10 ans du RGPD : l'EDPB acte la décennie de l'enforcement, pas de l'allègement
Le 27 avril 2026 marque les dix ans de l'adoption du Règlement général sur la protection des données. À l'occasion de cet anniversaire, l'EDPB publie un bilan officiel et rappelle ce que le texte est devenu : non plus un règlement isolé, mais la pierre angulaire d'un écosystème numérique européen qui inclut désormais le DSA, le DMA et l'AI Act. Pour les DPO, le message est clair : la décennie qui s'ouvre sera celle de l'articulation, pas de la simplification.
Ce qui s'est passé
Le 27 avril 2016, le Parlement européen adoptait le RGPD. Dix ans plus tard, l'EDPB publie une déclaration officielle depuis Bruxelles qui dresse le bilan de la décennie écoulée. Trois constats structurent le document.
D'abord, la création même de l'EDPB. Le RGPD a entraîné la naissance du Comité européen de la protection des données le 25 mai 2018, en remplacement du Groupe de l'article 29. Cette refonte a donné aux 31 autorités nationales — dont la CNIL — un cadre de coopération renforcé et des pouvoirs d'enforcement transfrontaliers inédits.
Ensuite, l'élargissement du périmètre des autorités de contrôle. Avant le RGPD, les DPA traitaient principalement des plaintes de conformité nationale. Aujourd'hui, elles instruisent en routine des dossiers transfrontaliers complexes via le mécanisme du guichet unique. Le rapport annuel 2025 de l'EDPB en témoigne : 1,15 milliard d'euros d'amendes prononcées et 572 décisions finales en une seule année.
Enfin, l'inscription du RGPD dans un cadre numérique élargi. L'EDPB rappelle que le règlement coexiste désormais avec le Digital Services Act, le Digital Markets Act et l'AI Act. La protection des données n'est plus une matière autonome : elle est un fil rouge qui traverse l'ensemble de la régulation numérique européenne.
Pourquoi c'est important
L'anniversaire intervient à un moment charnière. La Commission européenne a engagé un cycle de simplification réglementaire, dont les propositions Digital Omnibus sont la pièce centrale : redéfinition du périmètre des données personnelles, assouplissement des règles sur les décisions automatisées, report de certaines obligations de l'AI Act. La déclaration de l'EDPB n'est donc pas qu'un exercice commémoratif — elle s'inscrit dans un débat institutionnel ouvert sur ce qui doit rester intangible et ce qui peut bouger.
L'EDPS pousse dans la même direction : il revendique un rôle d'autorité de surveillance du marché pour l'AI Act et un guichet unique pour les notifications de violations cyber. Tout indique que les régulateurs européens cherchent à tenir une ligne commune face aux pressions de simplification.
Pour les organisations, cela veut dire qu'aucun arbitrage interne ne devrait reposer sur l'hypothèse que le RGPD va se simplifier dans son cœur. Les amendes continuent d'augmenter, les coopérations transfrontalières s'intensifient, et l'EDPB rappelle explicitement que « le progrès technologique doit aller de pair avec la protection des droits fondamentaux ».
Ce que ça change pour les organisations
Trois actions concrètes à prioriser pour les DPO et responsables conformité :
1. Cartographier les recouvrements RGPD / DSA / DMA / AI Act. Les régulateurs européens raisonnent désormais en pile réglementaire. Identifier les traitements concernés simultanément par plusieurs textes est devenu un prérequis pour piloter sa conformité — et pour anticiper les décisions du prochain événement EDPB du 29 juin 2026 sur l'articulation concurrence/RGPD.
2. Réauditer ses traitements à dix ans. Beaucoup de registres ont été constitués entre 2017 et 2018, puis maintenus à la marge. Les autorités contrôlent désormais leur actualité, leur granularité, et la cohérence avec les pratiques réelles. Un audit RGPD complet est l'outil pour reprendre la main avant un contrôle.
3. Documenter le rôle du DPO comme point de contact des régulateurs. Avec la montée en charge des procédures transfrontalières, le DPO devient l'interface privilégiée entre l'organisation et les autorités. Sa désignation, son indépendance et son accès direct à la direction doivent être traçables.
Ce que Leto pense de cette décision
La déclaration de l'EDPB est sobre, mais son timing n'est pas neutre. À dix ans, le RGPD n'est plus un règlement à conquérir — c'est un acquis à défendre. Le message subliminal des autorités est limpide : aucune simplification ne doit servir d'alibi à un recul des droits. Les DPO qui croiraient pouvoir desserrer leur conformité au prétexte d'un cycle politique différent se trompent de signal. La décennie 2026-2036 sera celle de l'enforcement, pas de l'allègement.
Sources :
