EuroComply
Créer un compte
Back to blog
RGPD 16 min read

Qu'est-ce que le RGPD ? Guide complet pour les entreprises

What you need to know: Qu'est-ce que le RGPD ? Guide complet pour les entreprises

Le RGPD (règlement 2016/679) est la loi européenne sur la protection des données. Ce guide couvre les 6 bases légales, les droits des personnes concernées, le registre des traitements, le DPD, l'AIPD et les amendes de l'article 83 — avec des conseils pratiques pour les PME.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le règlement général sur la protection des données (règlement 2016/679) est la loi fondamentale de l'Union européenne en matière de protection des données. Il est entré en vigueur le 25 mai 2018, remplaçant la directive de 1995 sur la protection des données, et s'applique à toute organisation qui traite les données à caractère personnel de personnes situées dans l'UE — quel que soit le lieu où cette organisation a son siège.

Ce guide couvre les obligations essentielles que toute entreprise doit comprendre : les bases légales, les droits des personnes concernées, la tenue de registres, les rôles spécialisés, les analyses d'impact, la notification des violations, les transferts internationaux et les amendes.

Qu'est-ce que le RGPD ?

Le RGPD établit les règles régissant la manière dont les organisations collectent, stockent, utilisent et partagent les données à caractère personnel. Les données à caractère personnel désignent toute information permettant d'identifier une personne physique vivante — noms, adresses e-mail, adresses IP, identifiants d'appareils, données de localisation, dossiers médicaux, et bien d'autres encore.

Le règlement a une portée extraterritoriale au titre de l'article 3. Il s'applique :

  • À toute organisation établie dans l'UE, quel que soit le lieu où le traitement a lieu
  • À toute organisation située en dehors de l'UE qui propose des biens ou des services à des résidents de l'UE, ou qui surveille le comportement de résidents de l'UE (par exemple via des cookies, des outils d'analyse ou du profilage)

Une entreprise SaaS américaine avec des clients européens, un détaillant singapourien expédiant vers l'Allemagne et un recruteur brésilien évaluant des candidats de l'UE — tous sont soumis au RGPD.

Les deux rôles définis par le RGPD sont :

  • Responsable du traitement (art. 4, point 7) — détermine les finalités et les moyens du traitement. Il porte la responsabilité principale en matière de conformité.
  • Sous-traitant (art. 4, point 8) — traite les données pour le compte d'un responsable du traitement. Il doit agir dans le cadre d'un contrat de sous-traitance (art. 28).

Les six bases légales (article 6)

Tout traitement de données à caractère personnel doit reposer sur l'une des six bases légales. Il n'existe pas de hiérarchie — la base appropriée dépend du contexte et de la finalité du traitement.

| Base | Description | Cas d'usage typique | |------|-------------|---------------------| | Consentement (art. 6, par. 1, point a) | Manifestation de volonté libre, spécifique, éclairée et univoque | E-mails marketing, cookies facultatifs | | Contrat (art. 6, par. 1, point b) | Traitement nécessaire à l'exécution d'un contrat avec la personne concernée | Traitement d'une commande, fourniture d'un service | | Obligation légale (art. 6, par. 1, point c) | Traitement requis pour respecter le droit de l'UE ou d'un État membre | Documents fiscaux, obligations en droit du travail | | Intérêts vitaux (art. 6, par. 1, point d) | Traitement nécessaire à la protection de la vie | Urgences médicales | | Mission d'intérêt public (art. 6, par. 1, point e) | Traitement dans l'exercice de l'autorité publique | Fonctions gouvernementales, organismes publics | | Intérêt légitime (art. 6, par. 1, point f) | Traitement nécessaire à des intérêts légitimes, non supplanté par les droits de la personne concernée | Prévention de la fraude, sécurité des réseaux, marketing B2B |

Le consentement exige un opt-in positif. Les cases pré-cochées, le consentement groupé et le consentement comme condition de service ne satisfont pas à l'article 6, paragraphe 1, point a). L'intérêt légitime (art. 6, par. 1, point f) requiert un test en trois étapes : identifier l'intérêt légitime, démontrer la nécessité et le mettre en balance avec les droits et libertés de la personne concernée.

Droits des personnes concernées (articles 15 à 22)

Le RGPD accorde aux personnes huit droits opposables aux responsables du traitement. Chaque droit comporte des conditions, des exemptions et des délais de réponse spécifiques (généralement un mois calendaire, prolongeable de deux mois pour les cas complexes au titre de l'art. 12, par. 3).

| Droit | Article | Signification | |-------|---------|---------------| | Accès | Art. 15 | Droit d'obtenir la confirmation d'un traitement et une copie des données à caractère personnel détenues | | Rectification | Art. 16 | Droit de corriger des données inexactes ou incomplètes | | Effacement (« droit à l'oubli ») | Art. 17 | Droit à la suppression lorsque le traitement était illicite, le consentement retiré ou les données plus nécessaires | | Limitation | Art. 18 | Droit de suspendre le traitement pendant que l'exactitude ou la licéité est contestée | | Portabilité | Art. 20 | Droit de recevoir les données dans un format structuré et lisible par machine (s'applique uniquement aux bases du consentement et du contrat) | | Opposition | Art. 21 | Droit de s'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection directe (droit absolu pour le marketing) | | Ne pas faire l'objet d'une décision automatisée | Art. 22 | Droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires significatifs | | Retrait du consentement | Art. 7, par. 3 | Droit de retirer son consentement à tout moment sans préjudice |

Les organisations doivent fournir un mécanisme permettant aux personnes concernées d'exercer ces droits et ne doivent pas facturer de frais pour les demandes standard (art. 12, par. 5).

Principales obligations de conformité

Registre des activités de traitement (article 30)

Les responsables du traitement doivent tenir un registre écrit de toutes les activités de traitement. Le registre doit comprendre :

  • Le nom et les coordonnées du responsable du traitement (et du DPD le cas échéant)
  • Les finalités du traitement
  • Les catégories de personnes concernées et de données à caractère personnel
  • Les catégories de destinataires, y compris les transferts vers des pays tiers
  • Les durées de conservation (ou les critères utilisés pour les déterminer)
  • Une description générale des mesures de sécurité techniques et organisationnelles

L'exemption de registre pour les organisations de moins de 250 employés (art. 30, par. 5) est étroite — elle ne s'applique pas lorsque le traitement n'est pas occasionnel, qu'il porte sur des catégories particulières de données (art. 9) ou qu'il peut engendrer un risque pour les droits et libertés. La plupart des entreprises ne peuvent s'en prévaloir.

Délégué à la protection des données — DPD (articles 37 à 39)

La désignation d'un DPD est obligatoire pour :

  • Les autorités et organismes publics (art. 37, par. 1, point a)
  • Les responsables du traitement ou sous-traitants dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées (art. 37, par. 1, point b) — par exemple l'adtech, les plateformes de tracking
  • Les responsables du traitement ou sous-traitants dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données (art. 37, par. 1, point c) — données de santé, biométrie, casiers judiciaires

Les entreprises qui n'atteignent pas ces seuils peuvent désigner un DPD à titre volontaire. Le DPD doit disposer de connaissances spécialisées du droit de la protection des données (art. 37, par. 5), ne peut être démis ni pénalisé pour l'exercice de ses fonctions (art. 38, par. 3) et doit rendre compte au niveau le plus élevé de la direction (art. 38, par. 3).

Analyse d'impact relative à la protection des données — AIPD (article 35)

Une AIPD est requise avant d'entamer tout traitement « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le RGPD précise trois catégories nécessitant une AIPD :

  1. Le profilage automatisé systématique et étendu produisant des effets significatifs
  2. Le traitement à grande échelle de catégories particulières de données (art. 9) ou de données relatives à des condamnations pénales (art. 10)
  3. La surveillance systématique à grande échelle de zones accessibles au public

Les autorités de contrôle publient des listes des opérations de traitement nécessitant une AIPD (art. 35, par. 4). Une AIPD doit comprendre une description du traitement, une évaluation de la nécessité et de la proportionnalité, les risques identifiés et les mesures envisagées pour y remédier (art. 35, par. 7).

Lorsque l'AIPD révèle un risque résiduel élevé, le responsable du traitement doit consulter l'autorité de contrôle avant de procéder (art. 36).

Notification des violations (articles 33 et 34)

Article 33 — Les violations de données à caractère personnel doivent être notifiées à l'autorité de contrôle compétente dans un délai de 72 heures après que le responsable du traitement en a pris connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les personnes. Si la notification intervient après 72 heures, les raisons du retard doivent être expliquées.

Article 34 — Lorsqu'une violation est susceptible d'engendrer un risque élevé pour les personnes, celles-ci doivent en être informées dans les meilleurs délais, dans un langage clair et simple.

Les sous-traitants doivent notifier leur responsable du traitement dans les meilleurs délais après avoir pris connaissance d'une violation (art. 33, par. 2).

Protection des données dès la conception et par défaut (article 25)

Les responsables du traitement doivent mettre en œuvre des mesures techniques et organisationnelles appropriées — tant au moment de la conception du traitement qu'au moment du traitement lui-même — afin de donner effet aux principes de protection des données et d'intégrer les garanties nécessaires. La minimisation des données (ne collecter que ce qui est nécessaire) et la limitation des finalités (ne pas utiliser les données au-delà de la finalité initiale) constituent les obligations fondamentales à ce titre.

Transferts internationaux de données (chapitre V)

Le transfert de données à caractère personnel en dehors de l'Espace économique européen (EEE) est restreint. Un transfert ne peut avoir lieu que lorsque l'un des mécanismes suivants s'applique :

  • Décision d'adéquation (art. 45) — La Commission européenne a évalué que la protection des données du pays de destination est équivalente. Les décisions d'adéquation en vigueur couvrent : le Royaume-Uni, la Suisse, le Japon, la Corée du Sud, Israël, la Nouvelle-Zélande, le Canada (organisations commerciales) et le cadre de protection des données UE-États-Unis (DPF, adopté en juillet 2023 à la suite de l'arrêt Schrems II de la Cour de justice ayant invalidé le Privacy Shield).

  • Clauses contractuelles types — CCT (art. 46, par. 2, point c) — Clauses contractuelles types adoptées par la Commission européenne, offrant des garanties appropriées. Les CCT de 2021 ont remplacé les versions historiques de 2001/2004/2010. Après l'arrêt Schrems II, les responsables du traitement doivent réaliser une analyse d'impact des transferts (TIA) avant de recourir aux CCT, afin de vérifier que le droit du pays de destination ne compromet pas l'efficacité des CCT.

  • Règles d'entreprise contraignantes — BCR (art. 47) — Mécanismes de transfert intragroupe approuvés pour les multinationales. Ils requièrent l'approbation d'une autorité de contrôle.

  • Dérogations (art. 49) — À utiliser avec parcimonie : consentement explicite, exécution d'un contrat, intérêt public, actions en justice, intérêts vitaux.

L'arrêt Schrems II (C-311/18, juillet 2020) demeure la jurisprudence de référence. Le DPF UE-États-Unis répond à bon nombre de ses préoccupations, mais sa pérennité face à un futur recours juridique n'est pas garantie. Les organisations qui s'appuient sur des transferts vers les États-Unis devraient conserver une documentation CCT + TIA en guise de solution de repli.

Amendes (article 83)

Le RGPD prévoit une structure d'amendes à deux niveaux. Les amendes sont fixées selon le montant le plus élevé — la valeur absolue ou le pourcentage du chiffre d'affaires annuel mondial.

| Niveau | Manquements | Amende maximale | |--------|-------------|-----------------| | Article 83, par. 4 — Niveau inférieur | Art. 8, 11 (consentement des enfants), art. 25 à 39 (DPD, AIPD, registre, protection dès la conception), art. 42 et 43 (certification), art. 41 à 44 (coopération avec l'autorité de contrôle) | 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial | | Article 83, par. 5 — Niveau supérieur | Art. 5 à 7, 9 (principes de base, base légale, catégories particulières), art. 12 à 22 (droits des personnes concernées), art. 44 à 49 (transferts internationaux), toute obligation au titre du droit d'un État membre adopté en application du chapitre IX | 20 000 000 € ou 4 % du chiffre d'affaires annuel mondial |

Les autorités de contrôle de l'UE ont démontré leur volonté d'infliger des amendes significatives. Meta a été condamnée à une amende de 1,2 milliard d'euros par la DPC irlandaise en mai 2023 pour des transferts de données UE-États-Unis illicites. Amazon a reçu une amende de 746 millions d'euros de la CNPD luxembourgeoise en 2021. TikTok a été condamnée à une amende de 345 millions d'euros par la DPC irlandaise en 2023 pour des manquements dans le traitement des données des enfants.

Liste de contrôle pratique pour les PME

La conformité au RGPD n'est pas un projet ponctuel — c'est un programme continu. Pour les PME qui découvrent le RGPD, les cinq étapes suivantes établissent les fondations :

  1. Cartographiez vos flux de données. Identifiez chaque catégorie de données à caractère personnel que vous collectez, leur provenance, ce que vous en faites, avec qui vous les partagez et combien de temps vous les conservez. C'est la base de votre registre des traitements.

  2. Établissez les bases légales. Pour chaque activité de traitement, documentez la base légale. Mettez à jour votre déclaration de confidentialité pour la refléter fidèlement et dans un langage clair (art. 13 et 14).

  3. Révisez les mécanismes de consentement. Assurez-vous que le consentement marketing est en opt-in, spécifique et enregistré. Auditez les bandeaux de cookies — les cases pré-cochées et l'intérêt légitime pour les cookies publicitaires sont non conformes dans la plupart des juridictions de l'UE.

  4. Évaluez les sous-traitants tiers. Pour chaque prestataire ou outil SaaS traitant des données à caractère personnel pour votre compte, assurez-vous qu'un contrat de sous-traitance conforme est en place (art. 28). Pour tout sous-traitant basé aux États-Unis, réalisez une TIA et assurez-vous que des CCT sont signées (ou vérifiez la certification DPF).

  5. Mettez en place une procédure de réponse aux violations. Désignez le responsable de l'identification des violations, de l'escalade interne, de la notification à l'autorité de contrôle et de la notification aux personnes. Organisez un exercice de simulation.

Pour les organisations qui traitent des données de santé, des casiers judiciaires, des données biométriques ou qui réalisent du profilage à grande échelle, ajoutez les obligations d'AIPD et évaluez si un DPD est requis.


Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un conseil juridique.

Foire aux questions

Le RGPD s'applique-t-il à mon entreprise située en dehors de l'UE ?

Oui, si votre entreprise cible ou surveille des personnes dans l'UE. L'article 3, paragraphe 2, confère au RGPD une portée extraterritoriale explicite : il s'applique à toute organisation établie en dehors de l'UE qui propose des biens ou des services à des personnes concernées dans l'Union (y compris des services gratuits), ou qui surveille le comportement de personnes dans l'UE — par exemple via la publicité comportementale, le suivi analytique ou le profilage. Une entreprise américaine disposant d'un site web européen multilingue, d'une offre d'abonnement libellée en euros ou de cookies de tracking placés sur les visiteurs de l'UE traite des données à caractère personnel au sens du RGPD et doit en respecter l'ensemble des obligations, y compris la désignation d'un représentant dans l'UE au titre de l'article 27 si elle n'y dispose d'aucun établissement.

Quand un délégué à la protection des données (DPD) est-il requis ?

Au titre de l'article 37, un DPD est obligatoire dans trois cas : pour les autorités et organismes publics ; pour les organisations dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées (telles que les plateformes adtech, les services de surveillance des employés ou les courtiers en données de localisation) ; et pour les organisations dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données au titre de l'article 9 ou de données relatives à des condamnations pénales au titre de l'article 10. Les « activités de base » désignent les opérations principales de l'entreprise — et non le traitement accessoire des RH ou de la paie. Le DPD doit disposer de connaissances spécialisées du droit de la protection des données, ne peut recevoir d'instructions sur la manière d'exercer ses missions et rend compte directement au niveau le plus élevé de la direction au titre de l'article 38.

Quelles sont les amendes maximales prévues par le RGPD ?

La structure d'amendes du RGPD au titre de l'article 83 comporte deux niveaux. Le niveau inférieur (article 83, paragraphe 4) couvre les manquements à des obligations telles que la protection des données dès la conception, les exigences d'AIPD, les règles relatives au DPD et le registre des traitements — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le niveau supérieur (article 83, paragraphe 5) couvre les manquements aux principes fondamentaux du traitement, aux exigences de base légale, aux droits des personnes concernées et aux règles de transfert international — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Les autorités de contrôle ont systématiquement appliqué le pourcentage le plus élevé pour les grandes organisations : Meta a été condamnée à une amende de 1,2 milliard d'euros par la DPC irlandaise en 2023 pour des transferts de données UE-États-Unis illicites.

Sources

Key takeaways: Qu'est-ce que le RGPD ? Guide complet pour les entreprises

This article covers: Qu'est-ce que le RGPD ?, Les six bases légales (article 6), Droits des personnes concernées (articles 15 à 22).

  • Qu'est-ce que le RGPD ?
  • Les six bases légales (article 6)
  • Droits des personnes concernées (articles 15 à 22)
  • Principales obligations de conformité
  • Transferts internationaux de données (chapitre V)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.