EuroComply
Sign up
Back to blog
RGPD 16 min read

Qu'est-ce que le RGPD ? Guide complet pour les entreprises

What you need to know: Qu'est-ce que le RGPD ? Guide complet pour les entreprises

Le RGPD (rĂšglement 2016/679) est la loi europĂ©enne sur la protection des donnĂ©es. Ce guide couvre les 6 bases lĂ©gales, les droits des personnes concernĂ©es, le registre des traitements, le DPD, l'AIPD et les amendes de l'article 83 — avec des conseils pratiques pour les PME.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (rĂšglement 2016/679) est la loi fondamentale de l'Union europĂ©enne en matiĂšre de protection des donnĂ©es. Il est entrĂ© en vigueur le 25 mai 2018, remplaçant la directive de 1995 sur la protection des donnĂ©es, et s'applique Ă  toute organisation qui traite les donnĂ©es Ă  caractĂšre personnel de personnes situĂ©es dans l'UE — quel que soit le lieu oĂč cette organisation a son siĂšge.

Ce guide couvre les obligations essentielles que toute entreprise doit comprendre : les bases légales, les droits des personnes concernées, la tenue de registres, les rÎles spécialisés, les analyses d'impact, la notification des violations, les transferts internationaux et les amendes.

Qu'est-ce que le RGPD ?

Le RGPD Ă©tablit les rĂšgles rĂ©gissant la maniĂšre dont les organisations collectent, stockent, utilisent et partagent les donnĂ©es Ă  caractĂšre personnel. Les donnĂ©es Ă  caractĂšre personnel dĂ©signent toute information permettant d'identifier une personne physique vivante — noms, adresses e-mail, adresses IP, identifiants d'appareils, donnĂ©es de localisation, dossiers mĂ©dicaux, et bien d'autres encore.

Le rÚglement a une portée extraterritoriale au titre de l'article 3. Il s'applique :

  • À toute organisation Ă©tablie dans l'UE, quel que soit le lieu oĂč le traitement a lieu
  • À toute organisation situĂ©e en dehors de l'UE qui propose des biens ou des services Ă  des rĂ©sidents de l'UE, ou qui surveille le comportement de rĂ©sidents de l'UE (par exemple via des cookies, des outils d'analyse ou du profilage)

Une entreprise SaaS amĂ©ricaine avec des clients europĂ©ens, un dĂ©taillant singapourien expĂ©diant vers l'Allemagne et un recruteur brĂ©silien Ă©valuant des candidats de l'UE — tous sont soumis au RGPD.

Les deux rÎles définis par le RGPD sont :

  • Responsable du traitement (art. 4, point 7) — dĂ©termine les finalitĂ©s et les moyens du traitement. Il porte la responsabilitĂ© principale en matiĂšre de conformitĂ©.
  • Sous-traitant (art. 4, point 8) — traite les donnĂ©es pour le compte d'un responsable du traitement. Il doit agir dans le cadre d'un contrat de sous-traitance (art. 28).

Les six bases légales (article 6)

Tout traitement de donnĂ©es Ă  caractĂšre personnel doit reposer sur l'une des six bases lĂ©gales. Il n'existe pas de hiĂ©rarchie — la base appropriĂ©e dĂ©pend du contexte et de la finalitĂ© du traitement.

| Base | Description | Cas d'usage typique | |------|-------------|---------------------| | Consentement (art. 6, par. 1, point a) | Manifestation de volontĂ© libre, spĂ©cifique, Ă©clairĂ©e et univoque | E-mails marketing, cookies facultatifs | | Contrat (art. 6, par. 1, point b) | Traitement nĂ©cessaire Ă  l'exĂ©cution d'un contrat avec la personne concernĂ©e | Traitement d'une commande, fourniture d'un service | | Obligation lĂ©gale (art. 6, par. 1, point c) | Traitement requis pour respecter le droit de l'UE ou d'un État membre | Documents fiscaux, obligations en droit du travail | | IntĂ©rĂȘts vitaux (art. 6, par. 1, point d) | Traitement nĂ©cessaire Ă  la protection de la vie | Urgences mĂ©dicales | | Mission d'intĂ©rĂȘt public (art. 6, par. 1, point e) | Traitement dans l'exercice de l'autoritĂ© publique | Fonctions gouvernementales, organismes publics | | IntĂ©rĂȘt lĂ©gitime (art. 6, par. 1, point f) | Traitement nĂ©cessaire Ă  des intĂ©rĂȘts lĂ©gitimes, non supplantĂ© par les droits de la personne concernĂ©e | PrĂ©vention de la fraude, sĂ©curitĂ© des rĂ©seaux, marketing B2B |

Le consentement exige un opt-in positif. Les cases prĂ©-cochĂ©es, le consentement groupĂ© et le consentement comme condition de service ne satisfont pas Ă  l'article 6, paragraphe 1, point a). L'intĂ©rĂȘt lĂ©gitime (art. 6, par. 1, point f) requiert un test en trois Ă©tapes : identifier l'intĂ©rĂȘt lĂ©gitime, dĂ©montrer la nĂ©cessitĂ© et le mettre en balance avec les droits et libertĂ©s de la personne concernĂ©e.

Droits des personnes concernées (articles 15 à 22)

Le RGPD accorde aux personnes huit droits opposables aux responsables du traitement. Chaque droit comporte des conditions, des exemptions et des délais de réponse spécifiques (généralement un mois calendaire, prolongeable de deux mois pour les cas complexes au titre de l'art. 12, par. 3).

| Droit | Article | Signification | |-------|---------|---------------| | AccĂšs | Art. 15 | Droit d'obtenir la confirmation d'un traitement et une copie des donnĂ©es Ă  caractĂšre personnel dĂ©tenues | | Rectification | Art. 16 | Droit de corriger des donnĂ©es inexactes ou incomplĂštes | | Effacement (« droit Ă  l'oubli ») | Art. 17 | Droit Ă  la suppression lorsque le traitement Ă©tait illicite, le consentement retirĂ© ou les donnĂ©es plus nĂ©cessaires | | Limitation | Art. 18 | Droit de suspendre le traitement pendant que l'exactitude ou la licĂ©itĂ© est contestĂ©e | | PortabilitĂ© | Art. 20 | Droit de recevoir les donnĂ©es dans un format structurĂ© et lisible par machine (s'applique uniquement aux bases du consentement et du contrat) | | Opposition | Art. 21 | Droit de s'opposer Ă  un traitement fondĂ© sur l'intĂ©rĂȘt lĂ©gitime ou Ă  des fins de prospection directe (droit absolu pour le marketing) | | Ne pas faire l'objet d'une dĂ©cision automatisĂ©e | Art. 22 | Droit de ne pas faire l'objet de dĂ©cisions fondĂ©es exclusivement sur un traitement automatisĂ© produisant des effets juridiques ou similaires significatifs | | Retrait du consentement | Art. 7, par. 3 | Droit de retirer son consentement Ă  tout moment sans prĂ©judice |

Les organisations doivent fournir un mécanisme permettant aux personnes concernées d'exercer ces droits et ne doivent pas facturer de frais pour les demandes standard (art. 12, par. 5).

Principales obligations de conformité

Registre des activités de traitement (article 30)

Les responsables du traitement doivent tenir un registre écrit de toutes les activités de traitement. Le registre doit comprendre :

  • Le nom et les coordonnĂ©es du responsable du traitement (et du DPD le cas Ă©chĂ©ant)
  • Les finalitĂ©s du traitement
  • Les catĂ©gories de personnes concernĂ©es et de donnĂ©es Ă  caractĂšre personnel
  • Les catĂ©gories de destinataires, y compris les transferts vers des pays tiers
  • Les durĂ©es de conservation (ou les critĂšres utilisĂ©s pour les dĂ©terminer)
  • Une description gĂ©nĂ©rale des mesures de sĂ©curitĂ© techniques et organisationnelles

L'exemption de registre pour les organisations de moins de 250 employĂ©s (art. 30, par. 5) est Ă©troite — elle ne s'applique pas lorsque le traitement n'est pas occasionnel, qu'il porte sur des catĂ©gories particuliĂšres de donnĂ©es (art. 9) ou qu'il peut engendrer un risque pour les droits et libertĂ©s. La plupart des entreprises ne peuvent s'en prĂ©valoir.

DĂ©lĂ©guĂ© Ă  la protection des donnĂ©es — DPD (articles 37 Ă  39)

La désignation d'un DPD est obligatoire pour :

  • Les autoritĂ©s et organismes publics (art. 37, par. 1, point a)
  • Les responsables du traitement ou sous-traitants dont les activitĂ©s de base exigent un suivi rĂ©gulier et systĂ©matique Ă  grande Ă©chelle des personnes concernĂ©es (art. 37, par. 1, point b) — par exemple l'adtech, les plateformes de tracking
  • Les responsables du traitement ou sous-traitants dont les activitĂ©s de base consistent en un traitement Ă  grande Ă©chelle de catĂ©gories particuliĂšres de donnĂ©es (art. 37, par. 1, point c) — donnĂ©es de santĂ©, biomĂ©trie, casiers judiciaires

Les entreprises qui n'atteignent pas ces seuils peuvent dĂ©signer un DPD Ă  titre volontaire. Le DPD doit disposer de connaissances spĂ©cialisĂ©es du droit de la protection des donnĂ©es (art. 37, par. 5), ne peut ĂȘtre dĂ©mis ni pĂ©nalisĂ© pour l'exercice de ses fonctions (art. 38, par. 3) et doit rendre compte au niveau le plus Ă©levĂ© de la direction (art. 38, par. 3).

Analyse d'impact relative Ă  la protection des donnĂ©es — AIPD (article 35)

Une AIPD est requise avant d'entamer tout traitement « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le RGPD précise trois catégories nécessitant une AIPD :

  1. Le profilage automatisé systématique et étendu produisant des effets significatifs
  2. Le traitement à grande échelle de catégories particuliÚres de données (art. 9) ou de données relatives à des condamnations pénales (art. 10)
  3. La surveillance systématique à grande échelle de zones accessibles au public

Les autorités de contrÎle publient des listes des opérations de traitement nécessitant une AIPD (art. 35, par. 4). Une AIPD doit comprendre une description du traitement, une évaluation de la nécessité et de la proportionnalité, les risques identifiés et les mesures envisagées pour y remédier (art. 35, par. 7).

Lorsque l'AIPD révÚle un risque résiduel élevé, le responsable du traitement doit consulter l'autorité de contrÎle avant de procéder (art. 36).

Notification des violations (articles 33 et 34)

Article 33 — Les violations de donnĂ©es Ă  caractĂšre personnel doivent ĂȘtre notifiĂ©es Ă  l'autoritĂ© de contrĂŽle compĂ©tente dans un dĂ©lai de 72 heures aprĂšs que le responsable du traitement en a pris connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les personnes. Si la notification intervient aprĂšs 72 heures, les raisons du retard doivent ĂȘtre expliquĂ©es.

Article 34 — Lorsqu'une violation est susceptible d'engendrer un risque Ă©levĂ© pour les personnes, celles-ci doivent en ĂȘtre informĂ©es dans les meilleurs dĂ©lais, dans un langage clair et simple.

Les sous-traitants doivent notifier leur responsable du traitement dans les meilleurs délais aprÚs avoir pris connaissance d'une violation (art. 33, par. 2).

Protection des données dÚs la conception et par défaut (article 25)

Les responsables du traitement doivent mettre en Ɠuvre des mesures techniques et organisationnelles appropriĂ©es — tant au moment de la conception du traitement qu'au moment du traitement lui-mĂȘme — afin de donner effet aux principes de protection des donnĂ©es et d'intĂ©grer les garanties nĂ©cessaires. La minimisation des donnĂ©es (ne collecter que ce qui est nĂ©cessaire) et la limitation des finalitĂ©s (ne pas utiliser les donnĂ©es au-delĂ  de la finalitĂ© initiale) constituent les obligations fondamentales Ă  ce titre.

Transferts internationaux de données (chapitre V)

Le transfert de données à caractÚre personnel en dehors de l'Espace économique européen (EEE) est restreint. Un transfert ne peut avoir lieu que lorsque l'un des mécanismes suivants s'applique :

  • DĂ©cision d'adĂ©quation (art. 45) — La Commission europĂ©enne a Ă©valuĂ© que la protection des donnĂ©es du pays de destination est Ă©quivalente. Les dĂ©cisions d'adĂ©quation en vigueur couvrent : le Royaume-Uni, la Suisse, le Japon, la CorĂ©e du Sud, IsraĂ«l, la Nouvelle-ZĂ©lande, le Canada (organisations commerciales) et le cadre de protection des donnĂ©es UE-États-Unis (DPF, adoptĂ© en juillet 2023 Ă  la suite de l'arrĂȘt Schrems II de la Cour de justice ayant invalidĂ© le Privacy Shield).

  • Clauses contractuelles types — CCT (art. 46, par. 2, point c) — Clauses contractuelles types adoptĂ©es par la Commission europĂ©enne, offrant des garanties appropriĂ©es. Les CCT de 2021 ont remplacĂ© les versions historiques de 2001/2004/2010. AprĂšs l'arrĂȘt Schrems II, les responsables du traitement doivent rĂ©aliser une analyse d'impact des transferts (TIA) avant de recourir aux CCT, afin de vĂ©rifier que le droit du pays de destination ne compromet pas l'efficacitĂ© des CCT.

  • RĂšgles d'entreprise contraignantes — BCR (art. 47) — MĂ©canismes de transfert intragroupe approuvĂ©s pour les multinationales. Ils requiĂšrent l'approbation d'une autoritĂ© de contrĂŽle.

  • DĂ©rogations (art. 49) — À utiliser avec parcimonie : consentement explicite, exĂ©cution d'un contrat, intĂ©rĂȘt public, actions en justice, intĂ©rĂȘts vitaux.

L'arrĂȘt Schrems II (C-311/18, juillet 2020) demeure la jurisprudence de rĂ©fĂ©rence. Le DPF UE-États-Unis rĂ©pond Ă  bon nombre de ses prĂ©occupations, mais sa pĂ©rennitĂ© face Ă  un futur recours juridique n'est pas garantie. Les organisations qui s'appuient sur des transferts vers les États-Unis devraient conserver une documentation CCT + TIA en guise de solution de repli.

Amendes (article 83)

Le RGPD prĂ©voit une structure d'amendes Ă  deux niveaux. Les amendes sont fixĂ©es selon le montant le plus Ă©levĂ© — la valeur absolue ou le pourcentage du chiffre d'affaires annuel mondial.

| Niveau | Manquements | Amende maximale | |--------|-------------|-----------------| | Article 83, par. 4 — Niveau infĂ©rieur | Art. 8, 11 (consentement des enfants), art. 25 Ă  39 (DPD, AIPD, registre, protection dĂšs la conception), art. 42 et 43 (certification), art. 41 Ă  44 (coopĂ©ration avec l'autoritĂ© de contrĂŽle) | 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial | | Article 83, par. 5 — Niveau supĂ©rieur | Art. 5 Ă  7, 9 (principes de base, base lĂ©gale, catĂ©gories particuliĂšres), art. 12 Ă  22 (droits des personnes concernĂ©es), art. 44 Ă  49 (transferts internationaux), toute obligation au titre du droit d'un État membre adoptĂ© en application du chapitre IX | 20 000 000 € ou 4 % du chiffre d'affaires annuel mondial |

Les autoritĂ©s de contrĂŽle de l'UE ont dĂ©montrĂ© leur volontĂ© d'infliger des amendes significatives. Meta a Ă©tĂ© condamnĂ©e Ă  une amende de 1,2 milliard d'euros par la DPC irlandaise en mai 2023 pour des transferts de donnĂ©es UE-États-Unis illicites. Amazon a reçu une amende de 746 millions d'euros de la CNPD luxembourgeoise en 2021. TikTok a Ă©tĂ© condamnĂ©e Ă  une amende de 345 millions d'euros par la DPC irlandaise en 2023 pour des manquements dans le traitement des donnĂ©es des enfants.

Liste de contrĂŽle pratique pour les PME

La conformitĂ© au RGPD n'est pas un projet ponctuel — c'est un programme continu. Pour les PME qui dĂ©couvrent le RGPD, les cinq Ă©tapes suivantes Ă©tablissent les fondations :

  1. Cartographiez vos flux de données. Identifiez chaque catégorie de données à caractÚre personnel que vous collectez, leur provenance, ce que vous en faites, avec qui vous les partagez et combien de temps vous les conservez. C'est la base de votre registre des traitements.

  2. Établissez les bases lĂ©gales. Pour chaque activitĂ© de traitement, documentez la base lĂ©gale. Mettez Ă  jour votre dĂ©claration de confidentialitĂ© pour la reflĂ©ter fidĂšlement et dans un langage clair (art. 13 et 14).

  3. RĂ©visez les mĂ©canismes de consentement. Assurez-vous que le consentement marketing est en opt-in, spĂ©cifique et enregistrĂ©. Auditez les bandeaux de cookies — les cases prĂ©-cochĂ©es et l'intĂ©rĂȘt lĂ©gitime pour les cookies publicitaires sont non conformes dans la plupart des juridictions de l'UE.

  4. Évaluez les sous-traitants tiers. Pour chaque prestataire ou outil SaaS traitant des donnĂ©es Ă  caractĂšre personnel pour votre compte, assurez-vous qu'un contrat de sous-traitance conforme est en place (art. 28). Pour tout sous-traitant basĂ© aux États-Unis, rĂ©alisez une TIA et assurez-vous que des CCT sont signĂ©es (ou vĂ©rifiez la certification DPF).

  5. Mettez en place une procédure de réponse aux violations. Désignez le responsable de l'identification des violations, de l'escalade interne, de la notification à l'autorité de contrÎle et de la notification aux personnes. Organisez un exercice de simulation.

Pour les organisations qui traitent des données de santé, des casiers judiciaires, des données biométriques ou qui réalisent du profilage à grande échelle, ajoutez les obligations d'AIPD et évaluez si un DPD est requis.


Derniùre mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un conseil juridique.

Foire aux questions

Le RGPD s'applique-t-il à mon entreprise située en dehors de l'UE ?

Oui, si votre entreprise cible ou surveille des personnes dans l'UE. L'article 3, paragraphe 2, confĂšre au RGPD une portĂ©e extraterritoriale explicite : il s'applique Ă  toute organisation Ă©tablie en dehors de l'UE qui propose des biens ou des services Ă  des personnes concernĂ©es dans l'Union (y compris des services gratuits), ou qui surveille le comportement de personnes dans l'UE — par exemple via la publicitĂ© comportementale, le suivi analytique ou le profilage. Une entreprise amĂ©ricaine disposant d'un site web europĂ©en multilingue, d'une offre d'abonnement libellĂ©e en euros ou de cookies de tracking placĂ©s sur les visiteurs de l'UE traite des donnĂ©es Ă  caractĂšre personnel au sens du RGPD et doit en respecter l'ensemble des obligations, y compris la dĂ©signation d'un reprĂ©sentant dans l'UE au titre de l'article 27 si elle n'y dispose d'aucun Ă©tablissement.

Quand un délégué à la protection des données (DPD) est-il requis ?

Au titre de l'article 37, un DPD est obligatoire dans trois cas : pour les autoritĂ©s et organismes publics ; pour les organisations dont les activitĂ©s de base exigent un suivi rĂ©gulier et systĂ©matique Ă  grande Ă©chelle des personnes concernĂ©es (telles que les plateformes adtech, les services de surveillance des employĂ©s ou les courtiers en donnĂ©es de localisation) ; et pour les organisations dont les activitĂ©s de base consistent en un traitement Ă  grande Ă©chelle de catĂ©gories particuliĂšres de donnĂ©es au titre de l'article 9 ou de donnĂ©es relatives Ă  des condamnations pĂ©nales au titre de l'article 10. Les « activitĂ©s de base » dĂ©signent les opĂ©rations principales de l'entreprise — et non le traitement accessoire des RH ou de la paie. Le DPD doit disposer de connaissances spĂ©cialisĂ©es du droit de la protection des donnĂ©es, ne peut recevoir d'instructions sur la maniĂšre d'exercer ses missions et rend compte directement au niveau le plus Ă©levĂ© de la direction au titre de l'article 38.

Quelles sont les amendes maximales prévues par le RGPD ?

La structure d'amendes du RGPD au titre de l'article 83 comporte deux niveaux. Le niveau infĂ©rieur (article 83, paragraphe 4) couvre les manquements Ă  des obligations telles que la protection des donnĂ©es dĂšs la conception, les exigences d'AIPD, les rĂšgles relatives au DPD et le registre des traitements — jusqu'Ă  10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus Ă©levĂ© Ă©tant retenu. Le niveau supĂ©rieur (article 83, paragraphe 5) couvre les manquements aux principes fondamentaux du traitement, aux exigences de base lĂ©gale, aux droits des personnes concernĂ©es et aux rĂšgles de transfert international — jusqu'Ă  20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Les autoritĂ©s de contrĂŽle ont systĂ©matiquement appliquĂ© le pourcentage le plus Ă©levĂ© pour les grandes organisations : Meta a Ă©tĂ© condamnĂ©e Ă  une amende de 1,2 milliard d'euros par la DPC irlandaise en 2023 pour des transferts de donnĂ©es UE-États-Unis illicites.

Sources

Key takeaways: Qu'est-ce que le RGPD ? Guide complet pour les entreprises

This article covers: Qu'est-ce que le RGPD ?, Les six bases légales (article 6), Droits des personnes concernées (articles 15 à 22).

  • Qu'est-ce que le RGPD ?
  • Les six bases lĂ©gales (article 6)
  • Droits des personnes concernĂ©es (articles 15 Ă  22)
  • Principales obligations de conformitĂ©
  • Transferts internationaux de donnĂ©es (chapitre V)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Qu'est-ce que le RGPD ? Guide complet pour les entreprises