Legiwatch
ESC

Tape pour rechercher dans les pages, le lexique (250 termes), les articles, les tags…

Lexique parlementaire

RGPD (Règlement général sur la protection des données)

Règlement européen 2016/679 sur la protection des données personnelles, applicable depuis 2018. Encadre la collecte, le stockage et le traitement des données personnelles dans toute l'UE.

Le RGPD (Règlement général sur la protection des données, en anglais GDPR) est le règlement européen n° 2016/679 sur la protection des données personnelles, applicable depuis le 25 mai 2018 dans tous les États membres de l’UE. Il encadre la collecte, le stockage et le traitement des données personnelles, avec des sanctions importantes en cas de manquement.

Pourquoi c’est devenu central

Le RGPD a remplacé la directive 95/46/CE de 1995, devenue obsolète face à la massification du traitement numérique. Il a marqué une rupture :

  • Directe applicabilité dans toute l’UE (pas de transposition nécessaire : c’est un règlement européen)
  • Sanctions dissuasives : jusqu’à 20 M€ ou 4 % du CA mondial (le plus élevé)
  • Nouveaux droits pour les personnes : portabilité, effacement, opposition automatisée
  • Effet extraterritorial : s’applique aux entreprises non-UE qui ciblent des Européens

Le RGPD est devenu un standard mondial : Californie (CCPA/CPRA), Brésil (LGPD), Inde, Japon… s’en inspirent largement.

Les 6 principes

1. Licéité, loyauté, transparence

Tout traitement doit reposer sur une base légale (consentement, contrat, obligation légale, intérêt légitime, mission d’intérêt public, sauvegarde) et être transparent.

2. Limitation des finalités

Les données ne peuvent être utilisées que pour les finalités déclarées au moment de la collecte.

3. Minimisation

Ne collecter que les données strictement nécessaires à la finalité.

4. Exactitude

Les données doivent être exactes et tenues à jour.

5. Limitation de la conservation

Les données ne sont conservées que le temps nécessaire, puis supprimées ou anonymisées.

6. Intégrité et confidentialité

Sécurité technique et organisationnelle des données : chiffrement, contrôle des accès, pseudonymisation.

Les droits des personnes

Le RGPD consacre 8 droits au profit des personnes concernées :

  1. Information : savoir quelles données sont collectées et pourquoi
  2. Accès : obtenir une copie de ses données
  3. Rectification : corriger des données inexactes
  4. Effacement (“droit à l’oubli”)
  5. Limitation du traitement
  6. Portabilité : récupérer ses données dans un format réutilisable
  7. Opposition au traitement
  8. Droits relatifs aux décisions automatisées : ne pas faire l’objet d’une décision purement automatisée

L’exercice de ces droits doit être simple, rapide et gratuit (sauf cas excessifs).

La CNIL en France

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité de contrôle française du RGPD. Elle :

  • Conseille les entreprises et institutions (référentiels, recommandations)
  • Contrôle sur place ou en ligne
  • Sanctionne : amendes administratives (record français : 50 M€ contre Google en 2019, 91 M€ en 2024 contre Apple)
  • Coopère avec les autres autorités européennes (CEPD, mécanisme du guichet unique)

Sanctions notables

Quelques décisions emblématiques :

AnnéeEntrepriseSanctionMotif
2019Google (CNIL FR)50 M€Manque de transparence, consentement invalide
2021Amazon (Luxembourg)746 M€Marketing ciblé sans consentement
2022Meta/Facebook (Irlande)405 M€Profilage des mineurs
2023Meta (Irlande)1,2 Md€Transferts US sans garanties
2024Apple (CNIL FR)8 M€Cookies / consentement

Articulation avec le droit français

La France a adapté sa loi Informatique et Libertés (1978) pour s’articuler avec le RGPD : ordonnance et décrets de 2018-2019. Quelques spécificités françaises :

  • Données sensibles santé : régime particulier (Health Data Hub, autorisations CNIL)
  • Données pénales : décret de 2019
  • Drones : règles spécifiques
  • Recherche scientifique : référentiels CNIL
  • Données dans la fonction publique : règles complémentaires

Pour les organisations

Mise en conformité

  • Cartographie des traitements (registre obligatoire)
  • Désignation d’un DPO (délégué à la protection des données) si besoin
  • Procédures : recueil du consentement, exercice des droits, notification des violations
  • Documentation continue (analyses d’impact, transferts hors UE…)

Plaidoyer

Sujet récurrent au Parlement et au niveau européen :

  • Révision en cours du RGPD (simplification)
  • Articulation avec IA Act et Data Act
  • Régulation des transferts internationaux (post-Schrems II)
  • Adaptation pour les PME (allègements proportionnés)

Pour aller plus loin

Comprendre, c'est bien. Agir, c'est mieux.

Legiwatch suit en temps réel toutes les mentions de ces objets parlementaires : amendements, scrutins, articles, alinéas, débats. Avec une IA qui parle votre métier.

Voir une démo