Skip to content

Le règlement général sur la protection des données

Le règlement général de l'UE sur la protection des données (RGPD) régit la manière dont les données à caractère personnel des personnes physiques dans l'UE peuvent être traitées et transférées.

Qu'est-ce que le RGPD?

Le règlement général de l'UE sur la protection des données (RGPD) est la législation la plus stricte au monde en matière de protection de la vie privée et de sécurité.

Ce règlement a mis à jour et modernisé les principes énoncés dans la directive de 1995 sur la protection des données. Il a été adopté en 2016 et est entré en application le 25 mai 2018.

Le RGPD définit:

  • les droits fondamentaux des personnes physiques à l'ère numérique
  • les obligations de ceux qui traitent les données
  • les méthodes permettant d'assurer le respect des règles
  • les sanctions à l'encontre de ceux qui ne respectent pas les règles

Droits des personnes physiques

Le RGPD énumère les droits de la personne concernée, c'est-à-dire de la personne dont les données à caractère personnel font l'objet d'un traitement. Ces droits renforcés permettent aux personnes physiques d'exercer un plus grand contrôle sur les données à caractère personnel les concernant, notamment en prévoyant:

  • la nécessité d'obtenir de la personne qu'elle indique clairement qu'elle consent au traitement des données à caractère personnel la concernant
  • un accès plus facile de la personne concernée aux données à caractère personnel la concernant
  • le droit de rectification ainsi que le droit à l'effacement et à l'oubli
  • le droit de s'opposer notamment à l'utilisation des données à caractère personnel à des fins de profilage
  • le droit à la portabilité des données d'un prestataire de services à un autre

Le règlement sur la protection des données définit les droits des personnes physiques et fixe les obligations des personnes qui effectuent le traitement des données et de celles qui sont responsables de ce traitement.

Obligations des entreprises et des organisations

Le RGPD définit les obligations générales des responsables du traitement et de ceux qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants), notamment celles consistant à

mettre en œuvre les mesures de sécurité voulues, en fonction des risques que comportent les opérations de traitement de données qui sont effectuées.

Dans certains cas, les responsables du traitement sont également tenus de notifier les violations des données à caractère personnel. Par ailleurs, tous les pouvoirs publics et les entreprises qui effectuent des traitements de données présentant des risques devront désigner un délégué à la protection des données.

Application des règles en matière de protection des données

Le règlement confirme l'obligation qui incombe aux États membres de mettre en place une autorité de contrôle indépendante au niveau national et établit un mécanisme visant à assurer la cohérence dans l'application de la législation en matière de protection des données dans l'ensemble de l'UE.

Le RGPD établit qu'une décision de contrôle unique est prise dans les affaires transfrontières impliquant plusieurs autorités de contrôle nationales. Ce principe, connu sous le nom de "guichet unique", permet à une entreprise ayant des filiales dans plusieurs États membres de n'avoir à traiter qu'avec l'autorité de protection des données de l'État membre dans lequel elle a son établissement principal.

Le comité européen de la protection des données veille à ce que le RGPD soit appliqué pleinement et de manière cohérente. Ce comité est composé de représentants des 27 autorités de contrôle indépendantes.

Le 17 novembre 2025, le Conseil a adopté un acte législatif de l'UE, qui devrait entrer en vigueur en 2026. La législation améliore la rapidité et l'efficacité de la coopération entre les autorités nationales chargées de la protection des données lors du traitement des réclamations transfrontières relatives au RGPD impliquant plusieurs pays de l'UE. Les règles simplifient les procédures administratives et visent à garantir:

  • le traitement rapide des réclamations transfrontières et l'amélioration de la coopération
  • la réalisation d'une enquête sur les droits des auteurs de réclamations et des parties

En vertu du RGPD, des sanctions lourdes sont prévues à l'égard des responsables du traitement ou des sous-traitants qui violent les règles relatives à la protection des données. Les responsables du traitement s'exposent à des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel mondial.

Par ailleurs, les personnes physiques peuvent introduire une réclamation auprès d'une autorité de contrôle et ont droit à un recours juridictionnel et à une indemnisation. Elles ont le droit de faire examiner une décision de leur autorité de protection des données par leur juridiction nationale, quel que soit l'État membre dans lequel le responsable du traitement concerné est établi.

Transferts vers des pays tiers

Le RGPD couvre également le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales. La Commission européenne est chargée d'évaluer le niveau de protection assuré par un territoire ou un secteur de traitement dans un pays tiers.

Lorsque la Commission n'a pas constaté par voie de décision le caractère adéquat du niveau de protection sur un territoire ou dans un secteur, le transfert de données à caractère personnel peut néanmoins avoir lieu dans certains cas particuliers ou lorsque des garanties appropriées sont en place.

Illustration stylisée d'une empreinte digitale numérique entourée d'étoiles jaunes de style européen, de chiffres binaires et d'une petite icône représentant un cadenas, symbolisant la protection des données et de la vie privée dans l'Union européenne.
La protection des données dans l'UE

La protection des données dans l'UE

Icône d'un cadenas numérique lumineux sur un fond bleu aux allures de circuit imprimé, évoquant la sécurité et la protection des données.
La protection des données dans le cadre répressif

La protection des données dans le cadre répressif