Qu'est-ce que le RGPD ? Guide complet de la protection des données de l'UE (2026)

Le règlement général sur la protection des données (règlement (UE) 2016/679) est la loi contraignante de l'Union européenne en matière de protection des données, applicable depuis le 25 mai 2018. Il confère aux personnes des droits sur leurs données à caractère personnel, impose des obligations de conformité aux organisations qui les traitent, et s'étend à toute organisation dans le monde qui cible ou surveille des résidents de l'UE.
Le règlement général sur la protection des données, universellement connu sous le nom de RGPD, est la loi de protection des données la plus influente au monde. Publié en tant que règlement (UE) 2016/679 au Journal officiel de l'Union européenne le 4 mai 2016, il est devenu applicable le 25 mai 2018, après une période de transition de deux ans. Il s'applique directement dans chaque État membre de l'UE et, au titre de l'article 3, vise des organisations basées n'importe où dans le monde qui traitent des données à caractère personnel de personnes situées dans l'UE.
Ce guide explique le RGPD depuis ses fondements : ses origines, son champ d'application territorial, ses sept principes fondamentaux, ses définitions clés, les six bases juridiques du traitement, un aperçu des droits des personnes concernées, qui l'applique, à quoi ressemblent les sanctions, comment il s'articule avec le droit national, et les derniers développements de 2024 à 2026. Pour un traitement détaillé de sujets spécifiques, utilisez les guides connexes liés tout au long de l'article.
Pour le contexte juridique européen plus large, consultez notre aperçu des lois européennes sur la protection des données.
Cet article est fourni à titre d'information uniquement et ne constitue pas un avis juridique. Consultez un avocat spécialisé en protection des données ou un professionnel de la confidentialité pour un conseil adapté à votre situation.
Réponse rapide : qu'est-ce que le RGPD ?
Le RGPD est un règlement de l'UE directement applicable qui établit des règles uniformes pour la collecte, le stockage, l'utilisation et le partage des données à caractère personnel de personnes situées dans l'UE et l'Espace économique européen. « Règlement » est le mot clé : contrairement à une directive européenne, un règlement n'exige pas des États membres qu'ils adoptent une législation de mise en œuvre. Il est devenu loi contraignante dans les 27 États membres de l'UE automatiquement, le même jour.
À la base, le RGPD accomplit trois choses. Il confère aux personnes (appelées « personnes concernées ») des droits opposables sur leurs données à caractère personnel. Il impose des obligations aux organisations (appelées « responsables du traitement » et « sous-traitants ») qui traitent ces données. Et il établit des autorités de contrôle indépendantes dans chaque État membre pour enquêter sur les plaintes et infliger des amendes en cas de manquement.
Le RGPD a remplacé la directive 95/46/CE, la directive de 1995 sur la protection des données, qui avait régi la protection des données de l'UE pendant plus de deux décennies.

Histoire et finalité
La directive de 1995 sur la protection des données
Le premier cadre majeur de protection des données de l'UE était la directive 95/46/CE, adoptée en octobre 1995. Une directive ne s'applique pas directement ; chaque État membre devait adopter sa propre loi nationale de mise en œuvre. Il en a résulté une mosaïque de 28 lois nationales différentes. Les entreprises opérant à travers l'Europe devaient naviguer dans un régime de conformité différent dans chaque pays.
La directive fonctionnait à peu près pour l'ère de l'internet bas débit, mais elle est devenue de plus en plus inadéquate à mesure que les plateformes de réseaux sociaux, les services cloud et les smartphones généraient des données à caractère personnel à une échelle sans précédent au cours des années 2000 et au début des années 2010.
De la proposition à l'adoption
Le Contrôleur européen de la protection des données (CEPD) a documenté que la Commission européenne a proposé pour la première fois de remplacer la directive par un règlement en janvier 2012. Choisir un règlement plutôt qu'une nouvelle directive résolvait le problème de la mosaïque : un ensemble unique de règles s'appliquerait uniformément dans tous les États membres.
Les négociations entre le Parlement européen, le Conseil de l'Union européenne et la Commission ont duré quatre ans et impliqué plus de 3 000 amendements parlementaires. Le Conseil a adopté sa position le 8 avril 2016. Le Parlement européen a approuvé le texte final le 14 avril 2016. Le règlement a été publié au Journal officiel le 4 mai 2016, avec le 25 mai 2018 fixé comme date d'entrée en application, laissant aux organisations deux ans pour se préparer.
Évolution post-application
Le RGPD n'a pas figé le droit de la protection des données en 2018. Le Comité européen de la protection des données (EDPB) a publié des dizaines de lignes directrices interprétant des dispositions spécifiques. Des juridictions à travers l'Europe ont rendu des arrêts de référence sur le consentement, les intérêts légitimes et les transferts internationaux de données. Les amendes RGPD cumulées ont dépassé 7,1 milliards d'euros début 2026, dont environ 1,15 milliard d'euros infligé rien qu'en 2025.
Avril 2026 a marqué dix ans depuis l'adoption du RGPD en avril 2016. L'EDPB a noté que le règlement avait établi le premier cadre complet de protection des données couvrant un continent entier et avait directement influencé la législation sur la confidentialité dans plus de 150 pays.
Champ d'application territorial : qui doit se conformer ? (Article 3)
L'article 3 du RGPD est inhabituellement large pour une loi nationale ou régionale. Il établit deux critères principaux d'applicabilité.
Le critère de l'établissement (article 3(1))
Le RGPD s'applique à tout responsable du traitement ou sous-traitant qui traite des données à caractère personnel « dans le cadre des activités d'un établissement » dans l'UE. L'établissement ne requiert pas une constitution formelle ; une succursale, une filiale ou un arrangement stable de toute nature y satisfait.
De manière cruciale, le traitement n'a pas besoin d'avoir lieu sur le sol de l'UE. Une entreprise dont le siège est à Berlin et qui traite des données clients sur des serveurs situés aux États-Unis reste soumise au RGPD car le traitement a lieu dans le cadre de son établissement dans l'UE.
Le critère du ciblage (article 3(2))
Les organisations sans établissement dans l'UE doivent tout de même s'y conformer si elles :
- Offrent des biens ou des services à des personnes situées dans l'UE, qu'un paiement soit requis ou non ; ou
- Surveillent le comportement de personnes situées dans l'UE, y compris au moyen d'analyses de site web, de publicité comportementale, de suivi de localisation et de profilage basé sur les cookies.
Les lignes directrices 3/2018 de l'EDPB sur le champ d'application territorial précisent qu'un site web simplement accessible depuis l'UE ne suffit pas. Il doit exister une preuve d'intention de cibler des résidents de l'UE : accepter des euros, fournir du contenu dans des langues de l'UE, ou mentionner expressément des clients de l'UE sont tous des indicateurs.
L'exigence de représentant UE (article 27)
Les organisations non européennes soumises au RGPD en vertu du critère du ciblage doivent désigner par écrit un représentant au sein de l'UE. Ce représentant agit comme point de contact pour les autorités de contrôle et les personnes concernées.

Les sept principes de protection des données (article 5)
L'article 5 du RGPD énonce sept principes qui s'appliquent à toute activité de traitement. Les enfreindre déclenche le niveau supérieur des amendes (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial). Le principe de responsabilité de l'article 5(2) fait peser sur l'organisation la charge de démontrer sa conformité à l'ensemble des sept principes.
1. Licéité, loyauté et transparence
Le traitement doit reposer sur une base juridique valide au titre de l'article 6. Il doit être mené de manière à ce que les personnes puissent raisonnablement s'y attendre et sans causer de préjudice injustifié. Les organisations doivent indiquer clairement aux personnes ce qu'il advient de leurs données au moyen d'avis de confidentialité accessibles.
2. Limitation de la finalité
Les données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d'une manière incompatible avec ces finalités initiales. Collecter des adresses e-mail pour des confirmations de commande et les utiliser plus tard à des fins de marketing sans base juridique distincte viole ce principe. Des exceptions limitées existent pour l'archivage, la recherche scientifique et les finalités statistiques.
3. Minimisation des données
Seules les données à caractère personnel adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard de la finalité indiquée peuvent être traitées. Les organisations ne devraient pas collecter des données « au cas où » elles deviendraient utiles plus tard.
4. Exactitude
Les données à caractère personnel doivent être exactes et tenues à jour. Les organisations doivent prendre toute mesure raisonnable pour effacer ou rectifier sans tarder les données inexactes. Les orientations de l'ICO sur les principes de protection des données précisent que l'exactitude signifie que les données ne doivent pas être trompeuses dans leur contexte, et non simplement techniquement correctes.
5. Limitation de la conservation
Les données ne doivent être conservées sous une forme permettant l'identification des personnes que le temps nécessaire aux finalités du traitement. Une fois la finalité atteinte, l'organisation doit supprimer ou anonymiser les données. Les calendriers de conservation doivent être documentés ; la conservation indéfinie n'est pas autorisée.
6. Intégrité et confidentialité (sécurité)
Les données à caractère personnel doivent être traitées avec des mesures de sécurité techniques et organisationnelles appropriées pour les protéger contre l'accès non autorisé, la perte accidentelle, la destruction ou les dommages. Ce principe sous-tend les obligations de notification des violations des articles 33 et 34.
7. Responsabilité
Le responsable du traitement est responsable du respect des six principes ci-dessus et doit être en mesure de le démontrer. Il s'agit d'une obligation active : tenir des registres des activités de traitement, réaliser des analyses d'impact relatives à la protection des données lorsque requis, désigner un délégué à la protection des données lorsque cela est obligatoire, et mettre les preuves de conformité à disposition des autorités de contrôle.
Définitions clés (article 4)
L'article 4 du RGPD contient 26 définitions. Les six qui apparaissent dans toute analyse de conformité sont :
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »). La définition est délibérément large et neutre sur le plan technologique. Elle couvre les noms, les adresses e-mail, les numéros de téléphone, les adresses IP, les identifiants de cookies, les données de localisation, les données génétiques, les données biométriques, les photographies, et toute combinaison de données pouvant identifier directement ou indirectement une personne.
La Commission européenne souligne que le RGPD s'applique que les données soient stockées numériquement, sur papier, ou capturées par vidéosurveillance.
Traitement
Le « traitement » couvre pratiquement toute opération effectuée sur des données à caractère personnel : collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, utilisation, communication, rapprochement, limitation, effacement ou destruction. La définition est délibérément expansive ; si vous manipulez des données à caractère personnel de quelque manière que ce soit, vous les traitez.
Responsable du traitement
Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui détermine les finalités et les moyens du traitement. Les responsables du traitement décident pourquoi les données sont collectées et comment elles seront utilisées. Ils portent la responsabilité principale de la conformité RGPD.
Sous-traitant
Un sous-traitant traite des données à caractère personnel pour le compte et sur instruction d'un responsable du traitement. Une société d'hébergement cloud qui stocke la base de données clients d'un détaillant agit en tant que sous-traitant. Les sous-traitants doivent suivre les instructions du responsable du traitement, mettre en œuvre une sécurité appropriée et conclure un accord écrit de traitement des données au titre de l'article 28. Les lignes directrices 07/2020 de l'EDPB fournissent des orientations détaillées pour déterminer les rôles.
Personne concernée
La personne physique dont les données à caractère personnel sont traitées. Les personnes concernées sont les titulaires de droits au titre du chapitre III du RGPD.
Catégories particulières de données à caractère personnel
L'article 9 identifie des catégories de données particulièrement sensibles qui justifient une protection supplémentaire : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques utilisées à des fins d'identification unique, données de santé, et données relatives à la vie sexuelle ou à l'orientation sexuelle. Le traitement de ces catégories est interdit par défaut ; seules les exceptions spécifiques énumérées à l'article 9(2) l'autorisent.
Les six bases juridiques du traitement (article 6)
Tout acte de traitement doit reposer sur l'une des six bases juridiques énoncées à l'article 6. Les responsables du traitement doivent identifier et documenter la base applicable avant que le traitement ne commence. Les bases ne peuvent pas être changées après coup.
| Base juridique | Quand elle s'applique | Exemple typique |
|---|---|---|
| Consentement | La personne concernée donne une indication d'accord libre, spécifique, éclairée et univoque | Inscription à une newsletter avec une case d'opt-in explicite |
| Nécessité contractuelle | Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée, ou pour prendre des mesures précontractuelles à sa demande | Utiliser une adresse de livraison pour exécuter une commande en ligne |
| Obligation légale | Le traitement est requis pour se conformer à une obligation légale au titre du droit de l'UE ou d'un État membre | Conserver des registres de paie à des fins fiscales |
| Intérêts vitaux | Le traitement est nécessaire pour protéger la vie de la personne concernée ou d'une autre personne | Partager des données médicales en cas d'urgence |
| Intérêt public / autorité publique | Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique | Surveillance de la santé publique par un organisme gouvernemental |
| Intérêts légitimes | Le traitement est nécessaire aux intérêts légitimes du responsable du traitement (ou d'un tiers), qui ne sont pas supplantés par les intérêts ou droits fondamentaux de la personne concernée | Prévention de la fraude, sécurité des réseaux, marketing direct (avec précaution) |
Le consentement est souvent identifié à tort comme la base par défaut. Les lignes directrices 1/2024 de l'EDPB sur les intérêts légitimes précisent que l'intérêt légitime exige un test de mise en balance et ne peut pas être utilisé pour un traitement qui l'emporte clairement sur les droits individuels.
Pour des orientations détaillées sur le moment où le consentement est nécessaire et ce qui le rend valide, consultez notre guide Exigences de consentement RGPD.
Droits des personnes concernées : un aperçu (chapitre III)
Le chapitre III du RGPD accorde huit catégories de droits aux personnes concernées. Les responsables du traitement doivent répondre aux demandes d'exercice de droits sans tarder et dans un délai d'un mois (extensible de deux mois supplémentaires pour les demandes complexes). Les réponses doivent être gratuites.
| Droit | Article | Ce qu'il signifie |
|---|---|---|
| Droit à l'information | Art. 13, 14 | Recevoir des informations claires sur le traitement via des avis de confidentialité |
| Droit d'accès | Art. 15 | Obtenir la confirmation du traitement et une copie des données à caractère personnel détenues |
| Droit de rectification | Art. 16 | Faire corriger des données inexactes ou incomplètes |
| Droit à l'effacement (« droit à l'oubli ») | Art. 17 | Faire supprimer des données lorsqu'elles ne sont plus nécessaires, le consentement est retiré, ou le traitement était illicite |
| Droit à la limitation | Art. 18 | Limiter le traitement dans des circonstances définies pendant qu'un différend est résolu |
| Droit à la portabilité des données | Art. 20 | Recevoir les données à caractère personnel dans un format structuré et lisible par machine et les transmettre à un autre responsable du traitement |
| Droit d'opposition | Art. 21 | S'opposer à un traitement fondé sur des intérêts légitimes ou le marketing direct |
| Droits relatifs à la prise de décision automatisée | Art. 22 | Ne pas faire l'objet d'une décision entièrement automatisée produisant des effets juridiques ou similaires significatifs |
Aucun de ces droits n'est absolu. Le RGPD énonce des motifs spécifiques permettant aux responsables du traitement de refuser ou de limiter les demandes. Pour un traitement complet de chaque droit et de la manière dont les organisations doivent y répondre, consultez notre guide Droits des personnes concernées au titre du RGPD.
Application : comment le RGPD est contrôlé

Autorités de contrôle nationales (APD)
Chaque État membre de l'UE dispose d'au moins une autorité de protection des données indépendante. Les APD disposent de trois catégories de pouvoirs au titre de l'article 58 :
- Pouvoirs d'enquête : audits, accès aux locaux, ordre de fournir des informations, et réalisation d'audits de protection des données.
- Pouvoirs correctifs : avertissements, rappels à l'ordre, mises en demeure de se conformer, interdictions temporaires ou définitives de traitement, et amendes administratives.
- Pouvoirs d'autorisation et consultatifs : approbation des règles d'entreprise contraignantes, émission d'avis, autorisation de clauses contractuelles types.
Parmi les APD bien connues figurent la Data Protection Commission (DPC) irlandaise, la CNIL française, les multiples Landesbeauftragten allemands, le Garante italien et l'AEPD espagnole.
Le Comité européen de la protection des données (EDPB)
L'EDPB est l'organisme indépendant de l'UE composé de toutes les APD nationales et du Contrôleur européen de la protection des données. Il a remplacé le Groupe de travail « Article 29 » lors de l'entrée en vigueur du RGPD. L'EDPB émet des décisions contraignantes dans les litiges transfrontaliers, publie des lignes directrices interprétatives et coordonne l'application entre les États membres.
Le mécanisme de guichet unique
Pour les organisations opérant dans plusieurs États membres de l'UE, le mécanisme de guichet unique du RGPD désigne une seule « autorité de contrôle chef de file » : généralement l'APD de l'État membre où se trouve l'établissement principal de l'organisation dans l'UE. D'autres APD « concernées » peuvent soulever des objections aux projets de décision, et les différends non résolus sont escaladés à l'EDPB pour une décision contraignante.
La DPC irlandaise s'est imposée comme le régulateur dominant en valeur monétaire car de nombreuses grandes entreprises technologiques (Meta, Google, Apple, TikTok, LinkedIn, X) ont leur siège européen à Dublin.
Sanctions (articles 83 et 84)
Le RGPD établit deux niveaux d'amendes administratives :
Niveau inférieur (article 83(4)) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Cela s'applique aux violations des obligations du responsable du traitement et du sous-traitant au titre des articles 8, 11, 25-39, 42 et 43 (y compris les exigences relatives au DPO, la protection des données dès la conception, et la notification des violations).
Niveau supérieur (article 83(5)) : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Cela s'applique aux violations des principes fondamentaux (article 5), des bases juridiques (article 6), des conditions de consentement (article 7), des règles relatives aux catégories particulières (article 9), des droits des personnes concernées (chapitre III), et des règles de transfert international (chapitre V).
Les États membres peuvent également imposer des sanctions supplémentaires au titre de l'article 84, y compris des sanctions pénales.
Exemples notables d'application :
- La DPC irlandaise a infligé à TikTok une amende de 530 millions d'euros en 2025 pour des transferts illicites de données d'utilisateurs de l'UE vers la Chine.
- La DPC irlandaise a infligé à Meta une amende de 1,2 milliard d'euros en 2023 pour des transferts illicites de données vers les États-Unis via des clauses contractuelles types.
- La DPC irlandaise a infligé à Meta une amende de 251 millions d'euros en décembre 2024 pour des manquements en matière de notification de violation et de sécurité des données liés à la vulnérabilité « View As » de 2018.
- LinkedIn a été sanctionné d'une amende de 310 millions d'euros en 2024 pour avoir utilisé la publicité comportementale sans base juridique valide.
Les amendes RGPD cumulées ont dépassé 7,1 milliards d'euros début 2026. Pour le détail complet du calcul des amendes et la liste complète des principales actions d'application, consultez notre guide Amendes et sanctions RGPD.
Le RGPD et les lois nationales de mise en œuvre
Bien qu'il s'agisse d'un règlement directement applicable, le RGPD comporte plus de 50 clauses d'ouverture qui permettent ou exigent des États membres qu'ils ajoutent, restreignent ou adaptent des dispositions spécifiques au titre du droit national. Il en résulte que la conformité RGPD en Allemagne n'est pas identique à la conformité RGPD en France ou en Irlande.
Les domaines courants de variation nationale incluent :
Âge de consentement pour les données d'enfants. L'article 8 fixe le seuil par défaut à 16 ans mais permet aux États membres de l'abaisser jusqu'à un minimum de 13 ans. Le Royaume-Uni (qui appliquait le RGPD avant le Brexit) l'a fixé à 13 ans.
Catégories particulières de données. L'article 9(4) permet aux États membres d'imposer des conditions supplémentaires au traitement des données de santé, des données génétiques et des données biométriques à des fins d'identification.
Données relatives à l'emploi. L'article 88 permet aux États membres d'adopter des règles spécifiques pour les données des employés, y compris la sélection préalable à l'embauche et la surveillance sur le lieu de travail.
Liberté d'expression et journalisme. L'article 85 exige des États membres qu'ils concilient la protection des données avec la liberté d'expression, y compris à des fins journalistiques, académiques et artistiques.
Données relatives aux condamnations pénales. L'article 10 laisse aux États membres le soin de déterminer les conditions dans lesquelles les données relatives aux infractions pénales peuvent être traitées par des acteurs privés.
Les organisations opérant dans plusieurs États membres doivent vérifier non seulement le RGPD lui-même, mais également la loi nationale de mise en œuvre applicable dans chaque État concerné.
Développements récents : 2024 à 2026
Règlement procédural RGPD (règlement (UE) 2025/2518)
L'une des critiques persistantes du RGPD était que les affaires d'application transfrontalière prenaient trop de temps. Le mécanisme de guichet unique exigeait une coopération étendue entre l'APD chef de file et les APD concernées, et il n'existait aucun délai contraignant.
L'UE a répondu à cela avec le règlement (UE) 2025/2518, le règlement procédural RGPD. Publié au Journal officiel le 12 décembre 2025, il est entré en vigueur le 1er janvier 2026 et s'appliquera à partir du 2 avril 2027 (avec des règles transitoires protégeant les enquêtes en cours).
Changements clés :
- Délai contraignant de 15 mois pour les enquêtes de l'APD chef de file, extensible de 12 mois pour les cas complexes.
- Procédures normalisées pour les plaignants et les parties faisant l'objet d'une enquête.
- Obligations de transparence accrues sur les délais d'application.
- Droits de participation clarifiés pour les plaignants durant le processus d'application.
Ce règlement ne modifie pas les obligations substantielles du RGPD ; il régit la manière dont les APD coordonnent leur action et les droits procéduraux des parties.
La proposition Digital Omnibus (novembre 2025)
Le 19 novembre 2025, la Commission européenne a adopté un vaste paquet Digital Omnibus proposant des modifications à plusieurs lois numériques de l'UE, y compris le RGPD, le Data Act, la directive ePrivacy, NIS2, et d'autres. À mai 2026, le Digital Omnibus n'est qu'une proposition législative ; il n'a pas été adopté et fait l'objet de la procédure colégislative standard de l'UE impliquant le Parlement européen et le Conseil.
Les principales modifications RGPD proposées incluent :
- Réduire l'obligation de tenue de registres au titre de l'article 30 pour les organisations de moins de 750 employés, sauf si le traitement présente un risque élevé.
- Modifier les articles 13, 14 et 15 pour introduire des limites à la portée des droits à l'information dans des circonstances définies.
- Ajuster la règle de limitation de la finalité de l'article 5(1)(b).
- Introduire un « point d'entrée unique » pour les notifications de violation de données au titre d'un nouvel article 33a.
- Affiner l'article 22 sur la prise de décision automatisée.
L'EDPB et le CEPD ont émis un avis conjoint début 2026, soutenant certains éléments de simplification mais soulevant de sérieuses préoccupations quant aux modifications proposées de la définition des données à caractère personnel, qu'ils ont jugées aller au-delà de la jurisprudence établie de la CJUE et susceptibles de restreindre considérablement le concept. Le texte actuel du RGPD reste en vigueur jusqu'à ce que d'éventuelles modifications achèvent le processus législatif et soient formellement publiées.
AI Act européen et RGPD
L'AI Act européen est entré en application selon un calendrier échelonné de 2024 à 2026. L'EDPB a confirmé que le traitement de données à caractère personnel pour développer ou déployer des systèmes d'IA est soumis aux obligations du RGPD, et l'EDPB travaille avec le Bureau de l'IA de la Commission sur des lignes directrices conjointes concernant l'interaction entre l'AI Act et le RGPD, dont l'adoption est attendue en 2026. Le principe central est simple : la conformité à l'AI Act ne remplace pas la conformité au RGPD.
L'influence mondiale du RGPD
Depuis 2018, le RGPD a influencé la législation sur la confidentialité dans plus de 150 pays. La Lei Geral de Protecao de Dados (LGPD) du Brésil, la loi modifiée sur la protection des informations personnelles (APPI) du Japon, la loi sur la protection des informations personnelles (PIPA) de la Corée du Sud, et le Digital Personal Data Protection Act de 2023 de l'Inde intègrent tous des concepts dérivés du RGPD. Le CCPA et le CPRA de Californie ont introduit des droits des personnes concernées de style RGPD dans le droit américain.
Le cadre d'adéquation de la Commission européenne renforce cette influence : les pays cherchant à recevoir librement des données à caractère personnel de l'UE doivent démontrer des protections « substantiellement équivalentes » au RGPD, établissant ainsi effectivement la conformité au RGPD comme référence mondiale.
Frequently Asked Questions
Que signifie RGPD ?
RGPD signifie règlement général sur la protection des données. Il s'agit du règlement (UE) 2016/679 du Parlement européen et du Conseil, adopté le 14 avril 2016 et applicable depuis le 25 mai 2018. Le règlement standardise le droit de la protection des données dans tous les États membres de l'UE et l'Espace économique européen, remplaçant la directive de 1995 sur la protection des données.
Le RGPD s'applique-t-il en dehors de l'Europe ?
Oui. L'article 3 confère au RGPD une portée extraterritoriale. Toute organisation dans le monde qui offre des biens ou des services à des résidents de l'UE, ou qui surveille le comportement de résidents de l'UE (par exemple via des analyses de site web, la publicité comportementale ou le suivi), doit se conformer au RGPD quel que soit son lieu d'établissement. Une entreprise aux États-Unis, au Canada ou au Japon est soumise au RGPD si elle traite des données à caractère personnel de résidents de l'UE dans ces contextes.
Quels sont les sept principes du RGPD ?
Les sept principes de l'article 5 sont : (1) licéité, loyauté et transparence ; (2) limitation de la finalité ; (3) minimisation des données ; (4) exactitude ; (5) limitation de la conservation ; (6) intégrité et confidentialité (sécurité) ; et (7) responsabilité. Ces principes s'appliquent à tout traitement de données à caractère personnel. Le principe de responsabilité fait peser sur le responsable du traitement la charge de démontrer sa conformité aux six autres.
Quelle est la différence entre un responsable du traitement et un sous-traitant ?
Un responsable du traitement décide des finalités et des moyens du traitement des données à caractère personnel et porte la responsabilité principale de la conformité RGPD. Un sous-traitant traite les données à caractère personnel pour le compte du responsable du traitement, en suivant ses instructions. Par exemple, un détaillant (responsable du traitement) qui utilise un fournisseur d'hébergement cloud (sous-traitant) pour stocker les données clients. Les responsables du traitement et les sous-traitants doivent conclure un accord écrit de traitement des données au titre de l'article 28.
Quelles sont les six bases juridiques du traitement ?
L'article 6 énonce six bases juridiques : (1) le consentement de la personne concernée ; (2) la nécessité contractuelle ; (3) le respect d'une obligation légale ; (4) la protection des intérêts vitaux ; (5) l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique ; et (6) les intérêts légitimes du responsable du traitement ou d'un tiers. Chaque activité de traitement doit être justifiée par l'une de ces bases avant que le traitement ne commence.
Quelles sont les amendes RGPD maximales ?
Le niveau le plus élevé des amendes RGPD est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice financier précédent, le montant le plus élevé étant retenu. Cela s'applique aux violations des principes fondamentaux, des bases juridiques, des droits des personnes concernées et des règles de transfert international. Un niveau inférieur de 10 millions d'euros ou 2 % s'applique aux violations plus procédurales. La plus grosse amende RGPD unique à ce jour est de 1,2 milliard d'euros, infligée à Meta par la DPC irlandaise en 2023 pour des transferts de données illicites.
Qu'est-ce que le règlement procédural RGPD ?
Le règlement (UE) 2025/2518, connu sous le nom de règlement procédural RGPD, a été publié en décembre 2025 et est entré en vigueur le 1er janvier 2026, avec application à partir du 2 avril 2027. Il introduit des délais contraignants pour les affaires d'application transfrontalière (une fenêtre d'enquête de 15 mois, extensible de 12 mois), des droits procéduraux normalisés pour les plaignants et les parties faisant l'objet d'une enquête, et une transparence améliorée. Il ne modifie pas les obligations substantielles du RGPD lui-même.
Qu'est-ce que le Digital Omnibus de l'UE et comment affecte-t-il le RGPD ?
Le Digital Omnibus est une proposition législative adoptée par la Commission européenne le 19 novembre 2025 qui modifierait plusieurs lois numériques de l'UE, y compris le RGPD. À mai 2026, elle fait encore l'objet d'une négociation colégislative entre le Parlement européen et le Conseil et n'a pas été adoptée. Les modifications proposées au RGPD incluent la réduction des obligations de tenue de registres pour les organisations plus petites, la modification des droits à l'information, l'ajustement des règles de notification des violations, et l'affinement des règles de prise de décision automatisée. Le texte actuel du RGPD reste en vigueur jusqu'à l'adoption et la publication formelles de toute modification.
Quand le RGPD est-il entré en vigueur ?
Le RGPD a été adopté le 14 avril 2016, publié le 4 mai 2016, et est entré en application le 25 mai 2018, après une période de transition de deux ans. Il a remplacé la directive de 1995 sur la protection des données (directive 95/46/CE). Le RGPD a été adopté le 14 avril 2016 et est devenu applicable le 25 mai 2018. Le 25 mai 2026 a marqué le huitième anniversaire de l'entrée en application du RGPD.
Sources and References
- RGPD, texte intégral — Règlement (UE) 2016/679(eur-lex.europa.eu).gov
- Directive 95/46/CE — Directive de 1995 sur la protection des données(eur-lex.europa.eu).gov
- RGPD, texte consolidé (EUR-Lex)(eur-lex.europa.eu).gov
- Comité européen de la protection des données (EDPB)(edpb.europa.eu).gov
- Lignes directrices 3/2018 de l'EDPB sur le champ d'application territorial (article 3)(edpb.europa.eu).gov
- EDPB — Principes de l'article 5(edpb.europa.eu).gov
- Lignes directrices 1/2024 de l'EDPB sur les intérêts légitimes (article 6(1)(f))(edpb.europa.eu).gov
- Lignes directrices 07/2020 de l'EDPB — Responsable du traitement et sous-traitant(edpb.europa.eu).gov
- Guide PME de l'EDPB — Responsable du traitement vs sous-traitant(edpb.europa.eu).gov
- Guide PME de l'EDPB — Respecter les droits des personnes(edpb.europa.eu).gov
- Avis conjoint de l'EDPB et du CEPD sur le Digital Omnibus (2026)(edpb.europa.eu).gov
- EDPB — 10 ans du RGPD (2026)(edpb.europa.eu).gov
- CEPD — Histoire du RGPD(edps.europa.eu).gov
- Commission européenne — Principes du RGPD(commission.europa.eu).gov
- Commission européenne — Responsable du traitement vs sous-traitant(commission.europa.eu).gov
- Commission européenne — La protection des données expliquée(commission.europa.eu).gov
- Commission européenne — Décisions d'adéquation(commission.europa.eu).gov
- Commission européenne — La protection des données dans l'UE(commission.europa.eu).gov
- ICO — Guide des principes de protection des données(ico.org.uk).gov
- Article 3 du RGPD — Champ d'application territorial(gdpr-info.eu)
- Article 5 du RGPD — Principes(gdpr-info.eu)
- Article 6 du RGPD — Licéité du traitement(gdpr-info.eu)
- RGPD chapitre 3 — Droits de la personne concernée(gdpr-info.eu)