Le Règlement Général sur la Protection des Données (RGPD) représente l’évolution la plus significative du cadre juridique européen en matière de protection des données personnelles depuis 40 ans. Entré en application le 25 mai 2018, ce texte a profondément transformé les obligations des organisations et renforcé les droits des personnes concernées. En France, cette réglementation s’articule avec la loi Informatique et Libertés de 1978, révisée pour s’aligner sur les exigences européennes. L’objectif principal du RGPD est de redonner aux citoyens le contrôle de leurs données personnelles tout en créant un cadre harmonisé pour les entreprises opérant dans l’Union Européenne. Face à l’utilisation croissante des données et à leur valeur économique, cette législation établit un équilibre entre innovation et respect des libertés fondamentales.
Les principes fondamentaux du RGPD en france
Le RGPD repose sur six principes directeurs qui encadrent tout traitement de données personnelles : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; et intégrité/confidentialité. Ces principes fondamentaux ne sont pas révolutionnaires en soi, car ils existaient déjà dans la directive 95/46/CE de 1995. Cependant, le RGPD les renforce considérablement en introduisant un septième principe transversal : la responsabilité ( accountability ). Ce dernier impose aux organisations de démontrer activement leur conformité, un changement de paradigme majeur passant d’une logique déclarative à une logique de responsabilisation.
Définition et objectifs du règlement général sur la protection des données
Le RGPD (Règlement UE 2016/679) est un texte réglementaire européen qui encadre le traitement des données personnelles sur l’ensemble du territoire de l’Union européenne. Il vise à protéger les libertés et droits fondamentaux des personnes physiques, particulièrement leur droit à la protection des données à caractère personnel. Contrairement à la directive précédente, le RGPD s’applique directement dans tous les États membres sans nécessiter de transposition nationale, même si 56 marges de manœuvre ont été laissées aux législateurs nationaux.
La protection des données personnelles n’est pas une protection nouvelle, le RGPD ne révolutionne pas la matière. Le bouleversement réside surtout dans l’effectivité qui veut être donnée à cette réglementation, notamment par des sanctions considérablement renforcées.
Les objectifs du RGPD sont multiples : harmoniser la protection des données au sein de l’UE, renforcer les droits des personnes concernées, responsabiliser davantage les acteurs traitant des données (responsables de traitement et sous-traitants), et créer un cadre juridique unifié pour les entreprises. Il cherche également à adapter la protection des données aux évolutions technologiques et aux nouveaux usages numériques, tout en favorisant l’innovation et la compétitivité européenne.
Champ d’application territorial et matériel du RGPD
L’une des innovations majeures du RGPD réside dans son champ d’application extraterritorial . Le règlement s’applique selon deux critères principaux. Premièrement, le critère d’établissement : il concerne tout traitement effectué dans le cadre des activités d’un établissement du responsable de traitement ou du sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’UE. Deuxièmement, le critère de ciblage : il s’applique aux traitements de données concernant des personnes se trouvant sur le territoire de l’UE, même si le responsable de traitement ou le sous-traitant n’est pas établi dans l’Union.
Ce second critère vise particulièrement les grandes entreprises numériques non-européennes (GAFAM) qui offrent des biens ou services aux personnes dans l’UE ou qui suivent leur comportement. Cette extraterritorialité représente un véritable changement par rapport à la directive 95/46/CE, même si la jurisprudence de la CJUE avait déjà élargi l’application de la directive en ce sens.
Sur le plan matériel, le RGPD s’applique au traitement de données personnelles, automatisé en tout ou partie, ainsi qu’au traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier. Sont exclus les traitements effectués dans le cadre d’une activité strictement personnelle ou domestique, ainsi que ceux relevant de la sécurité nationale ou de la politique étrangère et de sécurité commune de l’UE.
Les données à caractère personnel : définition et catégories
Une donnée à caractère personnel se définit comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette personne peut être identifiée directement (nom, prénom) ou indirectement (identifiant, numéro, données de localisation, identifiant en ligne, ou éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). Cette définition, volontairement large, englobe un vaste éventail d’informations.
Le RGPD distingue plusieurs catégories de données personnelles, avec des régimes de protection différenciés. Les données « ordinaires » bénéficient du régime général de protection, tandis que certaines catégories font l’objet d’une protection renforcée en raison de leur sensibilité ou des risques particuliers qu’elles présentent pour les droits et libertés des personnes.
Données sensibles et régime de protection renforcée
Les données sensibles constituent une catégorie spécifique soumise à un régime de protection renforcée. L’article 9 du RGPD interdit par principe le traitement des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données génétiques, biométriques aux fins d’identifier une personne de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle.
- Les données sensibles ne peuvent être traitées que dans des cas limitativement énumérés
- Le consentement explicite de la personne concernée est requis (sauf exceptions)
- Une analyse d’impact est généralement obligatoire pour ce type de données
- Des mesures de sécurité renforcées doivent être mises en place
Par ailleurs, les données relatives aux condamnations pénales et aux infractions font l’objet d’un régime spécifique et ne peuvent être traitées que sous le contrôle de l’autorité publique ou si le traitement est autorisé par le droit de l’Union ou d’un État membre prévoyant des garanties appropriées.
Données personnelles des mineurs
Le RGPD introduit pour la première fois des dispositions spécifiques concernant le traitement des données personnelles des mineurs. L’article 8 prévoit que, lorsque les services de la société de l’information sont directement offerts aux enfants, le traitement des données est licite si l’enfant est âgé d’au moins 16 ans. En dessous de cet âge, le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale.
Les États membres peuvent prévoir un âge inférieur pour cette capacité numérique, pour autant que cet âge ne soit pas en-dessous de 13 ans. La France a fixé ce seuil à 15 ans dans la loi Informatique et Libertés révisée. Le responsable de traitement doit déployer des efforts raisonnables pour vérifier que le consentement est donné par le titulaire de la responsabilité parentale, compte tenu des moyens technologiques disponibles.
Les droits des personnes concernées par le traitement de données
Le RGPD renforce considérablement les droits des personnes concernées par un traitement de données personnelles. Ces droits existaient déjà pour la plupart sous l’empire de la directive 95/46/CE, mais le règlement les précise, les renforce et en ajoute de nouveaux, comme le droit à la portabilité. L’objectif est de redonner aux individus un plus grand contrôle sur leurs données personnelles dans un environnement numérique de plus en plus complexe.
Le droit à l’information et à la transparence
Le droit à l’information constitue le préalable nécessaire à l’exercice des autres droits. Le RGPD impose une obligation de transparence renforcée aux responsables de traitement, définie aux articles 12, 13 et 14. L’information fournie aux personnes concernées doit être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Le contenu de cette information est précisément détaillé dans le règlement et varie selon que les données sont collectées directement auprès de la personne concernée (art. 13) ou auprès d’autres sources (art. 14). Dans tous les cas, l’information doit porter sur :
- L’identité et les coordonnées du responsable de traitement et, le cas échéant, du DPO
- Les finalités du traitement et sa base juridique
- Les destinataires ou catégories de destinataires des données
- La durée de conservation des données ou les critères utilisés pour déterminer cette durée
- L’existence des droits d’accès, de rectification, d’effacement et autres droits
La CNIL recommande une approche par niveau, combinant différentes modalités d’information complémentaires adaptées au contexte et au support de collecte. Cette information doit être fournie au moment de la collecte des données lorsqu’elles sont recueillies directement auprès de la personne concernée, ou dans un délai raisonnable (maximum un mois) lorsqu’elles sont obtenues indirectement.
Les droits d’accès, de rectification et d’effacement
Le droit d’accès (article 15) permet à toute personne d’obtenir la confirmation que ses données sont traitées et, dans l’affirmative, d’accéder à ces données ainsi qu’à diverses informations sur le traitement. Ce droit fondamental permet aux personnes concernées de contrôler l’exactitude des données traitées et la licéité du traitement.
Le droit de rectification (article 16) offre la possibilité d’obtenir, dans les meilleurs délais, la correction des données inexactes ou incomplètes. Ce droit découle du principe d’exactitude des données énoncé à l’article 5 du RGPD et vise à garantir la qualité des données traitées.
Le droit à l’effacement, souvent appelé « droit à l’oubli » (article 17), permet d’obtenir la suppression des données personnelles dans certaines situations spécifiques : lorsque les données ne sont plus nécessaires au regard des finalités, lorsque la personne retire son consentement, lorsqu’elle s’oppose au traitement, lorsque le traitement est illicite, ou lorsque l’effacement est requis pour respecter une obligation légale.
Le droit à l’oubli et ses limites
Le droit à l’oubli n’est pas un droit absolu et comporte plusieurs limitations importantes. L’article 17(3) du RGPD prévoit que l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire :
À l’exercice du droit à la liberté d’expression et d’information; pour respecter une obligation légale; pour des motifs d’intérêt public dans le domaine de la santé publique; à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques; ou pour la constatation, l’exercice ou la défense de droits en justice.
Ce droit, consacré par la jurisprudence Google Spain de la CJUE en 2014, était déjà reconnu avant l’entrée en vigueur du RGPD. Le règlement l’a toutefois codifié et renforcé, notamment en imposant au responsable du traitement qui a rendu publiques les données l’obligation de prendre des mesures raisonnables pour informer les autres responsables de traitement de la demande d’effacement.
Le droit à la portabilité des données personnelles
Le droit à la portabilité (article 20) constitue l’une des innovations majeures du RGPD. Il permet aux personnes concernées de recevoir les données personnelles qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement sans que le premier s’y oppose.
Ce droit vise à renforcer le contrôle des personnes sur leurs données et à réduire l’effet de « verrouillage » (lock-in) des plateformes numériques. Il s’applique uniquement lorsque le traitement est fondé sur le consentement ou sur un contrat, et lorsqu’il est effectué à l’aide de procédés automatisés.
La portabilité ne concerne que les données fournies par la personne concernée, ce qui inclut les données activement et consciemment fournies (nom, adresse email, etc.) mais aussi les données générées par son activité (historique d’achats, géolocalisation, etc.). En revanche, elle ne s’étend pas aux données dérivées ou inférées créées par le responsable de traitement à partir des données fournies (comme les profils d’utilisateurs ou les scores).
Le droit d’opposition et à la limitation du traitement
Le droit d’opposition (article 21) permet à toute personne de s’opposer, pour des raisons tenant à sa situation particulière, à un traitement de données la concernant. Le responsable de traitement doit alors cesser le traitement, sauf s’il démontre qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts et droits de la personne, ou si le traitement est nécessaire pour la constatation, l’exercice ou la défense de droits en justice.
En matière de prospection commerciale, ce droit est absolu : la personne peut s’opposer à tout moment au traitement de ses données à des fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection, sans avoir à justifier d’un motif particulier
Les obligations des responsables de traitement et sous-traitants
Le RGPD impose des obligations précises aux responsables de traitement et aux sous-traitants, marquant un changement fondamental dans l’approche de la protection des données. Cette responsabilisation accrue vise à garantir une protection effective des données personnelles dès la conception des traitements et tout au long de leur cycle de vie.
Le principe d’accountability et la documentation de conformité
L’accountability, ou principe de responsabilité, exige des organisations qu’elles soient en mesure de démontrer leur conformité au RGPD à tout moment. Cette obligation implique la mise en place d’une documentation complète des mesures techniques et organisationnelles, des politiques internes, et des procédures relatives à la protection des données.
Les organisations doivent notamment maintenir :
- Une cartographie des traitements de données personnelles
- Des procédures documentées pour la gestion des droits des personnes
- Un registre des violations de données
- Des preuves du consentement obtenu
Le registre des activités de traitement
Le registre des activités de traitement constitue la pierre angulaire de la documentation RGPD. Ce document obligatoire pour les organisations de plus de 250 employés (sauf exceptions) doit répertorier l’ensemble des opérations de traitement de données personnelles. Il doit contenir pour chaque traitement les finalités, les catégories de données et de personnes concernées, les destinataires, les durées de conservation et les mesures de sécurité mises en place.
L’analyse d’impact sur la protection des données (AIPD)
L’AIPD est requise lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette analyse approfondie doit évaluer la nécessité et la proportionnalité du traitement ainsi que les risques pour les personnes concernées. Elle doit également définir les mesures prévues pour faire face à ces risques.
La notification des violations de données personnelles
En cas de violation de données personnelles, le responsable de traitement doit notifier l’incident à l’autorité de contrôle compétente dans un délai de 72 heures après en avoir pris connaissance. Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, celles-ci doivent également être informées dans les meilleurs délais.
La mise en conformité pratique au RGPD
La désignation d’un délégué à la protection des données (DPO)
La désignation d’un DPO est obligatoire pour les autorités publiques, les organisations dont les activités de base nécessitent un suivi régulier et systématique à grande échelle des personnes, ou celles qui traitent à grande échelle des données sensibles ou relatives aux condamnations pénales.
Missions et responsabilités du DPO
Le DPO a pour missions principales d’informer et conseiller l’organisation sur ses obligations, de contrôler le respect du RGPD, de conseiller sur les analyses d’impact et de coopérer avec l’autorité de contrôle. Il doit disposer des ressources nécessaires et d’une indépendance dans l’exercice de ses missions.
La sécurisation des données dès la conception
Privacy by design et privacy by default
Ces principes imposent d’intégrer la protection des données dès la conception des traitements et par défaut. Les mesures techniques et organisationnelles doivent être mises en œuvre pour garantir que seules les données strictement nécessaires sont traitées, tant en termes de volume que de durée de conservation.
La gestion des consentements et bases légales alternatives
Le traitement de données personnelles doit reposer sur l’une des bases légales prévues par le RGPD : le consentement, l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux, une mission d’intérêt public ou l’intérêt légitime du responsable de traitement.
Les transferts internationaux de données personnelles
Les transferts de données vers des pays tiers doivent être encadrés par des garanties appropriées : décision d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes ou dérogations spécifiques.
Les sanctions et voies de recours en cas de non-conformité
Les pouvoirs de la CNIL et les amendes administratives
La CNIL dispose de pouvoirs de contrôle et de sanction renforcés. Les amendes administratives peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial, selon le montant le plus élevé.
Les actions collectives et individuelles des personnes concernées
Le RGPD permet aux personnes concernées d’introduire une réclamation auprès de l’autorité de contrôle et d’exercer un recours juridictionnel effectif. Les actions collectives sont également possibles.
La réparation des dommages liés aux violations de données
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir réparation auprès du responsable du traitement ou du sous-traitant.
Les jurisprudences marquantes en matière de RGPD
Depuis l’entrée en vigueur du RGPD, plusieurs décisions importantes ont précisé son interprétation, notamment concernant les transferts internationaux de données (arrêt Schrems II) et la portée du droit à l’oubli. Ces jurisprudences continuent d’affiner le cadre d’application du règlement.
