Actualités & Marché
IA juridique : les meilleurs outils gratuits et payants pour les directions juridiques en 2026
Article 5 RGPD : les 7 principes clés pour votre conformité
Points clés de l'article
- L'article 5 du RGPD énonce 7 principes cumulatifs qui conditionnent la licéité de tout traitement de données personnelles en Europe.
- Chaque principe (licéité, finalité, minimisation, exactitude, conservation limitée, sécurité, accountability) impose des obligations opérationnelles distinctes à documenter.
- Le non-respect d'un seul de ces principes expose l'entreprise à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
- L'accountability (article 5.2) inverse la charge de la preuve : c'est au responsable de traitement de démontrer sa conformité, et non à l'autorité de contrôle de prouver le manquement.
- La mise en œuvre concrète passe par le registre des traitements, les analyses d'impact, les politiques de purge et la traçabilité des décisions prises à chaque étape du cycle de vie des données.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Que dit l'article 5 du RGPD : texte intégral et portée juridique
Principe 1 : licéité, loyauté et transparence du traitement
Principe 2 : limitation des finalités et usages secondaires
Principe 3 : minimisation et pertinence des données collectées
Principe 4 : exactitude et obligation de mise à jour
Principe 5 : limitation de la conservation et logique de purge
Principe 6 : intégrité et confidentialité, l'obligation de sécurité
Principe 7 : accountability, documenter et prouver la conformité
Que dit l'article 5 du RGPD : texte intégral et portée juridique
L'article 5 du RGPD (Règlement UE 2016/679) constitue le socle normatif de l'ensemble du droit européen de la protection des données. Il regroupe, en deux paragraphes, les 7 principes que tout responsable de traitement doit respecter dès lors qu'il collecte, stocke ou utilise des données à caractère personnel.
Le paragraphe 1 énumère 6 principes applicables aux données elles-mêmes : licéité, loyauté et transparence ; limitation des finalités ; minimisation ; exactitude ; limitation de la conservation ; intégrité et confidentialité. Le paragraphe 2 ajoute un 7e principe transversal : l'accountability, c'est-à-dire l'obligation pour le responsable de traitement de démontrer le respect des 6 premiers.
En pratique, ces principes ne sont pas hiérarchisés. Ils sont cumulatifs. Un traitement peut être licite au sens de l'article 6, mais violer l'article 5 s'il collecte des données excessives ou les conserve au-delà du nécessaire. La CNIL a rappelé ce point dans sa délibération SAN-2022-009 (Clearview AI, amende de 20 millions d'euros), où plusieurs principes de l'article 5 étaient simultanément méconnus.
Le régime de sanctions est celui prévu à l'article 83.5.a : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En 2023, les autorités européennes de protection des données ont infligé plus de 2,1 milliards d'euros d'amendes cumulées au titre du RGPD, dont une part significative fondée sur l'article 5.
| Paragraphe | Contenu | Principes couverts |
|---|---|---|
| Article 5.1.a | Licéité, loyauté, transparence | Principe 1 |
| Article 5.1.b | Limitation des finalités | Principe 2 |
| Article 5.1.c | Minimisation des données | Principe 3 |
| Article 5.1.d | Exactitude | Principe 4 |
| Article 5.1.e | Limitation de la conservation | Principe 5 |
| Article 5.1.f | Intégrité et confidentialité | Principe 6 |
| Article 5.2 | Responsabilité (accountability) | Principe 7 |
Principe 1 : licéité, loyauté et transparence du traitement
L'article 5.1.a impose que les données soient traitées de manière licite, loyale et transparente à l'égard de la personne concernée. Ce triptyque recouvre trois exigences distinctes.
La licéité renvoie à l'article 6 du RGPD : chaque traitement doit reposer sur l'une des 6 bases légales prévues (consentement, exécution contractuelle, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime). Pour une direction juridique, cela signifie que chaque ligne du registre des traitements doit mentionner la base légale retenue et la justification associée.
La loyauté interdit les traitements dissimulés ou trompeurs. Un profilage publicitaire non signalé à l'utilisateur, par exemple, viole ce principe même si un consentement a été recueilli pour un autre usage.
La transparence oblige à informer les personnes concernées de manière concise, compréhensible et accessible. La CNIL sanctionne régulièrement les politiques de confidentialité trop longues ou rédigées dans un langage juridique incompréhensible. En janvier 2022, elle a infligé 150 millions d'euros d'amende à Google, en partie pour défaut de transparence dans la gestion des cookies.
Structurer la conformité à l'article 5 suppose un accompagnement juridique adapté aux spécificités de chaque traitement.
Consulter un avocat spécialisé en protection des données
Principe 2 : limitation des finalités et usages secondaires
L'article 5.1.b dispose que les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
Concrètement, la direction juridique doit s'assurer que chaque traitement est rattaché à une finalité précise, formulée de façon suffisamment claire pour être comprise par la personne concernée. Une finalité rédigée comme « amélioration de nos services » est trop vague pour satisfaire cette exigence.
Le RGPD prévoit toutefois une exception : le traitement ultérieur à des fins archivistiques dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques n'est pas considéré comme incompatible (article 89.1). En dehors de ces cas, tout changement de finalité nécessite soit une nouvelle base légale, soit un test de compatibilité documenté.
Ce test de compatibilité, décrit au considérant 50 du RGPD, repose sur 5 critères : le lien entre les finalités initiales et nouvelles, le contexte de la collecte, la nature des données, les conséquences pour la personne concernée et l'existence de garanties appropriées.
Principe 3 : minimisation et pertinence des données collectées
L'article 5.1.c exige que les données soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement. Ce principe de minimisation des données interdit la collecte « au cas où ».
Pour une direction juridique, l'application opérationnelle passe par un audit des formulaires de collecte, des bases de données existantes et des flux de données entre services. Un formulaire d'inscription à une newsletter qui demande la date de naissance, l'adresse postale et le numéro de téléphone viole ce principe si seule l'adresse e-mail est nécessaire.
La CNIL a sanctionné ce type de pratique à plusieurs reprises. En 2021, elle a infligé 400 000 euros d'amende à un prestataire de santé qui collectait systématiquement le numéro de sécurité sociale sans justification liée à la finalité du traitement.
- Audit des champs de collecte : vérifier champ par champ la nécessité au regard de la finalité déclarée.
- Revue des bases existantes : identifier les données historiques collectées sans finalité actuelle.
- Clause contractuelle : imposer aux sous-traitants la même logique de minimisation via l'article 28 du RGPD.
Principe 4 : exactitude et obligation de mise à jour
L'article 5.1.d impose que les données soient exactes et, si nécessaire, tenues à jour. Les données inexactes doivent être effacées ou rectifiées sans délai.
Ce principe est directement lié au droit de rectification prévu à l'article 16 du RGPD. En pratique, il oblige les entreprises à mettre en place des procédures de vérification et de mise à jour régulières, en particulier pour les données utilisées dans des processus décisionnels (scoring, gestion RH, KYC bancaire).
L'enjeu est concret : une décision de refus de crédit fondée sur des données erronées expose l'entreprise à un contentieux au titre de l'article 22 (décision automatisée) et de l'article 5.1.d simultanément. Le Comité européen de la protection des données (CEPD) a précisé dans ses lignes directrices 4/2019 que l'exactitude doit être appréciée au regard de la finalité du traitement : une adresse obsolète dans un fichier marketing est moins critique qu'une donnée médicale erronée dans un dossier patient.
La mise en conformité avec l'article 5 du RGPD nécessite souvent une analyse croisée entre droit des données, droit des contrats et droit sectoriel.
Trouver un avocat en protection des données
Principe 5 : limitation de la conservation et logique de purge
L'article 5.1.e prévoit que les données doivent être conservées sous une forme permettant l'identification des personnes pendant une durée n'excédant pas celle nécessaire aux finalités du traitement.
Ce principe impose à chaque entreprise de définir, pour chaque catégorie de données, une durée de conservation justifiée. En l'absence de texte sectoriel fixant une durée précise, c'est au responsable de traitement de la déterminer et de la documenter.
| Type de données | Durée indicative | Fondement |
|---|---|---|
| Données clients (contrat) | 5 ans après fin du contrat | Prescription civile (art. 2224 Code civil) |
| Données prospects | 3 ans après le dernier contact | Recommandation CNIL |
| Données de paie | 5 ans | Art. L3243-4 Code du travail |
| Données de vidéosurveillance | 30 jours | Art. L252-3 CSI |
| Logs de connexion | 1 an | Art. R10-13 CPCE |
La mise en œuvre passe par une politique de purge automatisée, intégrée aux systèmes d'information. La CNIL vérifie systématiquement l'existence de cette politique lors de ses contrôles. En 2020, elle a sanctionné Carrefour à hauteur de 2,25 millions d'euros, notamment pour avoir conservé les données de plus de 28 millions de clients inactifs depuis 5 à 10 ans.
Principe 6 : intégrité et confidentialité, l'obligation de sécurité
L'article 5.1.f impose que les données soient traitées de manière à garantir leur intégrité et leur confidentialité, y compris leur protection contre le traitement non autorisé, la perte, la destruction ou les dégâts accidentels.
Ce principe renvoie directement à l'article 32 du RGPD, qui détaille les mesures techniques et organisationnelles appropriées : pseudonymisation, chiffrement, capacité à assurer la disponibilité et la résilience des systèmes, procédures de test régulières.
Pour la direction juridique, l'enjeu est double. D'une part, s'assurer que les mesures de sécurité sont proportionnées au risque (une analyse d'impact est requise pour les traitements à risque élevé, article 35). D'autre part, vérifier que les contrats de sous-traitance (article 28) imposent un niveau de sécurité au moins équivalent.
Les violations de données (data breaches) constituent le test ultime de ce principe. En 2023, la CNIL a reçu 4 668 notifications de violations de données, soit une hausse de 14 % par rapport à 2022. Chaque violation doit être notifiée dans les 72 heures (article 33) et peut révéler un manquement structurel à l'article 5.1.f.
- Chiffrement des données au repos et en transit.
- Gestion des habilitations : accès limité au strict nécessaire (need-to-know).
- Plan de continuité et de reprise d'activité testé annuellement.
- Clause de sécurité dans chaque contrat de sous-traitance.
L'articulation entre obligations de sécurité, notification des violations et responsabilité contractuelle requiert une expertise juridique spécifique.
Être accompagné par un avocat en protection des données
Principe 7 : accountability, documenter et prouver la conformité
L'article 5.2 du RGPD introduit le principe d'accountability : le responsable de traitement doit être en mesure de démontrer qu'il respecte l'ensemble des principes énoncés au paragraphe 1. Ce principe inverse la charge de la preuve. Ce n'est pas à la CNIL de prouver le manquement : c'est à l'entreprise de prouver sa conformité.
En pratique, l'accountability se traduit par un ensemble de documents et de processus :
- Registre des traitements (article 30) : obligatoire pour toute entreprise de plus de 250 salariés, et pour toute entreprise dont les traitements présentent un risque.
- Analyses d'impact (AIPD, article 35) : requises pour les traitements à risque élevé (profilage, vidéosurveillance à grande échelle, données sensibles).
- Politiques internes : politique de confidentialité, politique de conservation, procédure de gestion des droits des personnes, procédure de notification des violations.
- Preuves de formation : traçabilité des actions de sensibilisation des collaborateurs.
- Documentation des choix : justification écrite de la base légale retenue, du calcul de la durée de conservation, du résultat du test de compatibilité des finalités.
Le CEPD a précisé dans ses lignes directrices que l'accountability n'est pas un exercice ponctuel mais un processus continu. La conformité doit être maintenue, testée et actualisée à chaque évolution du traitement, de la réglementation ou du contexte technique.
En France, la CNIL intègre systématiquement l'évaluation de l'accountability dans ses contrôles. L'absence de registre à jour ou d'AIPD pour un traitement à risque constitue un manquement autonome, sanctionnable indépendamment de toute violation de données.
FAQ
L'article 5 du RGPD s'applique-t-il à toutes les entreprises ?
Oui. L'article 5 du RGPD s'applique à tout responsable de traitement ou sous-traitant qui traite des données personnelles de personnes situées dans l'Union européenne, quelle que soit la taille de l'entreprise ou son secteur d'activité. Les obligations sont identiques pour une PME et pour un groupe international.
Quelle est la différence entre l'article 5 et l'article 6 du RGPD ?
L'article 5 fixe les principes généraux applicables à tout traitement (finalité, minimisation, sécurité, etc.). L'article 6 détaille les 6 bases légales qui rendent un traitement licite (consentement, contrat, obligation légale, intérêt vital, mission publique, intérêt légitime). La licéité mentionnée à l'article 5.1.a renvoie directement à l'article 6, mais l'article 5 couvre un périmètre bien plus large.
Comment documenter l'accountability en pratique ?
La documentation repose sur le registre des traitements (article 30), les analyses d'impact (article 35), les politiques internes de conservation et de sécurité, les preuves de formation des équipes et la traçabilité des décisions prises pour chaque traitement. Chaque document doit être daté, versionné et accessible en cas de contrôle.
Quelles sanctions en cas de non-respect de l'article 5 ?
Le non-respect de l'article 5 relève du régime de sanctions le plus élevé du RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83.5.a). En 2023, plusieurs amendes supérieures à 1 million d'euros ont été prononcées en Europe sur ce fondement.
Faut-il réaliser une analyse d'impact pour chaque traitement ?
Non. L'analyse d'impact (AIPD) n'est obligatoire que pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes (article 35). La CNIL publie une liste des types de traitements nécessitant une AIPD. En revanche, le registre des traitements et la documentation de l'accountability sont requis pour tous les traitements, y compris ceux qui ne nécessitent pas d'AIPD.
Pour aller plus loin
Chapitre II - Principes du RGPD (article 5) - CNIL
Article 5 - Loi n° 78-17 du 6 janvier 1978 - Légifrance
Les six grands principes du RGPD - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
