EuroComply
Créer un compte

General Data Protection Regulation

Le Règlement Général sur la Protection des Données (Règlement (UE) 2016/679, RGPD) est le cadre européen obligatoire de protection des données personnelles pour toute organisation — établie ou non dans l'Union — qui traite les données de personnes physiques situées dans l'UE. Il s'applique directement depuis le 25 mai 2018 dans tous les États membres et est mis en œuvre en France par la Commission Nationale de l'Informatique et des Libertés (CNIL), complété par la Loi Informatique et Libertés (n° 78-17 du 6 janvier 1978, modifiée par la Loi n° 2018-493 du 20 juin 2018) qui ajoute des spécificités nationales (formalités pour traitements régaliens, encadrement du NIR, droits post-mortem). Amende maximale : 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial (Article 83).

Free GDPR Fine Risk Calculator

What does GDPR require and when does it apply?

GDPR applies to All sectors processing EU personal data organisations across all EU member states. The key deadline is In force since May 25, 2018. Non-compliance carries a maximum penalty of €20M or 4% of global turnover. Core obligations include maintain records of processing activities (ropa) and conduct data protection impact assessments.

  • Maintain records of processing activities (ROPA)
  • Conduct Data Protection Impact Assessments
  • Appoint a Data Protection Officer (if required)
  • Implement data subject rights procedures
  • Report breaches within 72 hours
DeadlineIn force since May 25, 2018
Max fine€20M or 4% of global turnover
Primary sectorsAll sectors processing EU personal data
Source: Official Journal of the EU — General Data Protection RegulationReviewed:
TL;DR

GDPR: €20M or 4% of global turnover max fine

GDPR applies to All sectors processing EU personal data organisations in all EU member states. Key deadline: In force since May 25, 2018.

Source: Official Journal of the European Union — General Data Protection Regulation

Who does GDPR apply to?

Le RGPD s'applique à toute organisation — publique ou privée, établie dans l'UE ou non — qui traite des données à caractère personnel de personnes situées dans l'Union européenne. Il s'applique aussi bien lors de l'offre de biens ou de services qu'en cas de suivi du comportement.

  • Responsables de traitement et sous-traitants établis dans l'UE, indépendamment du lieu du traitement
  • Responsables et sous-traitants hors UE qui offrent des biens ou des services à des personnes dans l'UE
  • Responsables et sous-traitants hors UE qui suivent le comportement de personnes dans l'UE
  • Tous les secteurs — aucune exclusion sectorielle. La Loi Informatique et Libertés ajoute des spécificités françaises (formalités pour certains traitements régaliens, encadrement du NIR, droits post-mortem prévus par l'article 85)
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Article 3 (Champ d'application territorial)Reviewed:

What are the penalties for GDPR non-compliance?

Deux niveaux de sanctions s'appliquent. Le premier (Art. 83 § 4) vise les manquements procéduraux (registre des activités de traitement, désignation du Délégué à la Protection des Données, notification de violation) et est passible d'une amende administrative pouvant atteindre 10 M EUR ou 2 % du chiffre d'affaires annuel mondial — le montant le plus élevé étant retenu. Le second niveau (Art. 83 § 5) vise les violations des principes du traitement et des droits des personnes concernées et est passible de jusqu'à 20 M EUR ou 4 % du chiffre d'affaires annuel mondial.

Maximum fine€20 million or 4% of global annual turnover, whichever is higher
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Article 83 (Conditions générales pour imposer des amendes administratives)Reviewed:

When does GDPR apply?

Le RGPD est directement applicable dans tous les États membres de l'UE depuis le 25 mai 2018. La Loi Informatique et Libertés a été modifiée par la Loi n° 2018-493 du 20 juin 2018 pour s'articuler avec le règlement européen ; les deux textes s'appliquent en parallèle.

  • 2016-05-24 — Entry into force
  • 2018-05-25 — Direct applicability across all EU member states
Source: Regulation (EU) 2016/679 — EUR-Lex Official Journal — Article 99 (Entrée en vigueur et application)Reviewed:

Comment établir un registre des activités de traitement (Art. 30 RGPD)

L'article 30 du RGPD impose à tout responsable de traitement et à tout sous-traitant la tenue d'un registre écrit de leurs activités de traitement. L'exception pour les organisations de moins de 250 personnes ne joue que si le traitement est occasionnel, ne présente pas de risque pour les droits et libertés des personnes concernées et ne porte pas sur des catégories particulières de données — conditions que peu de PME remplissent intégralement. Voici comment procéder.

  1. 1

    Recenser vos activités de traitement

    Listez chaque finalité distincte pour laquelle votre organisation traite des données à caractère personnel (RH, marketing, support client, analytique, etc.).

  2. 2

    Documenter les champs obligatoires par activité

    Pour chaque activité : responsable de traitement et coordonnées, finalités du traitement, catégories de personnes concernées et de données, destinataires, transferts internationaux et garanties associées, durées de conservation, description générale des mesures techniques et organisationnelles.

  3. 3

    Identifier la base légale

    Associez à chaque activité la base légale appropriée au sens de l'article 6 (consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes). Pour les catégories particulières de données, ajoutez une condition de l'article 9.

  4. 4

    Tenir le registre par écrit et le rendre disponible

    Le registre doit être tenu par écrit, y compris sous forme électronique, et mis à la disposition de la CNIL sur demande.

  5. 5

    Mettre à jour à chaque évolution

    Le registre doit être actualisé dès qu'une finalité, un destinataire, une durée de conservation ou une mesure technique évolue de façon substantielle.

20 M EUR ou 4 %

Plafond de sanction le plus élevé prévu à l'article 83 § 5 du RGPD : jusqu'à 20 M EUR ou jusqu'à 4 % du chiffre d'affaires annuel mondial — le montant le plus élevé étant retenu — pour les violations des principes du traitement ou des droits des personnes concernées.

Règlement (UE) 2016/679, Art. 83 § 5

Deadline

In force since May 25, 2018

Max Fine

€20M or 4% of global turnover

Sectors Affected

All sectors processing EU personal data

20 M EUR ou 4 %

Plafond de sanction le plus élevé prévu à l'article 83 § 5 du RGPD : jusqu'à 20 M EUR ou jusqu'à 4 % du chiffre d'affaires annuel mondial — le montant le plus élevé étant retenu — pour les violations des principes du traitement ou des droits des personnes concernées.

Règlement (UE) 2016/679, Art. 83 § 5

Key regulatory facts: General Data Protection Regulation
Official nameRegulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Reg. No.(EU) 2016/679
CELEX32016R0679
Typeregulation
In force2016-05-24
Applies from2018-05-25
Max fine€20 million or 4% of global annual turnover, whichever is higher
Authorities
National Data Protection Authorities (member-state)
European Data Protection Board (EDPB) (EU)
European Data Protection Supervisor (EU)for EU institutions
Source(EU) 2016/679 — EUR-Lex Official Journal

How do I comply with GDPR?

  • Maintain records of processing activities (ROPA)
  • Conduct Data Protection Impact Assessments
  • Appoint a Data Protection Officer (if required)
  • Implement data subject rights procedures
  • Report breaches within 72 hours

Does GDPR apply to your business?

Find out in 2 minutes with our free regulation checker.

Check now — free

GDPR by Country

🇩🇪

Germany

🇫🇷

France

🇳🇱

Netherlands

🇪🇸

Spain

🇮🇹

Italy

🇦🇹

Austria

🇧🇪

Belgium

🇵🇱

Poland

🇸🇪

Sweden

🇮🇪

Ireland

🇵🇹

Portugal

🇩🇰

Denmark

🇫🇮

Finland

🇨🇿

Czech Republic

🇷🇴

Romania

🇭🇺

Hungary

🇸🇰

Slovakia

🇧🇬

Bulgaria

🇭🇷

Croatia

🇬🇷

Greece

🇱🇺

Luxembourg

🇪🇪

Estonia

🇱🇻

Latvia

🇱🇹

Lithuania

🇸🇮

Slovenia

🇲🇹

Malta

Explore GDPR in depth

Penalties & Fines

Maximum fine tiers, Article-by-Article breakdown, and mitigation factors.

Enforcement Timeline

Key dates, application milestones, and per-Member-State transposition status.

GDPR by Industry

💻

SaaS & Software

💳

Fintech & Financial Services

🏥

Healthcare & MedTech

🏭

Manufacturing & Industry

🛒

E-commerce & Retail

🎓

EdTech & Education

🚚

Logistics & Transport

Energy & Utilities

📡

Telecoms & Media

👥

HR & Recruitment

⚖️

Legal & Professional Services

🏛️

Public Sector & NGOs

GDPR by Role

Non-EU Companies

GDPR applies to organisations established outside the EU whenever they offer goods or services to people in the EU, or monitor the behaviour of people in the EU. Article 27 requires most non-EU controllers to designate, in writing, a representative established in the Union — a frequently overlooked obligation.

Related Regulations

AI Act

The EU AI Act classifies AI systems by risk level and imposes obligations on providers and deployers. High-risk systems face mandatory conformity assessments, documentation, and human oversight requirements.

NIS2

NIS2 expands cybersecurity obligations to essential and important entities across critical sectors. It mandates risk management, incident reporting, and supply chain security.

eIDAS 2.0

eIDAS 2.0 updates the framework for electronic identification and trust services, introducing the EU Digital Identity Wallet. It enables cross-border digital identity verification and expands recognised trust services.

Explore GDPR in depth

Penalties & Fines

See enforcement patterns, fine tier tables, and real enforcement cases across EU member states.

Deadline Timeline

Key milestones, implementation phases, and country-specific deadlines and phased rollout dates.

Industry Guides

Sector-specific GDPR guidance for SaaS, fintech, healthcare, and other affected industries.

Next step — classify

Classify your AI systems

Use the free regulation checker to find out exactly which GDPR obligations apply to your business in 2 minutes.

Classify your AI systems

Check Your Compliance Obligations

Find out which GDPR obligations apply to your organisation in under 2 minutes.

Run EU Compliance Checker

Recent GDPR Articles

EDPB/EDPS: Clinical Trials—Health Data Safeguards Required

8 Jun 2026

Ex machina : financial stability in the age of artificial intelligence

8 Jun 2026

Screening credibility : artificial Intelligence, evidence and fair asylum procedures in EU law

8 Jun 2026

Frequently Asked Questions

What are the GDPR Article 32 technical measures for a SaaS company in Frankfurt?
GDPR Article 32 requires SaaS companies to implement technical measures proportionate to risk: encryption of personal data in transit (TLS 1.2+) and at rest; pseudonymisation of production datasets; regular automated backups with tested restore procedures; access control with least-privilege principles and audit logs; and a documented incident response procedure with 72-hour breach notification capacity. For a Frankfurt-hosted SaaS, using an EU-first infrastructure stack — EU LLM, EU database, EU-hosted data — directly reduces Article 32 exposure.
What GDPR compliance software works for EU startups?
EU startups need GDPR software covering data mapping (ROPA under Article 30), DPIA automation (Article 35), processor agreement tracking (Article 28), and breach notification workflows (Articles 33–34). EuroComply is free for up to one system, EU-hosted in Frankfurt, and adds AI Act and NIS2 coverage in one platform. Iubenda (Italian company) covers cookie consent and policy generation from €27.99/yr. For startups that have grown to more than 50 employees, DataGuard (Munich) provides a managed service.
What are GDPR fines for SMEs in 2025?
Under GDPR Article 83, fines fall into two tiers. Less severe infringements carry a maximum of €10M or 2% of global annual turnover, whichever is higher. More severe infringements — core principles, data subject rights, international transfers — carry a maximum of €20M or 4% of global annual turnover. The EDPB's 2023 guidelines clarify that supervisory authorities must account for the organisation's size. Germany (BfDI) and the Netherlands (AP) are the most active enforcement jurisdictions for SME fines.
What is a DPIA under GDPR?
A Data Protection Impact Assessment (DPIA) is a mandatory pre-deployment risk assessment under GDPR Article 35. It is required when processing is likely to result in a high risk to individual rights — large-scale profiling, processing biometric or health data, or systematic monitoring of public areas. A DPIA must describe the processing, assess necessity and proportionality, identify risks and mitigation measures, and record the outcome. Failing to complete a required DPIA is an Article 35 infringement carrying fines of up to €10M or 2% of global turnover.
How do I generate an EU-compliant privacy policy?
An EU-compliant privacy policy under GDPR Articles 13–14 must disclose: controller identity and contact details; DPO contact if applicable; lawful basis for each processing activity; data categories collected; recipients and cross-border transfers; retention periods; and data subject rights. It must be written in clear, plain language. Automated generators can produce a compliant base document — iubenda (Italian company, from €27.99/yr) and EuroComply both cover GDPR Articles 13–14 policy generation. Legal counsel should review anything involving sensitive data or complex transfer chains.
How do I set up a GDPR-compliant cookie consent banner?
A GDPR-compliant cookie consent banner must require active opt-in (pre-ticked boxes are unlawful); allow granular consent by category (functional, analytics, marketing); present options without dark patterns; link to the privacy policy; and record consent with a timestamp and version number. Cookiebot (EU-sovereign, from €9/month) and Usercentrics (EU-sovereign, from €60/month) are the leading EU CMPs meeting EDPB guidelines. Both are operated by Usercentrics GmbH (Munich, Germany) — not subject to the US CLOUD Act.
What is a GDPR processor agreement template?
A GDPR Data Processing Agreement (DPA) under Article 28 must bind the processor to: process personal data only on documented controller instructions; maintain confidentiality; implement Article 32 security measures; assist with data subject rights requests; delete or return data on contract termination; and make available all information necessary to demonstrate compliance. Standard Contractual Clauses (Module 2 or 3) are required for transfers to countries without an adequacy decision. EuroComply provides a standard DPA template under its editorial framework.

For informational purposes only. This is not legal advice — consult qualified legal counsel.

Last verified: · Source: EUR-Lex 32016R0679 · Editorial policy