, et non les traitements RH ou informatiques accessoires communs à tous les employeurs. La notion de « grande échelle » n'a pas de seuil numérique fixe ; les lignes directrices du CEPD sur les DPD prennent en compte le nombre de personnes concernées, le volume des données, l'étendue géographique et la durée du traitement.
Exigences relatives au DPD au titre des articles 38 et 39
Le DPD doit posséder une connaissance approfondie du droit de la protection des données, rendre compte directement au niveau le plus élevé de la direction, exercer ses fonctions en toute indépendance sans recevoir d'instructions sur la manière de les accomplir, et disposer de ressources adéquates et d'un accès aux opérations de traitement. Le DPD ne peut être révoqué ni sanctionné pour l'exercice de ses fonctions. Ses coordonnées doivent être publiées et communiquées à l'autorité de contrôle.
Le rapport 2023 du CEPD sur l'exécution coordonnée concernant les DPD a constaté que de nombreuses organisations n'accordent toujours pas une véritable indépendance ni des ressources adéquates à leurs DPD, et leur confient des tâches conflictuelles créant des conflits d'intérêts.
Étape 7 : réaliser des analyses d'impact relatives à la protection des données (article 35)
Une AIPD est requise avant tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. L'obligation naît avant le début du traitement ; une AIPD rétrospective ne satisfait pas à l'article 35.
Quand une AIPD est toujours requise
Une AIPD est obligatoire pour :
- Le profilage systématique et étendu produisant des effets significatifs sur les personnes
- Le traitement à grande échelle de catégories particulières de données ou de données relatives aux condamnations pénales
- Le suivi systématique à grande échelle de zones accessibles au public
Les autorités de contrôle nationales publient leurs propres listes d'opérations de traitement nécessitant une AIPD. Consultez la liste publiée par votre autorité de contrôle chef de file.
Les systèmes d'IA et les AIPD
L'AI Act européen (règlement (UE) 2024/1689), entré en vigueur le 1er août 2024, s'applique parallèlement au RGPD partout où des systèmes d'IA traitent des données à caractère personnel. La CNIL et le CEPD ont confirmé qu'une AIPD au titre de l'article 35 du RGPD devrait être présumée nécessaire pour les systèmes d'IA à haut risque (énumérés à l'annexe III de l'AI Act). Les exigences de documentation technique et de gouvernance des données de l'AI Act au titre des articles 10 et 11 peuvent alimenter l'AIPD, à condition que celle-ci contienne tous les éléments requis par l'article 35, paragraphe 7, du RGPD.
Ce qu'une AIPD doit contenir au titre de l'article 35, paragraphe 7
- Une description systématique des opérations de traitement et de leurs finalités
- Une évaluation de la nécessité et de la proportionnalité du traitement
- Une évaluation des risques pour les droits et libertés des personnes concernées
- Les mesures envisagées pour faire face à ces risques
Lorsque l'AIPD révèle des risques résiduels élevés qui ne peuvent être atténués, le responsable du traitement doit consulter l'autorité de contrôle avant de poursuivre (consultation préalable de l'article 36). Les AIPD doivent être réexaminées à chaque modification significative du traitement.
Étape 8 : mettre en place des contrats avec les sous-traitants (article 28)
Lorsque des prestataires tiers traitent des données à caractère personnel pour votre compte, l'article 28 exige un accord de traitement des données écrit avant le début du traitement.
Dispositions obligatoires d'un accord de traitement des données au titre de l'article 28
Chaque contrat de sous-traitance doit préciser que le sous-traitant :
- Ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement
- Veille à ce que l'ensemble du personnel autorisé soit soumis à des obligations de confidentialité
- Met en œuvre des mesures de sécurité techniques et organisationnelles appropriées (article 32)
- Assiste le responsable du traitement pour répondre aux demandes relatives aux droits des personnes concernées
- Assiste pour les AIPD, la consultation préalable, la notification des violations et les obligations de sécurité
- Supprime ou restitue toutes les données à caractère personnel à la fin du contrat, au choix du responsable du traitement
- Met à disposition toutes les informations nécessaires pour démontrer sa conformité à l'article 28 et permet la réalisation d'audits
- Ne recourt à des sous-traitants ultérieurs qu'avec l'autorisation écrite préalable du responsable du traitement
Liste de contrôle pour l'évaluation des prestataires
- Auditer tous les contrats existants avec les prestataires traitant des données à caractère personnel
- Vérifier que les accords de traitement des données sont en place et incluent toutes les dispositions obligatoires de l'article 28
- Évaluer les mesures de sécurité des prestataires au moyen de questionnaires, de certifications (ISO 27001, SOC 2 type II), ou de droits d'audit
- Vérifier si le prestataire transfère des données en dehors de l'UE/EEE et confirmer le mécanisme de transfert juridique
- Réexaminer les listes de sous-traitants ultérieurs et les procédures relatives à leurs modifications
- Établir un cycle régulier de réexamen des prestataires (au minimum annuel, ou en cas de changement matériel)
Étape 9 : mettre en œuvre des mesures de sécurité techniques et organisationnelles (article 32)
L'article 32 exige des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ces mesures doivent être calibrées en fonction de l'état de l'art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que de la probabilité et de la gravité variables des risques pour les personnes.
L'article 32 mentionne spécifiquement
- La pseudonymisation et le chiffrement des données à caractère personnel
- La capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes de traitement
- La capacité à rétablir la disponibilité et l'accès aux données à caractère personnel dans des délais appropriés en cas d'incident
- Une procédure de test, d'analyse et d'évaluation régulières de l'efficacité des mesures de sécurité
Au-delà de ces exemples statutaires, les organisations mettent couramment en œuvre : des contrôles d'accès fondés sur les rôles et le principe du moindre privilège ; l'authentification multifactorielle ; la segmentation du réseau ; la gestion des vulnérabilités et les calendriers de correctifs ; la protection des points d'accès ; des contrôles de prévention de la perte de données ; la sécurité physique ; et des évaluations de sécurité des fournisseurs.
Les mesures organisationnelles comprennent une politique de sécurité de l'information documentée, un schéma de classification des données, des rôles et responsabilités clairement définis, la gestion des incidents de sécurité, et des procédures de gestion des risques liés aux tiers.
Étape 10 : élaborer et tester un plan de réponse aux violations (articles 33, 34)
Le RGPD impose des délais stricts pour la notification des violations. Un signalement tardif peut entraîner des amendes significatives, indépendamment de toute amende relative à la défaillance de sécurité sous-jacente. Pour un traitement détaillé des exigences de notification, consultez la règle des 72 heures pour la notification de violation au titre du RGPD.
L'obligation de notification dans les 72 heures au titre de l'article 33
En vertu de l'article 33, paragraphe 1, un responsable du traitement doit notifier l'autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance » d'une violation de données à caractère personnel. Le CEPD a interprété la notion de « connaissance » comme le moment où le responsable du traitement dispose d'un degré raisonnable de certitude qu'un incident de sécurité affectant des données à caractère personnel s'est produit.
Les notifications au titre de l'article 33, paragraphe 3, doivent inclure : la nature de la violation et le nombre approximatif de personnes concernées et d'enregistrements affectés ; les coordonnées du DPD ; les conséquences probables de la violation ; et les mesures prises ou envisagées pour y remédier.
L'obligation de l'article 34 de notifier les personnes concernées
Lorsqu'une violation est susceptible d'engendrer un risque élevé pour les personnes concernées, le responsable du traitement doit les en informer sans délai indu. L'article 34, paragraphe 3, prévoit des exceptions limitées lorsque les données étaient chiffrées ou rendues inintelligibles, que des mesures ultérieures ont rendu le risque élevé improbable, ou qu'une notification individuelle exigerait un effort disproportionné (auquel cas une communication publique peut s'y substituer).
Les sous-traitants doivent notifier le responsable du traitement sans délai indu après avoir eu connaissance d'une violation (article 33, paragraphe 2). Les contrats avec les sous-traitants devraient préciser un délai contractuel, généralement de 24 à 48 heures.
Liste de contrôle opérationnelle pour la réponse aux violations
- Mettre en œuvre des contrôles techniques de détection : détection d'intrusion, surveillance des journaux, et alertes d'anomalies
- Constituer une équipe de réponse aux violations dotée de rôles définis, d'un plan d'escalade, et d'une définition claire de la « connaissance » organisationnelle
- Créer un modèle d'évaluation des violations pour apprécier le risque pour les personnes concernées
- Préparer des modèles de notification pour l'autorité de contrôle et les personnes concernées
- Tenir un registre des violations documentant tous les incidents, y compris ceux en dessous du seuil de notification
- Tester la procédure de réponse aux violations au moyen d'exercices sur table au moins une fois par an
Étape 11 : mettre en place des garanties pour les transferts internationaux de données (chapitre V)
Les transferts de données à caractère personnel vers des pays situés en dehors de l'UE/EEE ne sont autorisés que lorsque l'un des mécanismes du chapitre V est en place.
Les mécanismes de transfert
| Mécanisme | Quand l'utiliser |
|---|---|
| Décision d'adéquation (art. 45) | Transfert vers un pays reconnu adéquat par la Commission (exemples : Japon, République de Corée, Royaume-Uni, États-Unis au titre du cadre de protection des données UE-États-Unis) |
| Clauses contractuelles types (art. 46, § 2, c)) | Mécanisme le plus courant pour les pays sans adéquation ; la Commission a adopté des CCT révisées en juin 2021 |
| Règles d'entreprise contraignantes (art. 47) | Mécanisme intragroupe approuvé pour les organisations multinationales |
| Dérogations spécifiques (art. 49) | Exceptions étroites pour les transferts occasionnels lorsqu'aucun autre mécanisme n'est disponible |
Les analyses d'impact relatives aux transferts
Lorsqu'elles s'appuient sur des CCT ou des BCR, les recommandations 01/2020 du CEPD exigent une analyse d'impact relative au transfert afin d'évaluer si le droit du pays destinataire offre une protection essentiellement équivalente au droit de l'UE. Cette analyse doit examiner les lois de surveillance, les droits d'accès des autorités publiques, les recours juridiques disponibles, et le bilan des autorités publiques du pays de destination. Les décisions d'adéquation doivent être surveillées : la Cour de justice a déjà invalidé des décisions d'adéquation par le passé, et le cadre de protection des données UE-États-Unis demeure soumis à des contestations juridiques en cours.
Étape 12 : intégrer la protection des données dès la conception et par défaut (article 25)
L'article 25 exige des responsables du traitement qu'ils mettent en œuvre les principes de protection des données dès les premières étapes de toute nouvelle activité de traitement ou de tout nouveau système (dès la conception) et qu'ils veillent à ce que seules les données minimales nécessaires soient traitées pour chaque finalité (par défaut).
La protection des données dès la conception en pratique
- Intégrer un examen de protection des données comme étape obligatoire dans votre processus de gestion de projet ou de développement de produit
- Intégrer les contrôles d'accès, le chiffrement et la pseudonymisation dans l'architecture des systèmes dès le départ
- Sélectionner des technologies qui minimisent l'exposition des données
- Documenter les décisions de conception et les arbitrages en matière de vie privée pris en compte
La protection des données par défaut en pratique
Les paramètres par défaut doivent être les plus protecteurs de la vie privée disponibles. Les mesures pratiques comprennent : des formulaires de collecte de données limités aux champs minimaux ; des paramètres par défaut fondés sur l'adhésion plutôt que sur le refus pour les traitements non essentiels ; une suppression automatique après la durée de conservation ; des contrôles d'accès fondés sur les rôles ; et des paramètres par défaut respectueux de la vie privée dans les configurations d'analyse et de suivi.
Étape 13 : formation du personnel et responsabilité (article 39, paragraphe 1, point b))
L'article 39, paragraphe 1, point b), inscrit la sensibilisation du personnel parmi les tâches obligatoires du DPD. Le principe de responsabilité de l'article 5, paragraphe 2, impose également aux organisations sans DPD obligatoire de démontrer une formation. Les décisions d'exécution citent fréquemment une formation du personnel inadéquate comme circonstance aggravante.
Exigences relatives au programme de formation
- Fournir une formation de base au RGPD à l'ensemble du personnel manipulant des données à caractère personnel, avant qu'il ne commence à les traiter, et actualisée au moins une fois par an
- Dispenser une formation spécifique aux rôles pour les fonctions à haut risque : RH, marketing, informatique et développement, service client
- Former le personnel sur les mentions d'information, les bases juridiques, les politiques de conservation et les procédures de signalement des violations spécifiques à votre organisation
- Documenter toutes les formations : participants, date, format et contenu
- Évaluer les compétences, et pas uniquement la présence
Les organisations qui obtiennent des résultats constamment bons lors des audits réglementaires intègrent la protection des données à leur culture grâce à un engagement visible de la direction, des référents en protection des données dans chaque service, des filières d'escalade claires pour les préoccupations relatives à la vie privée, et des communications internes régulières renforçant les attentes en matière de protection de la vie privée.
Étape 14 : gestion des prestataires et réexamen continu (articles 24, 28)
L'article 24 exige des responsables du traitement qu'ils mettent en œuvre des mesures appropriées et qu'ils puissent démontrer leur conformité en continu. Les programmes de conformité nécessitent des cycles de réexamen réguliers, et non une simple mise en œuvre initiale.
Cadre de réexamen continu de la conformité
- Audit annuel de conformité : réexaminer votre registre des traitements, vos mentions d'information, vos registres de consentement, vos accords de traitement des données et vos mesures de sécurité au moins une fois par an, ou en cas de modification matérielle du traitement
- Réexamens des AIPD : réexaminer les AIPD chaque fois que la nature, la portée, le contexte ou la finalité du traitement évolue de manière significative
- Réexamens des prestataires : réévaluer les sous-traitants à intervalles réguliers ; réexaminer les listes de sous-traitants ultérieurs, les certifications et les mécanismes de transfert ; surveiller les incidents de sécurité affectant les prestataires
- Veille législative : suivre les lignes directrices du CEPD, les orientations des autorités de contrôle nationales, les arrêts de la CJUE, et les développements liés notamment au processus législatif du Digital Omnibus
- Réexamens après incident : après tout incident de sécurité, mener un réexamen post-incident et actualiser les procédures, les contrôles et la formation en conséquence
Documentation de la responsabilité
Tenez un dossier de conformité contenant : votre registre des traitements ; vos AIPD et leur historique de réexamen ; vos contrats avec les sous-traitants ; vos registres de consentement et journaux de retrait ; vos registres de formation du personnel ; vos évaluations de sécurité ; votre registre des violations ; et la documentation relative à la désignation du DPD. Ces registres constituent la base de preuves en cas d'ouverture d'une enquête par une autorité de contrôle.
Développements récents : l'AI Act européen et le Digital Omnibus de novembre 2025
L'AI Act européen et la conformité au RGPD
L'AI Act européen (règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 et s'applique par phases. Les interdictions visant les systèmes d'IA à risque inacceptable se sont appliquées à compter du 2 février 2025. Les obligations pour les fournisseurs de modèles d'IA à usage général se sont appliquées à compter du 2 août 2025. La plupart des obligations relatives aux systèmes d'IA à haut risque s'appliquent à compter du 2 août 2026.
L'article 2, paragraphe 7, de l'AI Act confirme expressément que le droit européen de la protection des données demeure pleinement applicable à l'ensemble du traitement de données à caractère personnel tout au long du cycle de vie des systèmes d'IA. Le CEPD, dans sa déclaration 3/2024, a confirmé que les autorités de protection des données conservent l'intégralité de leur rôle de supervision au titre du RGPD, y compris lorsque l'AI Act crée des obligations parallèles.
Pour les organisations qui développent ou déploient des systèmes d'IA traitant des données à caractère personnel :
- Le traitement de données à caractère personnel pour entraîner des modèles d'IA nécessite une base juridique au titre de l'article 6 du RGPD (et de l'article 9 pour les données sensibles)
- Les systèmes d'IA à haut risque (annexe III de l'AI Act) qui traitent des données à caractère personnel devraient être considérés comme nécessitant une AIPD au titre de l'article 35 du RGPD ; la documentation technique de l'AI Act peut alimenter l'AIPD à condition que tous les éléments de l'article 35, paragraphe 7, soient présents
- Les exigences de gouvernance des données de l'article 10 de l'AI Act pour les systèmes d'IA à haut risque, qui portent sur la qualité des données et l'examen des biais, sont complémentaires aux principes de minimisation des données et d'exactitude du RGPD
La CNIL a publié des recommandations détaillées sur la conformité au RGPD pour le développement de systèmes d'IA, couvrant les bases juridiques pour les données d'entraînement, la minimisation des données dans le développement de modèles, les droits des personnes concernées dont les données sont utilisées pour l'entraînement, et la protection de la vie privée dès la conception dans l'architecture des modèles.
La proposition de Digital Omnibus de novembre 2025
Le 19 novembre 2025, la Commission européenne a publié le paquet Digital Omnibus, proposant des modifications au RGPD, à la directive ePrivacy, à la directive NIS2, au Data Act, et à l'AI Act européen. Les modifications proposées au RGPD sont en cours de processus législatif au sein de l'UE et ne sont pas encore en vigueur.
Les principales modifications du RGPD proposées dans le Digital Omnibus comprennent :
- Un relèvement du seuil de l'article 30, paragraphe 5 : l'exemption de registre pour les PME passerait de moins de 250 à moins de 750 salariés (avec des critères financiers), sous réserve que le traitement ne présente pas de risque élevé
- L'entraînement de l'IA comme intérêt légitime : une clarification selon laquelle le traitement de données à caractère personnel pour le développement et le déploiement de systèmes d'IA peut constituer un intérêt légitime au titre de l'article 6, paragraphe 1, point f), sous réserve de nécessité, de proportionnalité et de garanties appropriées
- Une définition révisée des données à caractère personnel : les informations ne constitueraient pas des données à caractère personnel pour une entité ne disposant pas de moyens raisonnablement susceptibles d'être utilisés pour identifier la personne, ou lorsque l'identification est légalement interdite ou exigerait un effort disproportionné
- Des modifications des règles relatives aux cookies et au suivi : des amendements aux règles ePrivacy visant à réduire la lassitude liée au consentement aux bandeaux de cookies
Le CEPD et le CEPD (EDPS) ont publié l'avis conjoint 2/2026 saluant la simplification du registre des traitements tout en exprimant des préoccupations concernant la redéfinition des données à caractère personnel et sa compatibilité avec la Charte des droits fondamentaux de l'UE. Des organisations de défense de la vie privée ont critiqué plusieurs dispositions. Les organisations devraient suivre ce processus mais ne pas ajuster leurs programmes de conformité sur la base de la proposition tant qu'elle n'est pas adoptée.
Avertissement
Cet article présente des informations juridiques d'ordre général relatives au règlement général sur la protection des données (règlement (UE) 2016/679) et à la législation européenne connexe, telles qu'elles se présentaient au 19 mai 2026. Il ne constitue pas un avis juridique et ne crée aucune relation avocat-client. Les exigences de conformité dépendent de vos activités de traitement spécifiques, de votre secteur, de votre taille, et des États membres dans lesquels vous opérez. Consultez un avocat qualifié en protection des données ou un professionnel certifié de la vie privée agréé dans la juridiction concernée avant de prendre des décisions de conformité. Les propositions du Digital Omnibus de novembre 2025 mentionnées dans cet article sont des propositions législatives et ne sont pas entrées en vigueur.
À propos de l'auteur
[PLACEHOLDER : liste des auteurs en attente]
Autorités citées
- Règlement général sur la protection des données, règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Comité européen de la protection des données (CEPD). https://edpb.europa.eu/edpb_en
- Commission européenne, la protection des données dans l'UE. https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en
- Commission européenne, quand une AIPD est-elle requise ? https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_en
- Commission européenne, exigences relatives au DPD. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/data-protection-officers/does-my-companyorganisation-need-have-data-protection-officer-dpo_en
- CEPD, lignes directrices sur les AIPD et le traitement à haut risque. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- CEPD, article 30, registre des activités de traitement. https://www.edpb.europa.eu/gdpr-articles/article-30-records-processing-activities_en
- CEPD, article 33, notification des violations à l'autorité de contrôle. https://www.edpb.europa.eu/gdpr-articles/article-33-notification-personal-data-breach-supervisory-authority_en
- CEPD, rapport d'exécution coordonnée : DPD (janvier 2024). https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf
- Commission européenne, qu'est-ce qu'une violation de données à caractère personnel ? https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
- ICO, quand devons-nous réaliser une AIPD ? https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
- ICO, comment documenter nos activités de traitement ? https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/documentation/how-do-we-document-our-processing-activities/
- Commission européenne, les principes du RGPD. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/principles-gdpr_en
- AI Act européen, règlement (UE) 2024/1689. https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
- Commission européenne, l'AI Act entre en vigueur (1er août 2024). https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
- Déclaration 3/2024 du CEPD sur le rôle des autorités de protection des données dans le cadre de l'AI Act. https://www.edpb.europa.eu/news/news/2024/edpb-adopts-statement-dpas-role-ai-act-framework-eu-us-data-privacy-framework-faq_en
- Commission européenne, proposition de règlement Digital Omnibus (19 novembre 2025). https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- CEPD et CEPD (EDPS), avis conjoint 2/2026 sur le Digital Omnibus. https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
- CEPD et CEPD (EDPS), modifications ciblées du RGPD : simplification de la tenue de registre. https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en
- CEPD, CEF 2026 : action d'exécution coordonnée sur la transparence et les obligations d'information. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CNIL, développement de systèmes d'IA : recommandations pour se conformer au RGPD. https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
- CEPD, lignes directrices sur l'articulation entre le DSA et le RGPD. https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_en
Articles associés
- Qu'est-ce que le RGPD : une présentation complète du règlement
- Droits des personnes concernées au titre du RGPD : des orientations détaillées sur les huit droits individuels
- Exigences de consentement au titre du RGPD : les normes de consentement valide et les obligations de gestion
- La règle des 72 heures pour la notification de violation au titre du RGPD : les exigences complètes de signalement des violations
- Le RGPD pour les petites entreprises : des orientations spécifiques aux PME, y compris les modifications proposées par le Digital Omnibus
- Lois européennes de protection des données : le portail complet de la protection des données de l'UE
Dernière mise à jour : 19 mai 2026. Les lois et orientations citées reflètent leur version en vigueur au 19 mai 2026. Les propositions du Digital Omnibus mentionnées sont des propositions législatives en date du 19 novembre 2025 et ne sont pas encore entrées en vigueur.
Frequently Asked Questions
Quelle est la première étape de la conformité au RGPD ?
La première étape consiste à réaliser un exercice de cartographie des données et à constituer votre registre des activités de traitement au titre de l'article 30. Vous devez identifier chaque catégorie de données à caractère personnel que votre organisation collecte, d'où elles proviennent, comment elles sont traitées, qui y a accès, et où elles sont stockées. Sans une vision complète de vos flux de données, vous ne pouvez pas correctement identifier les bases juridiques, rédiger des mentions d'information exactes, ou mettre en œuvre des mesures de sécurité appropriées.
Toutes les organisations ont-elles besoin d'un délégué à la protection des données ?
Non. Un DPD n'est obligatoire que pour les autorités publiques, les organisations dont les activités principales exigent un suivi régulier et systématique à grande échelle des personnes, et les organisations qui traitent des données sensibles (santé, biométrie, condamnations pénales) à grande échelle (article 37 du RGPD). De nombreuses organisations désignent un DPD volontairement. Si vous désignez un DPD, qu'il soit obligatoire ou volontaire, l'ensemble des règles du RGPD relatives à l'indépendance, aux ressources et à la protection contre la révocation s'appliquent.
À quelle fréquence la conformité au RGPD doit-elle être réexaminée ?
La conformité au RGPD exige un entretien continu. Le registre des traitements doit être mis à jour à chaque évolution du traitement. Les AIPD doivent être réexaminées lorsque la nature, la portée ou la finalité du traitement évolue de manière significative. Les mentions d'information doivent être actualisées lors de l'introduction de nouveaux traitements. La formation du personnel doit être renouvelée au moins une fois par an. La plupart des organisations effectuent un audit complet de conformité une fois par an et déclenchent des réexamens intermédiaires en cas de changement opérationnel matériel.
Quand une analyse d'impact relative à la protection des données est-elle requise ?
Une AIPD est requise avant tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (article 35 du RGPD). Elle est toujours requise pour le profilage systématique produisant des effets significatifs, le traitement à grande échelle de catégories particulières de données, et le suivi systématique à grande échelle de zones publiques. Les autorités de contrôle nationales publient des listes supplémentaires d'opérations nécessitant une AIPD. Pour les déployeurs de systèmes d'IA à haut risque au titre de l'AI Act européen, la CNIL et le CEPD ont confirmé qu'une AIPD devrait être présumée nécessaire.
Que doit contenir une mention d'information conforme au RGPD ?
Une mention d'information doit inclure l'identité et les coordonnées du responsable du traitement, les coordonnées du DPD le cas échéant, les finalités et la base juridique du traitement, les catégories de données collectées, les destinataires, les durées de conservation, les détails des transferts internationaux, l'ensemble des huit droits des personnes concernées, le droit d'introduire une réclamation auprès d'une autorité de contrôle, et des informations sur la prise de décision automatisée. La mention doit utiliser un langage clair et simple (article 12 du RGPD). L'action d'exécution coordonnée CEF 2026 du CEPD porte spécifiquement sur les mentions d'information au titre des articles 12, 13 et 14.
Quelles sont les sanctions du RGPD en cas de non-conformité ?
Les amendes du RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les violations des principes fondamentaux, des droits des personnes concernées et des règles de transfert international. Des amendes de palier inférieur, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires, s'appliquent aux violations administratives, notamment le défaut de tenue du registre de l'article 30 ou la non-désignation d'un DPD requis. Les autorités de contrôle peuvent également émettre des avertissements, des rappels à l'ordre, et des interdictions de traitement. Consultez amendes et sanctions du RGPD pour les données d'exécution et des exemples de cas.
Que doivent contenir les contrats avec les sous-traitants au titre de l'article 28 ?
Les accords de traitement des données au titre de l'article 28 doivent préciser : l'objet, la durée, la nature et la finalité du traitement ; les types de données à caractère personnel et les catégories de personnes concernées ; l'obligation pour le sous-traitant d'agir uniquement sur instructions documentées du responsable du traitement ; les obligations de confidentialité du personnel ; les mesures de sécurité ; l'assistance pour les droits des personnes concernées et la notification des violations ; la suppression ou la restitution des données à la fin du contrat ; les droits d'audit ; et les conditions de sous-traitance ultérieure nécessitant une autorisation écrite préalable.
Comment l'AI Act européen affecte-t-il la conformité au RGPD ?
L'AI Act européen (règlement (UE) 2024/1689) s'applique parallèlement au RGPD partout où des systèmes d'IA traitent des données à caractère personnel. L'article 2, paragraphe 7, de l'AI Act préserve expressément les obligations du RGPD dans leur intégralité. Pour les systèmes d'IA à haut risque énumérés à l'annexe III, les déployeurs devraient considérer une AIPD comme présumée nécessaire au titre de l'article 35 du RGPD. La proposition de Digital Omnibus de novembre 2025 comprend une clarification selon laquelle le traitement pour le développement de l'IA peut constituer un intérêt légitime, mais cette proposition n'est pas encore en vigueur.
Que change la proposition de Digital Omnibus de novembre 2025 pour le RGPD ?
Le Digital Omnibus, publié le 19 novembre 2025, propose de relever le seuil d'exemption de registre de l'article 30, paragraphe 5, pour les PME, de moins de 250 à moins de 750 salariés ; de clarifier que l'entraînement de l'IA peut constituer un intérêt légitime au titre de l'article 6, paragraphe 1, point f) ; de restreindre la définition des données à caractère personnel pour les entités incapables d'identifier la personne ; et d'ajuster les règles de consentement au suivi en ligne. Il s'agit de propositions en cours de négociation législative, non encore en vigueur.
Qu'est-ce qu'une analyse d'impact relative au transfert et quand est-elle requise ?
Une analyse d'impact relative au transfert (AIT) est une analyse visant à déterminer si le cadre juridique d'un pays tiers offre une protection essentiellement équivalente au droit de l'UE, requise lorsque l'on s'appuie sur des clauses contractuelles types ou des règles d'entreprise contraignantes pour les transferts internationaux de données au titre du chapitre V du RGPD. Les recommandations 01/2020 du CEPD fournissent la méthodologie. L'AIT doit examiner les lois de surveillance, les droits d'accès des autorités publiques, les recours juridiques disponibles, et le bilan des autorités publiques du pays de destination.
Sources and References
- RGPD, règlement (UE) 2016/679 du Parlement européen et du Conseil(eur-lex.europa.eu).gov
- Comité européen de la protection des données (CEPD)(edpb.europa.eu).gov
- Commission européenne, la protection des données dans l'UE(commission.europa.eu).gov
- Commission européenne, quand une AIPD est-elle requise ?(commission.europa.eu).gov
- Commission européenne, exigences relatives au DPD(commission.europa.eu).gov
- CEPD, lignes directrices sur les AIPD et le traitement à haut risque(edpb.europa.eu).gov
- CEPD, article 30, registre des activités de traitement(edpb.europa.eu).gov
- CEPD, article 33, notification des violations à l'autorité de contrôle(edpb.europa.eu).gov
- CEPD, rapport d'exécution coordonnée 2023 sur les DPD(edpb.europa.eu).gov
- Commission européenne, qu'est-ce qu'une violation de données ?(commission.europa.eu).gov
- ICO, quand devons-nous réaliser une AIPD ?(ico.org.uk).gov
- ICO, documenter nos activités de traitement(ico.org.uk).gov
- Commission européenne, les principes du RGPD(commission.europa.eu).gov
- AI Act européen, règlement (UE) 2024/1689(eur-lex.europa.eu).gov
- Commission européenne, l'AI Act entre en vigueur (août 2024)(commission.europa.eu).gov
- Déclaration 3/2024 du CEPD, rôle des autorités de protection des données dans le cadre de l'AI Act(edpb.europa.eu).gov
- Commission européenne, proposition de règlement Digital Omnibus (novembre 2025)(digital-strategy.ec.europa.eu).gov
- Avis conjoint 2/2026 du CEPD et du CEPD (EDPS) sur le Digital Omnibus(edpb.europa.eu).gov
- CEPD, modifications ciblées du RGPD : simplification de la tenue de registre(edpb.europa.eu).gov
- CEPD, CEF 2026 : action d'exécution coordonnée sur la transparence et les obligations d'information(edpb.europa.eu).gov
- CNIL, développement de systèmes d'IA : recommandations pour se conformer au RGPD(cnil.fr).gov
- CEPD, lignes directrices sur l'articulation entre le DSA et le RGPD(edpb.europa.eu).gov