Guides & Ressources pratiques
Licenciement pour motif disciplinaire : procédure, délais et pièges à éviter
General Data Protection Regulation (GDPR) : définition juridique, champ d'application et obligations concrètes pour les entreprises
Points clés de l'article
- Le General Data Protection Regulation (GDPR / RGPD) est un règlement européen applicable depuis le 25 mai 2018 qui encadre tout traitement de données personnelles lié à l'UE.
- Il s'applique à toute organisation, établie ou non dans l'UE, dès lors qu'elle traite des données de résidents européens.
- Les entreprises doivent tenir un registre des traitements, réaliser des analyses d'impact (DPIA) et notifier les violations de données sous 72 heures.
- Les personnes concernées disposent de droits opposables : accès, rectification, effacement, portabilité, opposition.
- Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- En France, le GDPR s'articule avec la loi Informatique et Libertés modifiée, qui précise certaines marges de manœuvre nationales.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
General Data Protection Regulation : définition et origine juridique
Champ d'application du GDPR : qui est concerné ?
Les principes fondamentaux posés par le règlement
Droits des personnes concernées : ce que le texte impose
Obligations concrètes des entreprises et des sous-traitants
Rôle du délégué à la protection des données (DPO) et gouvernance
Sanctions et contrôles : l'enjeu financier et réputationnel
Articulation avec la loi Informatique et Libertés et les autres textes européens
General Data Protection Regulation : définition et origine juridique
Le General Data Protection Regulation (GDPR), désigné en français sous l'acronyme RGPD, est le règlement (UE) 2016/679 du Parlement européen et du Conseil, adopté le 27 avril 2016. Il est entré en application le 25 mai 2018 dans l'ensemble des États membres de l'Union européenne, sans transposition nécessaire.
Ce texte remplace la directive 95/46/CE, qui laissait aux États une marge d'interprétation ayant engendré des disparités entre législations nationales. Le GDPR uniformise le cadre juridique applicable à la protection des données personnelles dans les 27 États membres, ainsi qu'en Islande, au Liechtenstein et en Norvège via l'accord EEE.
Son objectif est double : garantir aux personnes physiques un contrôle effectif sur leurs données personnelles et établir des règles harmonisées pour les entreprises opérant sur le marché intérieur. Le texte compte 99 articles et 173 considérants, qui précisent l'intention du législateur européen sur chaque disposition.
Champ d'application du GDPR : qui est concerné ?
Le General Data Protection Regulation repose sur un critère d'application territorial élargi, défini à son article 3. Deux situations déclenchent son application.
Critère d'établissement : le règlement s'applique dès qu'un responsable de traitement ou un sous-traitant dispose d'un établissement dans l'UE, quel que soit le lieu effectif du traitement.
Critère de ciblage : il s'applique également aux organisations établies hors UE lorsqu'elles offrent des biens ou services à des personnes situées dans l'Union, ou qu'elles suivent leur comportement sur le territoire européen.
| Critère | Condition | Exemple concret |
|---|---|---|
| Établissement dans l'UE | Activité effective via une structure dans un État membre | Filiale française d'un groupe américain |
| Offre de biens/services | Ciblage intentionnel de résidents UE | Site e-commerce en langue française avec paiement en euros |
| Suivi comportemental | Profilage de personnes situées dans l'UE | Tracking publicitaire sur des utilisateurs européens |
En pratique, une entreprise basée aux États-Unis qui collecte des données de clients français via un site web localisé entre dans le champ du GDPR. Cette portée extraterritoriale distingue le règlement de la plupart des législations nationales antérieures.
Les principes fondamentaux posés par le règlement
L'article 5 du GDPR énonce 6 principes directeurs qui structurent toute mise en conformité :
- Licéité, loyauté et transparence : le traitement repose sur une base légale (consentement, contrat, obligation légale, intérêt légitime, etc.) et la personne concernée est informée de manière claire.
- Limitation des finalités : les données sont collectées pour des objectifs déterminés, explicites et légitimes.
- Minimisation : seules les données strictement nécessaires à la finalité sont collectées.
- Exactitude : les données inexactes doivent être rectifiées ou effacées sans délai.
- Limitation de la conservation : les données sont conservées sous une forme identifiante uniquement pendant la durée nécessaire.
- Intégrité et confidentialité : des mesures techniques et organisationnelles garantissent la sécurité des données.
Un 7e principe, dit d'accountability (responsabilité), impose au responsable de traitement de démontrer sa conformité à tout moment. Ce renversement de la charge de la preuve constitue l'un des changements structurels introduits par le GDPR par rapport au régime antérieur.
Structurer la conformité GDPR suppose une cartographie précise des traitements et des bases légales associées.
Trouvez un avocat spécialisé en protection des données
Droits des personnes concernées : ce que le texte impose
Le GDPR confère aux personnes physiques un ensemble de droits opposables, exercés directement auprès du responsable de traitement. Celui-ci dispose d'un délai d'un mois pour répondre, prolongeable de 2 mois en cas de complexité.
| Droit | Article | Contenu opérationnel |
|---|---|---|
| Accès | Art. 15 | Obtenir la confirmation du traitement et une copie des données |
| Rectification | Art. 16 | Corriger des données inexactes ou incomplètes |
| Effacement | Art. 17 | Demander la suppression (« droit à l'oubli ») sous conditions |
| Limitation | Art. 18 | Geler temporairement un traitement contesté |
| Portabilité | Art. 20 | Récupérer ses données dans un format structuré et lisible |
| Opposition | Art. 21 | S'opposer à un traitement fondé sur l'intérêt légitime |
En France, la CNIL a reçu 16 433 plaintes en 2023, dont une part significative portait sur l'exercice du droit d'accès et du droit d'effacement. Pour les directions juridiques, la mise en place de procédures internes de traitement de ces demandes dans les délais réglementaires constitue une obligation opérationnelle directe.
Obligations concrètes des entreprises et des sous-traitants
Le General Data Protection Regulation impose plusieurs obligations documentaires et techniques aux responsables de traitement et à leurs sous-traitants.
Registre des activités de traitement
L'article 30 exige la tenue d'un registre écrit décrivant chaque traitement : finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité. Cette obligation concerne les organisations de plus de 250 salariés, ainsi que toute structure dont les traitements présentent un risque pour les droits des personnes ou portent sur des données sensibles.
Analyse d'impact (DPIA)
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés, l'article 35 impose une Data Protection Impact Assessment. La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une DPIA, parmi lesquels le profilage à grande échelle et la vidéosurveillance de lieux publics.
Notification des violations de données
En cas de violation de données personnelles, le responsable de traitement doit notifier l'autorité de contrôle compétente dans un délai de 72 heures (article 33). Si la violation présente un risque élevé pour les personnes, celles-ci doivent également être informées directement (article 34). En 2023, la CNIL a reçu 4 668 notifications de violations.
Encadrement des transferts hors UE
Les transferts de données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation de la Commission européenne doivent être encadrés par des garanties appropriées : clauses contractuelles types (CCT), règles d'entreprise contraignantes (Binding Corporate Rules) ou mécanismes de certification. Depuis juillet 2023, le Data Privacy Framework encadre les transferts vers les États-Unis pour les entreprises certifiées.
La gestion des transferts internationaux et des violations de données nécessite un accompagnement juridique adapté à chaque organisation.
Consultez un avocat en protection des données
Rôle du délégué à la protection des données (DPO) et gouvernance
L'article 37 du GDPR rend la désignation d'un Data Protection Officer (DPO) obligatoire dans 3 cas : organismes publics, traitements impliquant un suivi régulier et systématique à grande échelle, ou traitements à grande échelle de données sensibles.
Le DPO exerce ses missions en toute indépendance. Il informe et conseille le responsable de traitement, contrôle le respect du règlement, coopère avec l'autorité de contrôle et sert de point de contact pour les personnes concernées. Il ne peut recevoir aucune instruction quant à l'exercice de ses fonctions.
En France, la CNIL recensait plus de 31 000 organismes ayant désigné un DPO en 2023. Pour les directions juridiques, la gouvernance data implique de définir clairement les rôles respectifs du DPO, du directeur juridique et du RSSI, afin d'éviter les zones de flou opérationnel.
Sanctions et contrôles : l'enjeu financier et réputationnel
Le GDPR prévoit un régime de sanctions administratives à 2 niveaux :
- Jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les manquements aux obligations du responsable de traitement ou du sous-traitant (registre, DPIA, notification, DPO).
- Jusqu'à 20 millions d'euros ou 4 % du CA mondial pour les violations des principes fondamentaux, des droits des personnes ou des règles de transfert.
En janvier 2023, la CNIL a infligé une amende de 5,2 millions d'euros à TikTok pour des manquements relatifs aux cookies. En mai 2023, l'autorité irlandaise (DPC) a sanctionné Meta à hauteur de 1,2 milliard d'euros pour des transferts illicites de données vers les États-Unis. Ces montants illustrent l'échelle des risques financiers pour les groupes internationaux.
Au-delà des amendes, les autorités peuvent ordonner la suspension d'un traitement, ce qui peut paralyser une activité commerciale. Le risque réputationnel associé à une sanction publique constitue un facteur de préjudice souvent sous-estimé par les directions générales.
Évaluer l'exposition de votre organisation aux risques GDPR suppose une analyse juridique précise de vos traitements.
Identifiez un avocat spécialisé sur Swim Legal
Articulation avec la loi Informatique et Libertés et les autres textes européens
Le GDPR, en tant que règlement européen, est directement applicable en France. Toutefois, il prévoit plus de 50 marges de manœuvre nationales, que le législateur français a exercées via la loi Informatique et Libertés modifiée (loi n° 78-17, révisée par la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018).
Ces adaptations nationales portent notamment sur :
- L'âge du consentement numérique des mineurs, fixé à 15 ans en France (contre 16 ans par défaut dans le GDPR).
- Le traitement des données de santé, encadré par des référentiels spécifiques de la CNIL.
- Les traitements à des fins journalistiques, artistiques ou de recherche, bénéficiant de dérogations.
- Les pouvoirs de contrôle et de sanction de la CNIL, qui agit comme autorité de contrôle au sens de l'article 51 du GDPR.
Le GDPR s'inscrit par ailleurs dans un écosystème réglementaire européen en expansion. Le Digital Services Act (DSA), le Digital Markets Act (DMA) et le projet de règlement ePrivacy complètent le cadre applicable aux données numériques. Le Data Act, entré en vigueur en janvier 2024, régule quant à lui l'accès aux données non personnelles générées par les objets connectés. Pour les directions juridiques, cette superposition de textes impose une veille réglementaire continue et une coordination entre les différentes fonctions concernées (juridique, IT, conformité).
FAQ
Quelle est la différence entre GDPR et RGPD ?
Il s'agit du même texte. GDPR est l'acronyme anglais (General Data Protection Regulation), RGPD l'acronyme français (Règlement Général sur la Protection des Données). Le règlement (UE) 2016/679 s'applique de manière identique dans tous les États membres.
Une entreprise non européenne est-elle soumise au GDPR ?
Oui, dès lors qu'elle offre des biens ou services à des personnes situées dans l'UE, ou qu'elle suit leur comportement en ligne. L'article 3 du GDPR établit ce critère de ciblage, indépendamment du lieu d'établissement de l'entreprise.
Quand faut-il désigner un DPO ?
La désignation est obligatoire pour les organismes publics, les entreprises dont l'activité principale implique un suivi régulier et systématique à grande échelle, et celles traitant des données sensibles à grande échelle. En dehors de ces cas, la désignation reste recommandée.
Quel est le délai pour notifier une violation de données ?
Le responsable de traitement doit notifier l'autorité de contrôle dans un délai de 72 heures après en avoir pris connaissance. Si la violation présente un risque élevé pour les personnes, celles-ci doivent être informées sans délai injustifié.
Comment le GDPR s'articule-t-il avec la loi Informatique et Libertés ?
Le GDPR est directement applicable en France. La loi Informatique et Libertés modifiée exerce les marges de manœuvre nationales prévues par le règlement, notamment sur l'âge du consentement numérique (15 ans), les données de santé et les pouvoirs de la CNIL.
Pour aller plus loin
Règlement (UE) 2016/679 du 27 avril 2016 - EUR-Lex (texte officiel)
Le règlement général sur la protection des données (RGPD) - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
