Guides & Ressources pratiques
Tableau indemité de licenciement pour inaptitude : calcul et exemples [2026]
RGPD en .pdf : règlement complet à télécharger et guide détaillé pour comprendre et appliquer
Points clés de l'article
- Le RGPD (Règlement UE 2016/679) s'applique à toute organisation traitant des données personnelles de résidents européens, quel que soit son lieu d'établissement.
- Le texte intégral du RGPD en PDF est disponible gratuitement sur EUR-Lex et sur le site de la CNIL — seules sources à privilégier pour disposer d'une version consolidée fiable.
- Le règlement se compose de 99 articles répartis en 11 chapitres, précédés de 173 considérants qui éclairent l'interprétation de chaque disposition.
- Les obligations concrètes pour les entreprises couvrent le registre des traitements, la désignation d'un DPO, les analyses d'impact (AIPD) et la sécurité des données.
- La CNIL a prononcé plus de 290 millions d'euros de sanctions en France depuis 2018, avec un plan de contrôles renforcé pour 2025-2026 ciblant notamment les transferts hors UE et les données de santé.
- Une checklist structurée permet aux directions juridiques de piloter leur mise en conformité par étapes, en priorisant les traitements à risque.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que le RGPD ? Définition et champ d'application du règlement européen
Télécharger le texte intégral du RGPD en PDF : versions officielles et sources fiables
Structure du RGPD : les 11 chapitres et 99 articles décryptés
Les obligations clés du RGPD pour les entreprises (registre, DPO, AIPD, sécurité)
Les droits des personnes concernées : ce que votre entreprise doit garantir
Sanctions et contrôles CNIL en 2025-2026 : risques financiers et réputationnels
Checklist de mise en conformité RGPD : les étapes essentielles pour votre direction juridique
Qu'est-ce que le RGPD ? Définition et champ d'application du règlement européen
Le RGPD — Règlement général sur la protection des données, officiellement Règlement (UE) 2016/679 — est le texte européen qui encadre la collecte, le stockage, l'utilisation et la suppression des données personnelles. Adopté le 27 avril 2016 par le Parlement européen et le Conseil de l'Union européenne, il est entré en application le 25 mai 2018 dans l'ensemble des 27 États membres.
Son champ d'application est volontairement large. Le règlement s'applique à toute organisation — entreprise, association, administration — qui traite des données personnelles de personnes situées dans l'Union européenne. Le critère déterminant n'est pas le lieu d'établissement du responsable de traitement, mais la localisation des personnes dont les données sont collectées. Une société américaine qui cible des clients français est donc soumise au RGPD, au même titre qu'une PME lyonnaise.
Par « données personnelles », le règlement vise toute information se rapportant à une personne physique identifiée ou identifiable : nom, adresse e-mail, adresse IP, identifiant client, données de géolocalisation, données de santé. Le texte distingue par ailleurs les données dites « sensibles » (origine ethnique, opinions politiques, données biométriques, données de santé), soumises à un régime de protection renforcé prévu à l'article 9.
Pour les directions juridiques, la conséquence directe est claire : dès lors qu'un traitement de données personnelles existe dans l'entreprise — fichier clients, base RH, outil CRM, cookies de site web —, le RGPD s'applique et impose un ensemble d'obligations documentaires, techniques et organisationnelles.
Télécharger le texte intégral du RGPD en PDF : versions officielles et sources fiables
Accéder au texte intégral du RGPD en PDF suppose de distinguer les sources officielles des compilations non vérifiées qui circulent en ligne. Deux sources font référence.
La première est EUR-Lex, le portail du droit de l'Union européenne. Le règlement y est disponible en version consolidée, dans les 24 langues officielles de l'UE. L'URL directe est : eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679. Ce PDF de 88 pages inclut les 173 considérants, les 99 articles et les annexes.
La seconde source est le site de la CNIL (cnil.fr), qui propose un accès au texte intégral accompagné de fiches pratiques thématiques. La CNIL publie également des lignes directrices et des référentiels sectoriels qui complètent la lecture du règlement.
| Source | Format | Langue | Mise à jour |
|---|---|---|---|
| EUR-Lex | PDF, HTML | 24 langues UE | Version consolidée |
| CNIL | PDF, HTML | Français | Avec annotations pratiques |
| Journal officiel de l'UE (JOUE) | 24 langues UE | Version d'origine (2016) |
Un point de vigilance : les versions PDF téléchargées sur des sites tiers (blogs juridiques, plateformes documentaires) ne sont pas toujours à jour des rectificatifs publiés au Journal officiel. La version consolidée d'EUR-Lex intègre ces corrections et constitue la seule référence juridiquement fiable pour un usage professionnel.
Disposer du texte est une première étape. Identifier les obligations applicables à votre organisation en est une autre, qui nécessite souvent un accompagnement juridique ciblé.
Consulter un avocat en protection des données
Structure du RGPD : les 11 chapitres et 99 articles décryptés
Le RGPD est organisé en 11 chapitres qui suivent une logique progressive : principes généraux, droits des personnes, obligations des responsables de traitement, mécanismes de contrôle et sanctions.
| Chapitre | Intitulé | Articles | Contenu principal |
|---|---|---|---|
| I | Dispositions générales | 1 à 4 | Objet, champ d'application, définitions |
| II | Principes | 5 à 11 | Licéité, minimisation, exactitude, limitation de conservation |
| III | Droits de la personne concernée | 12 à 23 | Accès, rectification, effacement, portabilité, opposition |
| IV | Responsable du traitement et sous-traitant | 24 à 43 | Registre, DPO, AIPD, privacy by design, sous-traitance |
| V | Transferts hors UE | 44 à 50 | Décisions d'adéquation, clauses contractuelles types, BCR |
| VI | Autorités de contrôle | 51 à 59 | Indépendance, compétences, missions |
| VII | Coopération et cohérence | 60 à 76 | Guichet unique, CEPD, mécanisme de cohérence |
| VIII | Voies de recours et sanctions | 77 à 84 | Droit de réclamation, amendes administratives |
| IX | Dispositions spécifiques | 85 à 91 | Presse, recherche, religion, droit du travail |
| X | Actes délégués et d'exécution | 92 à 93 | Pouvoirs de la Commission |
| XI | Dispositions finales | 94 à 99 | Abrogation directive 95/46, entrée en application |
Les 173 considérants qui précèdent les articles ne sont pas de simples préambules. Ils constituent la grille d'interprétation du règlement et sont régulièrement cités par les autorités de contrôle et les juridictions. Le considérant 39, par exemple, précise la portée du principe de minimisation des données. Le considérant 71 encadre le profilage automatisé.
Pour une direction juridique, les chapitres III, IV et V concentrent l'essentiel des obligations opérationnelles. Le chapitre VIII fixe le cadre des sanctions.
Les obligations clés du RGPD pour les entreprises (registre, DPO, AIPD, sécurité)
Le RGPD impose aux entreprises 4 blocs d'obligations structurantes. Leur mise en œuvre conditionne la conformité et constitue le premier point de vérification lors d'un contrôle CNIL.
Le registre des activités de traitement (article 30)
Toute organisation de plus de 250 salariés doit tenir un registre documentant chaque traitement de données personnelles : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité. En dessous de ce seuil, l'obligation s'applique dès lors qu'un traitement est régulier, porte sur des données sensibles ou est susceptible de comporter un risque pour les droits des personnes. En pratique, la quasi-totalité des entreprises est concernée.
Le délégué à la protection des données — DPO (articles 37 à 39)
La désignation d'un DPO est obligatoire dans 3 cas : organismes publics, entreprises dont l'activité de base implique un suivi régulier et systématique des personnes à grande échelle, et entreprises traitant des données sensibles à grande échelle. Même hors obligation légale, la CNIL recommande cette désignation. En France, plus de 31 000 organismes avaient désigné un DPO auprès de la CNIL fin 2023.
L'analyse d'impact relative à la protection des données — AIPD (article 35)
L'AIPD est requise lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de 14 types de traitements soumis à cette obligation (délibération n° 2018-327), incluant notamment la vidéosurveillance à grande échelle, le profilage et les traitements de données de santé. L'AIPD doit être réalisée avant la mise en œuvre du traitement.
La sécurité des données (article 32)
Le responsable de traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles « appropriées » : chiffrement, pseudonymisation, contrôle d'accès, tests réguliers. En cas de violation de données, la notification à la CNIL doit intervenir dans un délai de 72 heures (article 33). En 2023, la CNIL a reçu 4 668 notifications de violations de données, soit une hausse de 14 % par rapport à 2022.
La structuration de ces obligations nécessite une expertise croisée entre droit des données, sécurité informatique et gouvernance d'entreprise.
Être accompagné par un avocat spécialisé en protection des données
Les droits des personnes concernées : ce que votre entreprise doit garantir
Le chapitre III du RGPD confère aux personnes physiques un ensemble de droits que l'entreprise doit être en mesure de satisfaire dans un délai d'un mois à compter de la demande (article 12).
- Droit d'accès (article 15) : toute personne peut obtenir la confirmation que ses données sont traitées, et en recevoir une copie.
- Droit de rectification (article 16) : correction des données inexactes ou incomplètes.
- Droit à l'effacement (article 17) : suppression des données lorsque le traitement n'est plus justifié, souvent désigné sous le terme de « droit à l'oubli ».
- Droit à la limitation du traitement (article 18) : gel temporaire de l'utilisation des données dans certaines hypothèses.
- Droit à la portabilité (article 20) : récupération des données dans un format structuré et lisible par machine, et transmission à un autre responsable de traitement.
- Droit d'opposition (article 21) : refus du traitement pour des motifs légitimes, ou opposition au traitement à des fins de prospection commerciale (sans condition).
Pour les directions juridiques, la difficulté réside dans l'opérationnalisation de ces droits. Cela suppose de cartographier les systèmes d'information contenant des données personnelles, de définir des procédures internes de traitement des demandes et de former les équipes concernées (service client, RH, marketing). Le non-respect du délai d'un mois ou l'absence de réponse constitue un manquement sanctionnable.
Sanctions et contrôles CNIL en 2025-2026 : risques financiers et réputationnels
Le RGPD prévoit deux paliers de sanctions administratives (article 83). Le premier palier atteint 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Le second palier — applicable aux manquements les plus graves (principes de base, droits des personnes, transferts hors UE) — monte à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. C'est le montant le plus élevé qui s'applique.
En France, la CNIL a prononcé des sanctions cumulées dépassant 290 millions d'euros depuis l'entrée en application du RGPD. Les amendes les plus élevées ont visé des acteurs du numérique : 150 millions d'euros pour un défaut de gestion des cookies (2022), 50 millions d'euros pour un manquement à l'obligation de transparence (2019). Mais les PME et ETI ne sont pas épargnées : en 2023, la CNIL a utilisé sa procédure simplifiée pour prononcer 24 sanctions à l'encontre d'organisations de toutes tailles.
Le programme de contrôles CNIL pour 2025 cible 3 thématiques prioritaires :
- Les transferts de données hors UE, notamment vers les États-Unis dans le cadre du Data Privacy Framework adopté en juillet 2023.
- Les traitements de données de santé, en lien avec le développement des entrepôts de données et de l'intelligence artificielle.
- Le respect des droits des personnes, en particulier le droit d'accès et le droit d'opposition à la prospection commerciale.
Au-delà de l'amende financière, une sanction CNIL entraîne une publication nominative sur le site de l'autorité, avec un effet réputationnel direct. La CNIL peut également ordonner la cessation du traitement, ce qui peut paralyser une activité commerciale.
Face au renforcement des contrôles, anticiper un audit de conformité RGPD permet de réduire l'exposition au risque de sanction.
Trouver un avocat en protection des données
Checklist de mise en conformité RGPD : les étapes essentielles pour votre direction juridique
La mise en conformité au RGPD n'est pas un projet ponctuel. C'est un processus continu qui s'organise en étapes séquencées. La checklist ci-dessous synthétise les actions prioritaires pour une direction juridique.
- Cartographier les traitements de données : identifier l'ensemble des traitements existants (RH, clients, fournisseurs, marketing, sous-traitants) et les documenter dans le registre prévu à l'article 30.
- Vérifier la base légale de chaque traitement : consentement, exécution d'un contrat, obligation légale, intérêt légitime — chaque traitement doit reposer sur l'une des 6 bases légales de l'article 6.
- Désigner un DPO ou un référent données : évaluer l'obligation légale de désignation et, le cas échéant, nommer un DPO interne ou externe.
- Réaliser les AIPD nécessaires : identifier les traitements à risque élevé et conduire les analyses d'impact avant leur mise en œuvre.
- Encadrer les sous-traitants : vérifier que chaque contrat de sous-traitance inclut les clauses obligatoires de l'article 28 (finalités, durée, mesures de sécurité, sort des données en fin de contrat).
- Sécuriser les transferts hors UE : identifier les flux de données vers des pays tiers et mettre en place les garanties appropriées (clauses contractuelles types, Binding Corporate Rules, décision d'adéquation).
- Mettre en place les procédures d'exercice des droits : définir un circuit de traitement des demandes d'accès, de rectification, d'effacement et de portabilité, avec un suivi des délais.
- Documenter la conformité : conserver l'ensemble des preuves de conformité (registre, AIPD, politiques de confidentialité, procès-verbaux de formation, contrats sous-traitants) pour pouvoir les produire en cas de contrôle.
| Étape | Responsable type | Fréquence de révision |
|---|---|---|
| Registre des traitements | DPO / Direction juridique | Annuelle ou à chaque nouveau traitement |
| AIPD | DPO + DSI | Avant mise en œuvre + révision périodique |
| Contrats sous-traitants | Direction juridique / Achats | À chaque renouvellement contractuel |
| Procédures droits des personnes | DPO + Service client | Semestrielle |
| Audit de sécurité | DSI / RSSI | Annuelle |
Cette checklist constitue un cadre de pilotage. Son déploiement opérationnel dépend de la taille de l'organisation, du volume de données traitées et du niveau de risque des traitements en cause.
FAQ
Le RGPD s'applique-t-il aux entreprises situées hors de l'Union européenne ?
Oui. L'article 3 du RGPD prévoit un critère de ciblage : toute organisation qui offre des biens ou services à des personnes situées dans l'UE, ou qui suit leur comportement en ligne, est soumise au règlement, quel que soit son lieu d'établissement.
Quelle est la différence entre le RGPD et la loi Informatique et Libertés ?
La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modifiée en 2019) est le texte français qui transpose et complète le RGPD. Le RGPD fixe le cadre européen commun. La loi française précise certaines dispositions nationales, notamment sur l'âge du consentement des mineurs (fixé à 15 ans en France) et sur les traitements de données pénales.
Est-il obligatoire de désigner un DPO dans toutes les entreprises ?
Non. La désignation d'un DPO est obligatoire uniquement pour les organismes publics, les entreprises dont l'activité de base implique un suivi systématique à grande échelle, et celles traitant des données sensibles à grande échelle. Toutefois, la CNIL recommande cette désignation même en l'absence d'obligation légale.
Quel est le délai pour notifier une violation de données à la CNIL ?
Le responsable de traitement doit notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures après en avoir pris connaissance (article 33). Si la violation est susceptible d'engendrer un risque élevé pour les personnes, celles-ci doivent également être informées directement (article 34).
Le RGPD en PDF disponible sur EUR-Lex est-il à jour ?
La version consolidée publiée sur EUR-Lex intègre les rectificatifs officiels publiés au Journal officiel de l'Union européenne. C'est la version de référence pour un usage juridique. Les PDF téléchargés sur des sites tiers peuvent ne pas inclure ces corrections.
Pour aller plus loin
Règlement (UE) 2016/679 du 27 avril 2016 - Règlement général sur la protection des données - EUR-Lex
Obligations en matière de protection des données personnelles (RGPD) - Service-Public.fr
Les six grands principes du RGPD - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
