Règlement (UE) 2016/679 — Règlement général sur la protecti

Mon traitement de données résiste-t-il à un contrôle de la CNIL, et combien coûte la prochaine erreur ?

Toute organisation traitant des données à caractère personnel doit pouvoir démontrer sa conformité au RGPD à tout moment — en cas d'infraction, les amendes atteignent 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial, et le délai de notification de 72 heures en cas de violation court en permanence.

Réponse courte

Le RGPD impose au responsable du traitement une obligation de responsabilité (accountability) : il ne suffit pas de respecter les principes de licéité, de loyauté, de transparence, de minimisation et d'exactitude — il faut pouvoir le démontrer à tout moment [art. 5, par. 2]. Chaque traitement exige un fondement juridique documenté parmi les six bases énumérées de manière exhaustive [art. 6, par. 1]. Les catégories particulières de données — données de santé, biométriques, génétiques, opinions politiques — sont soumises à une interdiction de principe assortie d'exceptions limitatives [art. 9]. Le responsable du traitement doit mettre en oeuvre des mesures techniques et organisationnelles garantissant la protection des droits des personnes concernées — accès, rectification, effacement, portabilité — dès la conception et par défaut [art. 24, art. 25].

Concernés

Est concernée toute personne physique ou morale, autorité publique ou organisme qui, en qualité de responsable du traitement ou de sous-traitant, traite des données à caractère personnel [art. 4, points 7 et 8]. Le RGPD s'applique dès lors que le traitement est effectué dans le cadre des activités d'un établissement dans l'Union (principe d'établissement) ou lorsque des biens ou services sont proposés à des personnes dans l'Union ou que leur comportement est suivi (principe du ciblage) [art. 3]. Une exemption allégée du registre existe pour les entreprises de moins de 250 employés, à condition que le traitement soit occasionnel, ne comporte pas de risque et ne porte pas sur des catégories particulières [art. 30, par. 5].

Échéance

Le RGPD est applicable depuis le 25 mai 2018 [art. 99, par. 2]. Obligations permanentes en cours : notification d'une violation de données à l'autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance [art. 33, par. 1] ; communication à la personne concernée sans délai en cas de risque élevé [art. 34, par. 1] ; réponse aux demandes d'exercice des droits (accès, effacement, rectification) dans un délai d'un mois, prolongeable de deux mois [art. 12, par. 3].

Risque

Les infractions les plus graves — principes de traitement [art. 5], bases juridiques [art. 6], conditions du consentement [art. 7], droits des personnes concernées [art. 12 à 22] — sont passibles d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu [art. 83, par. 5]. Pour les autres manquements — registre des activités [art. 30], analyse d'impact [art. 35], sécurité [art. 32] — l'amende peut atteindre 10 000 000 EUR ou 2 % du chiffre d'affaires [art. 83, par. 4]. S'y ajoute un droit à réparation pour tout dommage matériel ou moral subi du fait d'une violation du règlement [art. 82, par. 1].

Preuves

Statut juridique

• En vigueur
• au 2026-04-15
• Version consolidée du 4 mai 2016, dernière rectification JO L 127 du 23.5.2018

Sources primaires

• EUR-Lex — Texte intégral du RGPD
• CEPD / EDPB — Lignes directrices contraignantes sur le RGPD
• CNIL — Autorité française de protection des données

À faire maintenant

Juridique / DPO

•Tenez et mettez à jour un registre complet des activités de traitement comportant les finalités, catégories de données, destinataires, transferts vers des pays tiers et délais d'effacement prévus [art. 30, par. 1].
•Vérifiez et documentez le fondement juridique applicable à chaque activité de traitement parmi le catalogue exhaustif de l'article 6, paragraphe 1, et assurez-vous de pouvoir le démontrer à tout moment [art. 5, par. 2].
•Concluez avec chaque sous-traitant un contrat couvrant au minimum les éléments obligatoires de l'article 28, paragraphe 3 — objet, durée, nature et finalité du traitement, catégories de personnes concernées, instructions documentées et droit d'audit [art. 28].

Conformité

•Mettez en place un processus de réponse aux incidents garantissant la notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance d'une violation de données, documentation de chaque incident incluse [art. 33].
•Réalisez une analyse d'impact relative à la protection des données (AIPD) avant tout traitement susceptible d'engendrer un risque élevé pour les droits des personnes, et consultez l'autorité de contrôle en cas de risque résiduel élevé [art. 35, art. 36].
•Désignez un délégué à la protection des données (DPD) lorsque vos activités de base consistent en un suivi régulier et systématique à grande échelle des personnes concernées ou en un traitement à grande échelle de catégories particulières de données [art. 37, par. 1].

IT / Sécurité

•Mettez en oeuvre des mesures techniques et organisationnelles conformes à l'état de l'art — notamment la pseudonymisation et le chiffrement — pour garantir un niveau de sécurité adapté au risque [art. 32, par. 1, point a)].
•Assurez la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement par une architecture et une redondance appropriées [art. 32, par. 1, point b)].
•Établissez une procédure testée permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique [art. 32, par. 1, point c)].

Produit / Ingénierie

•Intégrez la protection des données dès la conception (privacy by design) et la protection des données par défaut (privacy by default) à chaque phase du développement — de la conception à l'exploitation [art. 25, par. 1 et 2].
•Appliquez la minimisation des données comme réglage technique par défaut : seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement doivent être collectées et conservées [art. 5, par. 1, point c), art. 25, par. 2].
•Concevez les interfaces utilisateur de sorte que les informations relatives à la protection des données soient fournies de manière transparente, compréhensible et aisément accessible, et que le consentement soit recueilli par un acte positif clair [art. 12, par. 1, art. 7, par. 1].

Termes clés

Responsable du traitement: Personne physique ou morale, autorité publique, service ou organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel [art. 4, point 7].
Sous-traitant: Personne physique ou morale, autorité publique, service ou organisme qui traite des données à caractère personnel pour le compte du responsable du traitement [art. 4, point 8].
Traitement: Toute opération ou ensemble d'opérations appliquées à des données à caractère personnel — collecte, enregistrement, organisation, conservation, adaptation, extraction, consultation, utilisation, communication, effacement ou destruction [art. 4, point 2].
Pseudonymisation: Traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne précise sans recours à des informations supplémentaires conservées séparément et protégées par des mesures techniques et organisationnelles [art. 4, point 5].
Consentement: Manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, le traitement de ses données [art. 4, point 11].
Violation de données à caractère personnel: Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel — en principe à notifier dans les 72 heures [art. 4, point 12, art. 33].
Analyse d'impact relative à la protection des données (AIPD): Évaluation systématique de l'impact des opérations de traitement envisagées sur la protection des données, obligatoire avant tout traitement susceptible d'engendrer un risque élevé pour les droits des personnes concernées [art. 35].

Questions fréquentes

Que recouvre exactement la notion de 'données à caractère personnel' ?

Il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable — non seulement le nom et l'adresse, mais aussi les identifiants en ligne (adresses IP, cookies), les données de localisation, ainsi que les éléments propres à l'identité physique, génétique, psychique, économique ou sociale de la personne [art. 4, point 1].

Quand le traitement de données à caractère personnel est-il licite ?

Le traitement n'est licite que si au moins l'une des six conditions de l'article 6, paragraphe 1, est remplie : consentement (a), exécution d'un contrat (b), obligation légale (c), sauvegarde des intérêts vitaux (d), mission d'intérêt public (e) ou intérêts légitimes du responsable du traitement (f) [art. 6, par. 1].

En quoi consiste le droit à l'effacement ('droit à l'oubli') ?

La personne concernée peut obtenir l'effacement de ses données dans les meilleurs délais lorsque, notamment, les données ne sont plus nécessaires au regard des finalités initiales, le consentement est retiré sans autre fondement juridique, ou le traitement est illicite. Si les données ont été rendues publiques, le responsable du traitement doit informer les autres responsables du traitement de la demande d'effacement [art. 17, par. 1 et 2].

Mon organisation doit-elle désigner un délégué à la protection des données (DPD) ?

La désignation est obligatoire pour les autorités et organismes publics, pour les organisations dont les activités de base consistent en un suivi régulier et systématique à grande échelle des personnes concernées, et pour celles qui traitent à grande échelle des catégories particulières de données (art. 9) ou des données relatives aux condamnations pénales (art. 10) [art. 37, par. 1].

Quelle est la différence entre responsable du traitement et sous-traitant ?

Le responsable du traitement détermine les finalités et les moyens du traitement et porte la responsabilité principale de la conformité au RGPD [art. 4, point 7]. Le sous-traitant traite les données pour le compte du responsable du traitement, sur ses instructions documentées, et doit présenter des garanties suffisantes en matière de mesures techniques et organisationnelles [art. 4, point 8, art. 28].

Quelles conditions régissent les transferts de données vers des pays tiers ?

Un transfert n'est autorisé que si une décision d'adéquation de la Commission existe [art. 45], si des garanties appropriées sont mises en place (clauses contractuelles types, règles d'entreprise contraignantes) [art. 46], ou si l'une des dérogations de l'article 49 s'applique. En l'absence de ces mécanismes, le transfert est interdit [art. 44].

Que doit contenir une analyse d'impact relative à la protection des données (AIPD) ?

L'AIPD, obligatoire avant tout traitement susceptible d'engendrer un risque élevé, doit comporter au minimum : une description systématique des opérations de traitement et de leurs finalités, une évaluation de la nécessité et de la proportionnalité, une évaluation des risques pour les droits des personnes concernées, et les mesures envisagées pour y faire face [art. 35, par. 7].

Facteurs d’évaluation et liste de contrôle

Premium

Essai gratuit 7 jours

Questions pour votre avocat

Premium

Essai gratuit 7 jours

Conclusion et résumé

Premium

Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours →

Keine Kreditkarte heute. Kündigung jederzeit.

Sources

[1]32016R0679Règlement (UE) 2016/679 — Règlement général sur la protection des données (RGPD)