En vigueurDonnéesRèglement (UE) 2016/679Mis à jour le 29 avril 2025
Règlement
RGPD
Règlement Général sur la Protection des Données
Le RGPD encadre la collecte, le traitement et la circulation des données à caractère personnel des personnes situées dans l'Union européenne. Il constitue le texte socle de la protection des données en Europe et a une portée extraterritoriale : il s'applique à toute organisation dans le monde qui traite des données de personnes situées dans l'UE. Le règlement repose sur sept principes fondamentaux (licéité, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité/confidentialité, responsabilité) et six bases légales possibles pour traiter des données (consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime). Il consacre des droits renforcés pour les personnes (accès, rectification, effacement, portabilité, opposition, limitation) et impose aux responsables de traitement des obligations structurantes :
- registre des traitements
- analyses d'impact
- notification des violations dans les 72 heures
- privacy by design et by default
- désignation d'un DPO dans certains cas
Contexte
Le RGPD remplace la directive 95/46/CE qui datait de 1995, une époque où internet en était à ses débuts, où les réseaux sociaux n'existaient pas et où le cloud computing n'avait pas de nom. En vingt ans, l'exploitation massive des données personnelles par les géants du numérique (profilage publicitaire, revente de données, surveillance) a rendu ce cadre obsolète. La directive posait un autre problème : en tant que directive, elle avait été transposée de manière hétérogène dans les États membres, créant un patchwork juridique nuisant à la fois aux entreprises (insécurité juridique) et aux citoyens (protections inégales). Le choix du règlement, d'application directe, vise précisément à unifier ce cadre. Le RGPD poursuit trois objectifs principaux :
- renforcer les droits des personnes physiques sur leurs données ;
- responsabiliser les organisations qui les traitent (principe d'accountability) ;
- harmoniser la régulation à l'échelle de l'UE pour créer un marché unique de la donnée fondé sur la confiance.
Champ d'application
Sur le plan matériel, le RGPD couvre tout traitement de données à caractère personnel, automatisé ou non (y compris les fichiers papier), à l'exception des activités purement personnelles ou domestiques, de la politique étrangère et de sécurité commune de l'UE, et des traitements par les autorités à des fins de prévention et détection des infractions pénales (couverts par la directive « Police-Justice » 2016/680).
Sur le plan territorial (article 3), il s'applique aux organisations établies dans l'UE quel que soit le lieu du traitement, et aux organisations hors UE qui ciblent des personnes dans l'UE (offre de biens/services ou suivi du comportement).
Sur le plan territorial (article 3), il s'applique aux organisations établies dans l'UE quel que soit le lieu du traitement, et aux organisations hors UE qui ciblent des personnes dans l'UE (offre de biens/services ou suivi du comportement).
Acteurs concernés
Responsables de traitement (toute entité déterminant les finalités et moyens du traitement)Sous-traitants (entités traitant des données pour le compte du responsable)Délégué à la protection des données (DPO)CNIL (autorité de contrôle française)Comité européen de la protection des données (CEPD/EDPB)Personnes concernées (toute personne physique dont les données sont traitées)