RGPD : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le Règlement général sur la protection des données (RGPD), formellement le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, constitue le cadre de référence européen de la protection des données à caractère personnel.

Le Règlement général sur la protection des données (RGPD), formellement le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, constitue le cadre de référence européen de la protection des données à caractère personnel. Entré en application le 25 mai 2018 dans l'ensemble des États membres de l'Union européenne sans nécessité de transposition, il a remplacé la directive 95/46/CE qui régissait précédemment la matière. En France, il s'articule avec la loi Informatique et Libertés du 6 janvier 1978, profondément modifiée par la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018 pour assurer sa mise en cohérence.

Le règlement vise un double objectif énoncé dans ses considérants : protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données personnelles, et garantir la libre circulation de ces données au sein du marché unique numérique européen. Cette tension entre protection et fluidité économique structure l'ensemble des obligations qu'il met à la charge des organisations.

Le RGPD comporte 99 articles répartis en onze chapitres et plus de cent-soixante-dix considérants. Il s'applique aussi bien aux secteurs public et privé qu'aux activités économiques, associatives ou scientifiques, dès lors qu'elles impliquent un traitement de données à caractère personnel. Sa portée extraterritoriale, posée par l'article 3, soumet aux mêmes règles les acteurs établis hors de l'Union qui ciblent ou observent des personnes situées sur son territoire.

Vous souhaitez vous mettre en conformité avec le RGPD ? Le Cabinet Aurore Bonavia accompagne les entreprises et les structures publiques dans l'audit de leurs traitements et la rédaction de leur documentation RGPD. → Voir l'accompagnement en droit du numérique

Le champ d'application du règlement

L'article 2 du RGPD délimite le champ d'application matériel du texte, qui couvre tout traitement de données à caractère personnel, qu'il soit automatisé en tout ou partie, ou non automatisé lorsque les données sont contenues ou appelées à figurer dans un fichier structuré. Sont en revanche exclues les activités strictement personnelles ou domestiques, le traitement dans le cadre d'activités relevant de la politique étrangère et de sécurité commune de l'Union, ainsi que certaines activités de prévention, de détection ou de répression d'infractions pénales relevant de la directive police-justice 2016/680.

L'article 3 régit le champ d'application territorial selon trois critères. Le règlement s'applique d'abord lorsque le traitement est effectué dans le cadre des activités d'un établissement situé sur le territoire de l'Union, indépendamment du lieu où s'opère matériellement le traitement. Il s'applique également aux acteurs établis hors de l'Union dans deux hypothèses : lorsqu'ils offrent des biens ou services à des personnes situées dans l'Union, et lorsqu'ils observent le comportement de ces personnes sur le territoire de l'Union (typiquement par voie de cookies de suivi ou de profilage en ligne).

Les principes fondateurs du traitement des données

L'article 5 du RGPD énonce six principes auxquels doit obéir tout traitement de données personnelles, augmentés d'un septième relatif à la responsabilité du responsable de traitement :

  • licéité, loyauté et transparence : tout traitement doit reposer sur une base légale identifiée et être conduit de manière compréhensible pour la personne concernée ;
  • limitation des finalités : les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne peuvent ensuite être traitées de manière incompatible avec ces finalités ;
  • minimisation des données : seules les données adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité poursuivie peuvent être collectées ;
  • exactitude : les données doivent être exactes et tenues à jour, les données inexactes étant effacées ou rectifiées sans délai ;
  • limitation de la conservation : les données ne sont conservées que le temps nécessaire à la réalisation de la finalité du traitement ;
  • intégrité et confidentialité : la sécurité des données est garantie par des mesures techniques et organisationnelles appropriées ;
  • responsabilité (accountability) : le responsable de traitement doit pouvoir démontrer le respect des principes précédents, ce qui suppose la tenue d'une documentation rigoureuse.

Les obligations à la charge du responsable de traitement

L'article 24 du RGPD met à la charge du responsable de traitement l'obligation générale de mettre en œuvre des mesures techniques et organisationnelles appropriées pour démontrer que le traitement est effectué conformément au règlement. Cette obligation se décline en plusieurs prescriptions opérationnelles précises :

  • la tenue d'un registre des activités de traitement (article 30), qui consigne pour chaque traitement les finalités, les catégories de personnes concernées et de données, les destinataires, les transferts éventuels et les mesures de sécurité ;
  • la désignation d'un délégué à la protection des données (DPO) dans les hypothèses prévues à l'article 37 ;
  • la réalisation d'analyses d'impact (AIPD) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes (article 35) ;
  • la notification à l'autorité de contrôle des violations de données dans un délai de soixante-douze heures (article 33), et l'information des personnes concernées en cas de risque élevé (article 34) ;
  • l'information des personnes au moment de la collecte (articles 13 et 14) sur l'identité du responsable, les finalités, les bases légales, les destinataires et leurs droits ;
  • la garantie de l'exercice des droits des personnes concernées (articles 15 à 22) : accès, rectification, effacement, limitation, portabilité, opposition.

Spécificité juridique sur les sanctions encourues

L'article 83 du RGPD instaure un régime de sanctions administratives à deux paliers, dont le montant peut être prononcé par l'autorité de contrôle (en France, la CNIL) :

« 4. Les violations des dispositions suivantes font, conformément au paragraphe 2, l'objet d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu […] 5. Les violations des dispositions suivantes font, conformément au paragraphe 2, l'objet d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »

Les manquements aux obligations relatives au registre, au DPO ou à la sécurité des traitements relèvent du premier palier. Les manquements aux principes fondamentaux, aux droits des personnes ou aux conditions de transferts hors Union ressortissent au second. La CNIL a prononcé plusieurs sanctions millionnaires depuis 2019 contre des entreprises de premier plan, illustrant la fermeté du régulateur français face aux manquements caractérisés.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de RGPD

  • l'audit de conformité de vos traitements de données personnelles et l'identification des écarts par rapport aux exigences du RGPD ;
  • la cartographie de vos traitements et la rédaction du registre des activités prévu à l'article 30 ;
  • l'analyse d'impact relative à la protection des données (AIPD) pour les traitements à risque élevé ;
  • la rédaction des mentions d'information, des politiques de confidentialité et des bandeaux cookies ;
  • la formalisation des contrats de sous-traitance conformes à l'article 28 du RGPD ;
  • la gestion des demandes d'exercice de droits formulées par les personnes concernées ;
  • la notification des violations de données auprès de la CNIL et l'information des personnes concernées ;
  • la défense face aux contrôles et procédures de sanction engagés par la CNIL ;
  • la mission de DPO externe pour les organisations qui souhaitent externaliser cette fonction.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), Loi Informatique et Libertés du 6 janvier 1978 (modifiée par la loi du 20 juin 2018), Directive 2016/680 (police-justice), CNIL, Comité européen de la protection des données (EDPB). Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.