Comprendre le RGPD

Qu'est-ce que le RGPD ? Définition, principes et enjeux

Le Règlement Général sur la Protection des Données est le texte de référence en matière de protection des données personnelles en Europe. Entré en vigueur le 25 mai 2018, il concerne toutes les organisations, de la TPE au grand groupe.

Lire le guide complet Tester Dativo gratuitement

Définition du RGPD

Le RGPD (Règlement Général sur la Protection des Données), ou GDPR en anglais (General Data Protection Regulation), est le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Il est entré en application le 25 mai 2018 dans l'ensemble des États membres de l'Union européenne, remplaçant la directive 95/46/CE qui était en vigueur depuis 1995. Contrairement à une directive, le RGPD est un règlement : il s'applique directement, sans transposition nationale.

Son objectif principal est de renforcer les droits des personnes physiques sur leurs données personnelles, tout en harmonisant les règles au sein de l'UE pour créer un cadre juridique unique. Il vise également à responsabiliser les organisations qui collectent et traitent ces données, en introduisant le principe d'accountability (obligation de rendre des comptes).

En France, le RGPD est complété par la loi Informatique et Libertés (modifiée en 2018) et supervisé par la CNIL (Commission Nationale de l'Informatique et des Libertés), l'autorité de contrôle française.

Les 7 principes fondamentaux du RGPD

L'article 5 du RGPD énonce les principes que toute organisation doit respecter lors du traitement de données personnelles.

1. Licéité, loyauté, transparence

Les données doivent être traitées de manière licite, loyale et transparente. La personne concernée doit être informée clairement de l'utilisation de ses données et pouvoir exercer ses droits.

2. Limitation des finalités

Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être réutilisées pour un autre objectif incompatible avec la finalité initiale.

3. Minimisation des données

Seules les données strictement nécessaires à la finalité déclarée doivent être collectées. Pas de collecte « au cas où » : chaque donnée doit avoir une justification précise.

4. Exactitude

Les données personnelles doivent être exactes et tenues à jour. Toute donnée inexacte doit être rectifiée ou effacée dans les meilleurs délais.

5. Limitation de la conservation

Les données ne doivent pas être conservées plus longtemps que nécessaire. Des durées de conservation doivent être définies et respectées, avec un processus de purge automatique ou régulier.

6. Intégrité et confidentialité

Les données doivent être protégées contre les accès non autorisés, la perte ou la destruction. Des mesures techniques et organisationnelles appropriées doivent être mises en place (chiffrement, contrôle d'accès, sauvegardes).

7. Responsabilité (Accountability)

Le responsable de traitement doit pouvoir démontrer sa conformité au RGPD. Il ne suffit pas d'être conforme : il faut documenter, tracer et prouver les mesures prises.

Qui est concerné par le RGPD ?

Le champ d'application du RGPD est très large. Il concerne toute organisation, quelle que soit sa taille ou sa nature juridique, dès lors qu'elle traite des données personnelles.

Concrètement, sont concernés :

  • Les entreprises (de la micro-entreprise au grand groupe), qu'elles soient établies dans l'UE ou non, dès lors qu'elles ciblent des résidents européens.
  • Les associations qui gèrent un fichier d'adhérents, de donateurs ou de bénévoles.
  • Les administrations publiques et collectivités territoriales.
  • Les professions libérales (médecins, avocats, comptables) qui traitent des données de patients ou de clients.
  • Les sous-traitants qui traitent des données pour le compte d'un responsable de traitement (hébergeurs, prestataires informatiques, agences marketing).

Le critère n'est pas la taille de l'organisation, mais le fait qu'elle traite des données personnelles — c'est-à-dire toute information permettant d'identifier directement ou indirectement une personne physique : nom, email, adresse IP, numéro de téléphone, données de localisation, identifiant en ligne, etc.

Même une TPE de quelques salariés est concernée si elle gère un fichier clients ou utilise un logiciel de paie.

Les acteurs clés du RGPD

Le RGPD définit plusieurs rôles avec des responsabilités distinctes.

Responsable de traitement

C'est la personne physique ou morale qui détermine les finalités et les moyens du traitement. En pratique, c'est l'entreprise ou l'organisation qui décide pourquoi et comment les données sont collectées. C'est elle qui porte la responsabilité principale de la conformité.

Sous-traitant

Toute entité qui traite des données pour le compte du responsable de traitement. Exemples : hébergeur cloud, prestataire de paie, outil d'emailing. Le sous-traitant a des obligations propres (article 28) et doit garantir un niveau de sécurité adéquat.

Délégué à la Protection des Données (DPO)

Le DPO est le garant de la conformité au sein de l'organisation. Sa désignation est obligatoire pour les organismes publics, les entreprises traitant des données à grande échelle et celles traitant des données sensibles. Il informe, conseille et contrôle.

CNIL (autorité de contrôle)

En France, la CNIL est l'autorité indépendante chargée de veiller au respect du RGPD. Elle informe, accompagne, contrôle et sanctionne. Chaque État membre dispose de sa propre autorité de contrôle (ICO au Royaume-Uni, BfDI en Allemagne, etc.).

Principales obligations du RGPD

Le RGPD impose un ensemble d'obligations concrètes aux organisations. Voici les plus importantes.

  1. Tenir un registre des traitements (article 30) — Document central qui répertorie l'ensemble des activités de traitement de données. Consultez notre guide dédié : registre des traitements.
  2. Réaliser des analyses d'impact (AIPD) — Obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (vidéosurveillance, scoring, profilage).
  3. Notifier les violations de données — En cas de fuite ou de violation, le responsable de traitement doit prévenir la CNIL sous 72 heures et, si le risque est élevé, informer également les personnes concernées.
  4. Respecter les droits des personnes — Accès, rectification, effacement, portabilité, opposition : le RGPD confère 8 droits fondamentaux aux individus que les organisations doivent respecter.
  5. Appliquer le Privacy by Design — La protection des données doit être intégrée dès la conception des produits, services et systèmes d'information, et non ajoutée après coup.
  6. Encadrer la sous-traitance (article 28) — Tout contrat avec un sous-traitant doit inclure des clauses spécifiques sur la protection des données.

Les droits des personnes selon le RGPD

Le RGPD renforce considérablement les droits des individus sur leurs données. Toute personne physique dispose de 8 droits fondamentaux.

  • Droit d'accès (article 15) — Obtenir la confirmation que des données sont traitées et en recevoir une copie.
  • Droit de rectification (article 16) — Faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (article 17) — Demander la suppression de ses données dans certaines conditions.
  • Droit à la portabilité (article 20) — Récupérer ses données dans un format structuré et les transmettre à un autre responsable.
  • Droit à la limitation (article 18) — Obtenir la limitation du traitement dans certains cas (vérification d'exactitude, contestation).
  • Droit d'opposition (article 21) — S'opposer à un traitement, notamment à des fins de prospection commerciale.
  • Droit lié aux décisions automatisées (article 22) — Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.
  • Droit à l'information (articles 13-14) — Être informé de la collecte et de l'utilisation de ses données.

Pour une analyse détaillée de chaque droit, consultez notre page dédiée : Les 8 droits des personnes selon le RGPD.

Les sanctions en cas de non-respect du RGPD

Le RGPD a introduit un régime de sanctions dissuasif, proportionnel à la gravité des manquements constatés.

Deux niveaux d'amendes administratives existent :

  • Niveau 1 : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial — pour les manquements techniques (registre, notification, AIPD).
  • Niveau 2 : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — pour les violations des droits fondamentaux, du consentement ou des transferts internationaux.

Au-delà des amendes, les conséquences incluent également l'atteinte à la réputation, la perte de confiance des clients et les poursuites judiciaires. Pour découvrir des exemples concrets et les montants prononcés par la CNIL, consultez notre page : Sanctions RGPD : amendes, risques et exemples.

Pour aller plus loin

Explorez nos guides thématiques pour approfondir chaque sujet.

Obligations RGPD des entreprises

Checklist complète des obligations : registre, DPO, AIPD, consentement, notification des violations, formation des collaborateurs.

Sanctions RGPD : amendes et exemples

Les deux niveaux de sanctions, des exemples concrets de décisions CNIL et les bonnes pratiques pour éviter les pénalités.

Les 8 droits des personnes

Accès, rectification, effacement, portabilité, opposition : détail de chaque droit et comment les gérer dans votre organisation.

Logiciel RGPD : le guide complet

Comment choisir un logiciel RGPD adapté à votre structure ? Fonctionnalités essentielles, critères de choix et comparatif.

Questions fréquentes sur le RGPD

Le RGPD est un règlement européen entré en vigueur le 25 mai 2018. Il encadre la collecte, le stockage et l'utilisation des données personnelles par toute organisation opérant dans l'Union européenne ou traitant des données de résidents européens. Son objectif : protéger les individus et leur donner le contrôle sur leurs données.

Toute organisation (entreprise, association, administration) qui collecte ou traite des données personnelles de résidents de l'UE est concernée, quelle que soit sa taille ou son lieu d'implantation. Une PME française comme une multinationale américaine sont soumises au RGPD si elles traitent des données de citoyens européens.

Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). La CNIL peut également prononcer des mises en demeure, des injonctions et des avertissements. Découvrez des exemples concrets sur notre page sanctions RGPD.

Une donnée personnelle est toute information permettant d'identifier directement ou indirectement une personne (nom, email, adresse IP). Les données sensibles sont une catégorie particulière : origine ethnique, opinions politiques, données de santé, orientation sexuelle, etc. Leur traitement est en principe interdit, sauf exceptions légales strictement encadrées.

Non, un logiciel RGPD n'est pas légalement obligatoire. Cependant, il simplifie considérablement la mise en conformité en centralisant le registre des traitements, la gestion des droits et la documentation. Pour les organisations sans expertise juridique interne, c'est un gain de temps et de fiabilité considérable. Découvrez ce qu'un logiciel RGPD peut vous apporter.

Passez de la théorie à la pratique

Comprendre le RGPD, c'est bien. Le mettre en œuvre concrètement, c'est mieux. Dativo vous accompagne pas à pas dans votre mise en conformité.

Essayer Dativo gratuitement