Une définition simple du RGPD : Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen en vigueur depuis le 25 mai 2018 qui encadre le traitement des données personnelles des citoyens de l'UE. Il impose aux entreprises des obligations de transparence, de conservation limitée et de sécurité des données.
Le RGPD, c'est quoi ? Définition et signification
Le RGPD (Règlement Général sur la Protection des Données, Règlement (UE) 2016/679) est entré en vigueur le 25 mai 2018. Il remplace la directive 95/46/CE et uniformise la protection des données personnelles dans l'Union européenne.
Il s'applique à toute organisation — entreprise, association, administration — qui collecte, stocke ou traite des données personnelles de résidents de l'UE, quelle que soit leur localisation géographique.
RGPD : l'acronyme
RGPD = Règlement Général sur la Protection des Données. En anglais : GDPR (General Data Protection Regulation).
Mais concrètement, à quoi sert le RGPD ?
Le RGPD a trois objectifs principaux : (1) renforcer les droits des individus sur leurs données personnelles, (2) responsabiliser les organisations qui traitent ces données, (3) harmoniser les règles au sein de l'Union européenne pour faciliter la libre circulation des données.
Le RGPD en chiffres clés (2025-2026)
Depuis son entrée en vigueur, le RGPD a transformé le paysage de la protection des données en Europe.
Qui est concerné par le RGPD ?
Le RGPD s'applique à toute organisation qui traite des données personnelles de personnes situées dans l'Union européenne — même si l'organisation est basée hors UE. Les critères clés sont : (1) vous collectez des données de résidents UE, (2) vous leur proposez des biens ou services, ou (3) vous surveillez leur comportement.
Quels sont les objectifs du RGPD ?
Le RGPD vise à donner aux citoyens européens le contrôle sur leurs données personnelles, tout en créant un cadre juridique harmonisé pour les entreprises opérant dans l'UE. Il remplace la fragmentation des législations nationales par un règlement unique directement applicable dans les 27 États membres.
Quels sont les 5 grands principes du RGPD ?
L'article 5 du RGPD pose les bases de toute la réglementation à travers 5 principes fondamentaux.
1. Principe de finalité
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Vous ne pouvez pas collecter des données "au cas où" ou les réutiliser pour un usage non prévu.
2. Principe de minimisation
Seules les données strictement nécessaires à la finalité peuvent être collectées. Pas de collecte excessive.
3. Principe de durée limitée
Les données ne peuvent être conservées que le temps nécessaire à la finalité. Au-delà, elles doivent être supprimées ou anonymisées.
4. Principe de sécurité
Des mesures techniques et organisationnelles appropriées doivent être mises en place pour protéger les données contre les accès non autorisés, pertes ou divulgations.
5. Principe des droits des personnes
Les personnes dont vous traitez les données disposent de droits : accès, rectification, effacement, portabilité, opposition et limitation.
Quelle est la différence entre la CNIL et le RGPD ?
Le RGPD est un règlement européen — c'est le texte de loi. La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité administrative française chargée de faire respecter le RGPD en France. Elle enquête, contrôle et sanctionne les organisations non conformes.
Bilan CNIL 2025 : les chiffres clés
En 2025, la CNIL a prononcé 87 sanctions, représentant un record d'amendes. Les secteurs les plus touchés : santé, commerce électronique et ressources humaines.
Est-ce que le RGPD est obligatoire ?
Oui. Le RGPD est un règlement européen à application directe dans les 27 États membres depuis le 25 mai 2018. Il n'y a pas de "choix" d'application : dès que vous traitez des données personnelles de résidents UE, vous êtes concerné. Les entreprises hors UE qui ciblent des résidents européens y sont également soumises.
Quand faut-il s'occuper du RGPD ?
Dès que vous collectez, stockez ou traitez des données personnelles — email client, adresse IP, photo, prénom, numéro de téléphone. En pratique, toute entreprise avec un site web, un CRM, une RH ou un service clients est concernée. Ne pas attendre un contrôle CNIL pour agir : les sanctions peuvent atteindre 20M€ ou 4% du CA mondial.
Quelles sanctions en cas de non-conformité ?
Le RGPD prévoit deux niveaux de sanctions administratives, auxquels s'ajoutent des sanctions pénales et des recours civils des personnes concernées.
Top 5 des amendes CNIL en 2025 :
Les sanctions CNIL ont atteint un record en 2025 avec 478 millions d'euros d'amendes prononcées, dont plusieurs concernant des grands groupes pour des manquements à la sécurité des données ou au droit d'opposition.
Les 3 niveaux de sanctions RGPD
Niveau 1 : amendes jusqu'à 10M€ ou 2% du CA mondial annuel. Niveau 2 : amendes jusqu'à 20M€ ou 4% du CA mondial annuel. Sanctions pénales : jusqu'à 5 ans d'emprisonnement et 300 000€ d'amende pour les personnes physiques responsables.
Quelques définitions clés du RGPD
Pour appliquer correctement le RGPD, certains concepts fondamentaux sont à maîtriser.
Qu'est-ce qu'une donnée personnelle ? (définition RGPD)
Toute information permettant d'identifier directement ou indirectement une personne physique : nom, prénom, email, adresse IP, cookie, numéro de téléphone, photo, données de localisation, identifiant en ligne...
Qu'est-ce que le Privacy by Design ?
Le principe de Privacy by Design (vie privée dès la conception) impose d'intégrer la protection des données dès la conception d'un service ou d'un produit, et non en fin de développement. C'est une obligation du RGPD (article 25).
Qu'est-ce que l'analyse d'impact sur la vie privée ?
L'AIPD (Analyse d'Impact relative à la Protection des Données, ou PIA) est une évaluation obligatoire pour les traitements présentant des risques élevés pour les droits des personnes (vidéosurveillance à grande échelle, profilage, données sensibles).
Qu'est-ce que le Délégué à la Protection des Données (DPO) ?
Le DPO (Data Protection Officer) est le référent RGPD au sein d'une organisation. Sa désignation est obligatoire pour les organismes publics, les entreprises dont l'activité principale nécessite un suivi régulier et à grande échelle des personnes, et celles traitant des données sensibles à grande échelle.
Comment être conforme au RGPD ? Guide pratique 2026
La conformité RGPD n'est pas un projet ponctuel mais un processus continu. Les étapes clés : (1) cartographier les traitements (registre), (2) évaluer les risques et réaliser les AIPD nécessaires, (3) mettre en place les mesures de sécurité, (4) gérer les droits des personnes, (5) encadrer les sous-traitants, (6) documenter et maintenir à jour.
RGPD en pratique : ce que doit faire un DPO dans une ETI de 100 à 5 000 salariés
Pour un DPO en ETI, la conformité RGPD repose sur 5 priorités opérationnelles clés.
Les 5 priorités opérationnelles d'un DPO en ETI
1. Maintenir le registre des traitements à jour. 2. Réaliser les AIPD pour les traitements à risque. 3. Gérer les demandes de droits des personnes (DSAR) dans les délais légaux. 4. Encadrer les sous-traitants (DPA). 5. Former et sensibiliser les équipes.
Gérer les sous-traitants : DPA et inventaire obligatoire
Tout sous-traitant qui traite des données pour votre compte doit signer un accord de traitement des données (DPA, article 28 RGPD). Sans DPA signé, vous êtes exposé en cas de contrôle CNIL. Un inventaire des sous-traitants avec leur DPA est indispensable.
Répondre aux demandes d'exercice de droits (DSAR) : procédure et délais
Les personnes concernées peuvent exercer leurs droits (accès, rectification, effacement, portabilité, opposition). Délai de réponse : 1 mois (extensible à 3 mois pour les demandes complexes). Une procédure documentée et un registre des DSAR sont obligatoires.
Audit RGPD annuel : par où commencer ?
Un audit annuel permet de maintenir la conformité. Points à vérifier : registre des traitements mis à jour, AIPD réalisées, DPA signés, politiques de confidentialité actualisées, incidents de sécurité documentés, formations réalisées.
RGPD et AI Act : Convergence 2026
Qu'est-ce que l'AI Act ?
L'AI Act (Règlement (UE) 2024/1689) est le premier cadre juridique européen sur l'Intelligence Artificielle, entré en vigueur le 1er août 2024.
RGPD + AI Act : Les nouvelles obligations 2026
Si votre entreprise utilise des outils d'IA (ChatGPT, Copilot, IA de recrutement...), vous devez désormais respecter :
1. AIPD obligatoire pour IA à haut risque
Les systèmes d'IA suivants nécessitent une Analyse d'Impact relative à la Protection des Données (AIPD) :
- IA de recrutement (tri automatique de CV)
- IA de scoring / notation des personnes
- Reconnaissance biométrique
- IA de gestion des performances salariés
- Systèmes de recommandation à grande échelle
En pratique : Si vous utilisez un ATS (logiciel de recrutement) avec IA, vous DEVEZ faire une AIPD AVANT de le déployer.
2. Documentation technique renforcée
- Comment fonctionne votre IA (algorithme, données d'entraînement)
- Où sont hébergées les données (UE, USA avec Data Privacy Framework ?)
- Quelles mesures de sécurité sont en place
Pour l'audit de vos sous-traitants IA, consultez notre guide sur l'audit IA des sous-traitants.
3. Transparence obligatoire
Vous devez informer explicitement les personnes concernées.
4. Contrôle humain ("human-in-the-loop")
Aucune décision 100% automatisée ayant un impact juridique ou significatif sur une personne n'est autorisée sans revue humaine.
Sanctions AI Act + RGPD cumulées
En cas de manquement, vous risquez des sanctions sur 2 fronts :
- RGPD (données personnelles) : 20M€ ou 4% CA
- AI Act (IA interdite) : 35M€ ou 7% CA
- AI Act (IA haut risque) : 15M€ ou 3% CA
Attention, aujourd'hui :
- 67% des entreprises françaises utilisent l'IA sans avoir réalisé d'AIPD (CNIL, Janvier 2026)
- 42% ne savent pas où sont hébergées les données traitées par leurs outils IA
- 3,2 milliard € d'amendes RGPD liées à l'IA en Europe (2025)
Nouveautés RGPD 2026 : ce qui change
Le cadre RGPD continue d'évoluer en 2026. Voici les principales nouveautés à connaître pour rester conforme.
Nouvelles lignes directrices EDPB sur l'IA et les données personnelles
Le Comité européen de la protection des données (EDPB) a publié en 2025 des lignes directrices précisant comment le RGPD s'applique aux systèmes d'IA générative. Point clé : les données d'entraînement utilisant des données personnelles accessibles en ligne constituent un traitement soumis au RGPD, même si ces données sont publiques.
Priorités de contrôle CNIL 2026
La CNIL a annoncé ses secteurs prioritaires pour 2026 :
- Secteur de la santé (dossiers patients, télémédecine, appareils connectés)
- Gestion RH et surveillance des salariés via outils IA
- Courtiers en données (data brokers) et ciblage publicitaire
Pour les ETI des secteurs ciblés, une revue de conformité proactive avant contrôle est recommandée.
Transferts hors UE : où en est le Data Privacy Framework en 2026 ?
Le Data Privacy Framework UE-USA (en vigueur depuis juillet 2023) reste applicable en 2026. L'EDPB a durci l'analyse des transferts vers les pays tiers hors cadre d'adéquation via les Lignes directrices 2/2024 sur les outils de transfert. Pour les sous-traitants localisés hors UE (Inde, Maroc, Philippines notamment), une mise à jour des clauses contractuelles types (CCT) et des évaluations de transfert (TIA) est à prévoir.
Questions fréquemment posées sur le RGPD
Qu'est-ce que le RGPD ? (Définition simple)
Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen n°2016/679 qui encadre le traitement des données personnelles depuis le 25 mai 2018. Il s'applique à toute organisation qui collecte des informations permettant d'identifier une personne physique en Europe.
Quels sont les 5 principes fondamentaux du RGPD ?
Les 5 principes du RGPD (article 5) sont : 1) Finalité - objectif précis et légitime ; 2) Minimisation - données strictement nécessaires ; 3) Durée limitée - conservation temporaire ; 4) Sécurité - protection contre accès non autorisé ; 5) Droits des personnes - accès, rectification, suppression.
Quelle est la différence entre la CNIL et le RGPD ?
Le RGPD est un règlement européen (texte de loi). La CNIL est l'autorité française qui fait appliquer ce règlement. Le RGPD fixe les règles, la CNIL les fait respecter en France via contrôles et sanctions jusqu'à 20 millions d'euros.
Quelles sont les sanctions RGPD en 2026 ?
Sanctions administratives (20M€ ou 4% CA), pénales (5 ans prison, 300 000€), civiles (dommages). Record 2025 : 478M€ d'amendes CNIL. Avec l'AI Act 2026, sanctions cumulables jusqu'à 35M€ ou 7% du CA.
Qui est concerné par le RGPD ?
Toute organisation collectant des données personnelles de personnes en UE : TPE, PME, ETI, grands groupes, B2B, B2C, même hors UE si ciblant des Européens. Les sous-traitants sont également concernés.
Faut-il se doter d'un outil spécifique pour répondre au RGPD ?
Le RGPD responsabilise les différents acteurs qui doivent être capables de démontrer le bon respect des règles.
Il est donc vital d'instaurer de nouvelles procédures pour s'assurer d'être conforme au RGPD.
Certains outils informatiques, comme Leto, peuvent aider à minimiser les risques de sanctions.
Si vous traitez et stockez de nombreuses données personnelles, les vérifications manuelles auront rapidement une limite. Il faudra alors penser à automatiser vos processus en matière de données personnelles.
👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !
