RGPD

01 — DéfinitionQu'est-ce que le RGPD ?

Source officielle : présentation RGPD par la CNIL.

Pour le contexte plus large des obligations cyber d'une entreprise française, voir notre guide complet de la conformité cyber qui couvre RGPD, NIS2, DORA, Cyber Resilience Act, ISO 27001, SecNumCloud et HDS.

Le RGPD (Règlement général sur la protection des données, ou GDPR en anglais) est un règlement européen adopté en 2016 et entré en application le 25 mai 2018. Il uniformise dans toute l'Union européenne le cadre juridique du traitement des données personnelles et renforce significativement les droits des personnes concernées.

Le texte s'applique dès qu'un traitement de données à caractère personnel est effectué, soit par une organisation établie dans l'UE, soit par une organisation hors UE qui cible des résidents européens (extraterritorialité). Les données personnelles sont définies très largement : toute information permettant d'identifier directement ou indirectement une personne physique — nom, adresse, email, identifiant en ligne, données de localisation, identifiants techniques, données biométriques, opinions, comportements.

Le RGPD repose sur deux piliers complémentaires :

• Des droits renforcés pour les personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).
• Des obligations accrues pour les organisations qui traitent ces données (transparence, sécurité, documentation, notification des violations).

Le règlement est complété en France par la loi Informatique et Libertés (modifiée) et par les lignes directrices de la CNIL, qui est l'autorité de contrôle française. Au niveau européen, le CEPD (Comité européen de la protection des données) coordonne l'application entre États membres.

Le RGPD ne réglemente pas uniquement la vie privée : c'est aussi, et souvent d'abord, un texte de cybersécurité. L'article 32 impose explicitement des mesures techniques de sécurité des données.

02 — PrincipesLes 7 grands principes (article 5)

1. Licéité, loyauté, transparence

Tout traitement doit reposer sur une base légale explicite parmi six : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime. Les personnes doivent être informées clairement de ce qui est fait de leurs données, par qui et pourquoi.

2. Finalités limitées

Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être ensuite traitées pour d'autres finalités incompatibles. C'est ce qui interdit, par exemple, de collecter une adresse email pour une newsletter puis de l'utiliser à des fins de profilage publicitaire sans nouveau fondement.

3. Minimisation

Seules les données nécessaires à la finalité doivent être collectées. Pas de données « au cas où ». Principe structurant à l'opposé des pratiques passées de collecte large.

4. Exactitude

Les données doivent être exactes et tenues à jour. Les personnes doivent pouvoir demander la rectification de données inexactes.

5. Limitation de conservation

Les données ne doivent pas être conservées plus longtemps que nécessaire à la finalité. Chaque traitement doit définir une durée de conservation précise, au-delà de laquelle les données sont supprimées ou anonymisées.

6. Intégrité et confidentialité (sécurité)

Les données doivent être protégées contre les accès non autorisés, les pertes, les destructions accidentelles. C'est le principe qui fait du RGPD un texte de cybersécurité à part entière. Il se décline dans l'article 32 qui détaille les mesures attendues (chiffrement, pseudonymisation, résilience, tests réguliers).

7. Responsabilité (accountability)

Le responsable de traitement doit pouvoir démontrer sa conformité — pas juste la respecter en pratique, mais être capable de le prouver avec documentation, registres, procédures, traces.

03 — DroitsCe que le RGPD donne aux personnes

Droit à l'information

Toute collecte de données doit être accompagnée d'une information claire et accessible : qui traite les données, pour quoi, combien de temps, avec qui elles sont partagées, comment exercer ses droits. C'est la fonction des politiques de confidentialité et des mentions légales des formulaires.

Droit d'accès

Toute personne peut demander à une organisation la liste des données la concernant, leurs finalités, les destinataires et la durée de conservation. Réponse obligatoire sous un mois (prorogeable deux mois).

Droit de rectification

Correction des données inexactes, incomplètes ou obsolètes.

Droit à l'effacement (« droit à l'oubli »)

Suppression des données sous certaines conditions : fin de la finalité, retrait du consentement, opposition légitime, traitement illicite. Avec des limites (obligations légales, exercice de la liberté d'expression, archives, recherche).

Droit à la portabilité

Récupérer ses données dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement. Pertinent pour les services numériques (banque, réseaux sociaux, santé).

Droit d'opposition

Refuser qu'un traitement soit réalisé. Particulièrement fort pour le marketing direct : opposition inconditionnelle et à tout moment.

Droit à la limitation

Demander que le traitement soit « gelé » temporairement (données conservées mais non utilisées) en cas de contestation sur leur exactitude ou leur licéité.

Droits liés aux décisions automatisées

Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Particulièrement pertinent pour le scoring, l'IA, le recrutement automatisé, le crédit.

04 — ObligationsCe que le RGPD impose aux organisations

Tenir un registre des activités de traitement

Document central obligatoire pour les organisations de plus de 250 salariés (et en pratique pour toutes celles qui traitent des données sensibles ou à grande échelle). Il liste pour chaque traitement : finalité, base légale, catégories de données, destinataires, durées de conservation, mesures de sécurité.

Réaliser des analyses d'impact (AIPD)

Pour les traitements à risque élevé : données sensibles, grande échelle, surveillance systématique, profilage, nouvelles technologies. L'analyse d'impact (AIPD ou DPIA en anglais) évalue les risques pour les personnes et documente les mesures de réduction. La CNIL peut être consultée pour les cas les plus sensibles.

Désigner un DPO (Data Protection Officer)

Obligatoire pour les organismes publics, pour les activités qui nécessitent un suivi régulier et systématique à grande échelle, et pour les traitements à grande échelle de données sensibles. Le DPO est indépendant, reporte à la direction, peut être interne ou externe (DPO mutualisé).

Recueillir et gérer le consentement

Quand le consentement est la base légale, il doit être libre, spécifique, éclairé, univoque et facilement retirable. Pour les cookies, la CNIL impose depuis 2021 une bannière qui permet de refuser aussi facilement que d'accepter.

Encadrer les sous-traitants

Tout prestataire qui traite des données pour le compte d'un responsable doit être encadré par un contrat spécifique (article 28) qui définit les finalités, la durée, les mesures de sécurité, les conditions de sous-traitance ultérieure, la fin du contrat. Ce contrat s'appelle couramment un « DPA » (Data Processing Agreement).

Encadrer les transferts hors UE

Un transfert de données personnelles hors de l'Union européenne n'est autorisé que dans un cadre précis : pays offrant un niveau de protection adéquat (liste Commission européenne), clauses contractuelles types (CCT), BCR (règles d'entreprise contraignantes), ou dérogations ponctuelles. L'invalidation du Privacy Shield en 2020 (arrêt Schrems II) et l'accord ultérieur avec les États-Unis (Data Privacy Framework, 2023) ont modifié ce cadre, toujours contesté.

Mettre en œuvre la sécurité technique

Article 32 : mesures techniques et organisationnelles « appropriées » incluant explicitement : chiffrement, pseudonymisation, confidentialité, intégrité, disponibilité, résilience, capacité de rétablissement rapide après incident, procédures de test régulier. C'est le pont entre RGPD et cybersécurité.

Notifier les violations

Voir section dédiée. Délai strict de 72 heures à la CNIL, et information des personnes concernées si risque élevé.

05 — SécuritéPourquoi le RGPD est un texte de cybersécurité

L'article 32 du RGPD est central. Il impose aux responsables de traitement et aux sous-traitants de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques. La liste indicative inclut :

• La pseudonymisation et le chiffrement des données personnelles.
• Les capacités de confidentialité, intégrité, disponibilité et résilience constantes des systèmes.
• La capacité à rétablir la disponibilité et l'accès aux données en cas d'incident physique ou technique.
• Des procédures de test, d'analyse et d'évaluation régulière de l'efficacité des mesures.

Corollaires pratiques

• Chiffrement des bases de données contenant des données personnelles sensibles, y compris au repos.
• Chiffrement des sauvegardes et des canaux de transmission.
• Authentification forte (MFA, idéalement FIDO2) sur les systèmes traitant des données personnelles.
• Gestion stricte des accès (IAM) et principe du moindre privilège.
• Journalisation et supervision (SIEM, SOC) pour détecter les accès anormaux.
• Sauvegardes testées et plan de reprise — PRA structuré.
• Sensibilisation des collaborateurs aux bonnes pratiques et aux risques de phishing qui précèdent les fuites.
• Gestion des sous-traitants avec exigences de sécurité contractualisées.

Privacy by design et privacy by default

L'article 25 ajoute deux concepts fondamentaux :

• Privacy by design : intégrer la protection des données dès la conception des produits, services et traitements.
• Privacy by default : par défaut, seuls les traitements nécessaires doivent être actifs ; les options intrusives doivent nécessiter une action de l'utilisateur.

Ces principes se traduisent en exigences concrètes : collecte minimale, pseudonymisation dès que possible, paramètres par défaut respectueux de la vie privée, limitation automatique des conservations.

06 — ViolationNotification en cas de fuite de données

Une violation de données est tout incident portant atteinte à la confidentialité, à l'intégrité ou à la disponibilité des données personnelles — y compris accidentellement. Les cas typiques :

• Fuite suite à un ransomware ou un piratage.
• Vol ou perte d'un ordinateur portable non chiffré contenant des données.
• Envoi d'un email contenant des données personnelles aux mauvais destinataires.
• Accès non autorisé à une base par un collaborateur ou un prestataire.
• Destruction accidentelle de sauvegardes contenant des données.

Notification à la CNIL — 72 heures

Le délai court à compter de la prise de connaissance de la violation. La notification se fait via le formulaire en ligne de la CNIL et doit inclure :

• La nature de la violation (quoi, combien de personnes, quelles données).
• Les conséquences probables.
• Les mesures prises ou envisagées pour y remédier.
• Le point de contact (DPO ou référent).

Si toutes les informations ne sont pas disponibles sous 72 heures, la notification peut se faire de manière échelonnée (notification initiale puis compléments). Mieux vaut notifier dans le délai avec des informations partielles que dépasser le délai.

Exception — risque nul ou négligeable

Seule exception à la notification : si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes. Exemple classique : vol d'un disque correctement chiffré, sans compromission de la clé. Mais la documentation reste obligatoire, même sans notification.

Information des personnes concernées

Si la violation présente un risque élevé, les personnes concernées doivent aussi être informées directement, dans les meilleurs délais. Cette information doit être claire et inclure : la nature, les conséquences, les mesures prises, les recommandations pour la personne (changer ses mots de passe, surveiller ses comptes, etc.).

Documentation obligatoire

Toutes les violations doivent être documentées dans un registre interne, même celles qui ne nécessitent pas notification. Contenu : description de la violation, effets, mesures prises. Ce registre peut être demandé par la CNIL en cas de contrôle.

07 — SanctionsPlafonds et jurisprudence

Barème des sanctions

Le RGPD prévoit deux niveaux de sanctions administratives :

• Violations graves (article 83§5) : jusqu'à 20 millions d'euros ou 4% du CA mondial annuel, le montant le plus élevé étant retenu. Concerne les principes de base, les droits des personnes, les transferts hors UE.
• Violations moins graves (article 83§4) : jusqu'à 10 millions d'euros ou 2% du CA mondial annuel. Concerne les obligations formelles (registres, AIPD, sécurité).

Grandes sanctions prononcées

• Meta — 1,2 milliard € (DPC Irlande, 2023) : transferts illicites vers les États-Unis.
• Amazon — 746 millions € (CNPD Luxembourg, 2021) : ciblage publicitaire.
• Google — 150 millions € (CNIL, 2022) : non-respect des règles sur le refus des cookies.
• Meta — 405 millions € (DPC Irlande, 2022) : traitement des données de mineurs sur Instagram.
• Clearview AI — 20 millions € (CNIL, 2022) : collecte massive illicite de photos.
• Sanctions PME/ETI : majoritairement entre quelques milliers et quelques centaines de milliers d'euros, avec injonctions de mise en conformité.

Au-delà de l'amende

Les sanctions ne se limitent pas aux amendes. La CNIL peut :

• Prononcer un rappel à l'ordre public ou non.
• Ordonner la mise en conformité dans un délai défini.
• Limiter ou suspendre temporairement un traitement.
• Ordonner la suppression de données traitées illégalement.
• Publier ses décisions — impact réputationnel majeur.

Les actions civiles des personnes concernées (recours individuel ou action de groupe) peuvent s'ajouter aux sanctions administratives.

Tendances récentes

Les autorités de contrôle européennes ont renforcé leurs contrôles depuis 2022, avec plusieurs tendances claires : sanctions massives sur les GAFAM (transferts, consentement), sanctions plus fréquentes sur les PME pour défaut de sécurité (phishing réussi, ransomware), contrôles sectoriels thématiques (santé, éducation, ressources humaines).

08 — FAQQuestions fréquentes

Le RGPD s'applique-t-il aux TPE ?

Oui, sans seuil de taille. Toute organisation qui traite des données personnelles est concernée, même une TPE de 3 salariés avec une base de contacts clients. Les obligations sont proportionnées : une petite structure n'a pas les mêmes exigences documentaires qu'une grande. Mais les principes et les sanctions potentielles restent applicables.

Mes salariés ont-ils des droits RGPD ?

Oui, pleinement. Les données RH (paie, évaluations, email professionnel, vidéosurveillance) sont des données personnelles protégées. Les salariés peuvent exercer tous leurs droits : accès à leur dossier, rectification, limitation, parfois effacement. Les outils de surveillance (badge, géolocalisation véhicule, contrôle des emails) doivent être déclarés, proportionnés, et faire l'objet d'information préalable.

Comment se préparer à un contrôle CNIL ?

Documenter, documenter, documenter. Le principe d'accountability impose de pouvoir démontrer sa conformité. Les essentiels : registre des traitements à jour, politique de confidentialité claire et accessible, preuves de recueil du consentement, DPA avec les sous-traitants, traces des demandes d'exercice de droits, analyses d'impact pour les traitements à risque, documentation des mesures de sécurité. Un audit RGPD annuel interne ou externe est une bonne pratique.

Les cookies sont-ils couverts par le RGPD ?

Partiellement. Les règles sur les cookies proviennent principalement de la directive ePrivacy, transposée en France à l'article 82 de la loi Informatique et Libertés. Le RGPD s'applique en complément quand les cookies traitent des données personnelles. La CNIL a publié des recommandations précises en 2020 (bannière acceptant et refusant aussi facilement) dont le non-respect a entraîné les sanctions Google et Facebook de 150 M€ et 60 M€.

Puis-je utiliser l'IA générative sans violer le RGPD ?

Avec précaution. Envoyer des données personnelles à ChatGPT, Claude, Gemini ou d'autres services IA hors UE pose plusieurs questions : transfert hors UE, base légale, durée de conservation des prompts, utilisation pour l'entraînement. Les offres entreprise (Azure OpenAI, Claude Enterprise, Gemini Workspace) avec contrats et hébergement européens résolvent une partie du problème. L'AI Act européen, entré en application progressivement à partir de 2025, ajoute une couche réglementaire spécifique complémentaire du RGPD.