Definition RGPD
Le Règlement Général sur la Protection des Données (RGPD) est un texte législatif de l’Union européenne adopté en avril 2016 et applicable depuis le 25 mai 2018. Il remplace la directive de 1995 sur la protection des données personnelles et unifie le cadre juridique des 27 États membres en matière de traitement des données à caractère personnel.
Le règlement s’applique à toute organisation, publique ou privée, établie dans l’UE ou ciblant des résidents européens, dès lors qu’elle collecte, stocke ou exploite des données personnelles. Par données personnelles, le texte désigne toute information permettant d’identifier directement ou indirectement une personne physique : nom, adresse email, adresse IP, données de localisation, identifiant en ligne.
Le RGPD repose sur plusieurs principes fondamentaux : la licéité du traitement (qui requiert une base légale, dont le consentement de la personne concernée), la limitation des finalités, la minimisation des données collectées, leur exactitude, leur conservation limitée dans le temps et leur sécurité. Les organisations traitant des données doivent également désigner un délégué à la protection des données (DPO) dans certains cas et tenir un registre des activités de traitement pour répondre à l’obligation d’accountability. En France, la conformité au règlement est supervisée par la CNIL.
RGPD et IA : un périmètre qui s'élargit
RGPD et droits des personnes : ce que le règlement garantit concrètement
Au-delà des obligations imposées aux organisations, le RGPD constitue un corpus de droits directement opposables par les individus. Toute personne dont les données sont traitées peut exercer un droit d’accès à ces données, un droit de rectification en cas d’inexactitude, un droit à l’effacement (dit « droit à l’oubli »), un droit à la portabilité et un droit d’opposition au traitement. Ces droits s’exercent directement auprès du responsable de traitement, qui dispose d’un délai d’un mois pour y répondre.
Le non-respect du règlement expose les organisations à des sanctions graduées. Les manquements les plus graves peuvent donner lieu à des amendes atteignant 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros. La CNIL dispose également de pouvoirs de mise en demeure et de procédure simplifiée pour les infractions de moindre gravité, avec des amendes plafonnées à 20 000 euros. En 2024, le nombre de sanctions prononcées par l’autorité a doublé par rapport aux années précédentes, avec 87 décisions et plus de 55 millions d’euros d’amendes au total.
RGPD, consentement et cookies : un point de friction récurrent
La question du consentement constitue l’un des principaux points de friction entre le RGPD et les pratiques du web. Le règlement exige que le consentement soit libre, spécifique, éclairé et univoque : une case précochée ou un simple bandeau informatif ne suffit pas. Cette exigence s’applique notamment au dépôt de cookies non strictement nécessaires au fonctionnement d’un site.
La CNIL a adressé plusieurs centaines de mises en demeure sur ce sujet depuis 2022, ciblant des acteurs de toutes tailles. Les équipes marketing et les développeurs sont en première ligne, car la mise en conformité implique de revoir les bannières de consentement, de cartographier les scripts tiers déposés sur les pages et de documenter les finalités de chaque traitement. Les cookies walls, qui conditionnent l’accès à un service au recueil du consentement, font l’objet d’un encadrement spécifique de la CNIL, qui en admet le principe sous conditions strictes.
