Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > RGPD 🟩 Règlementation

RGPD 🟩 Règlementation

Le règlement général sur la protection des données (RGPD) (règlement n° 2016/679) est une loi européenne qui établit un cadre juridique harmonisé pour la protection des données personnelles des citoyens de l’Union Européenne (UE) et de l’Espace Économique Européen (EEE).

Adopté le 27 avril 2016 et entré en application le 25 mai 2018, le RGPD s’applique directement dans tous les États membres, sans nécessiter de loi de transposition. En France, la Commission nationale de l’informatique et des libertés (CNIL) veille à son application et accompagne les acteurs vers la conformité. En Allemagne, c’est le BfDI qui supervise son application, l’AEPD en Espagne.

🎯 Objectifs principaux

 

  1. Renforcer les droits des individus : donner aux citoyens un contrôle accru sur leurs données et limiter les abus.
  2. Responsabiliser les organisations (entreprises, administrations, associations, etc.) qui collectent et traitent ces données : imposer aux organisations une obligation de transparence et de sécurité.
  3. Harmoniser les règles en Europe : faciliter la libre circulation des données tout en assurant un niveau de protection élevé.
  4. Adapter le droit aux enjeux numériques : répondre aux risques liés aux nouvelles technologies (big data, IA, surveillance de masse).

 

🔑 Principes fondamentaux

Le RGPD repose sur 7 piliers structurants visant à garantir un traitement des données transparent, éthique et sécurisé :

  1. Licéité, loyauté et transparence
    Les données doivent être traitées sur une base légale (consentement, contrat, obligation légale, etc.), de manière loyale et avec une information claire pour la personne concernée.
  2. Limitation des finalités
    Les données ne doivent être collectées que pour des finalités spécifiques, explicites et légitimes, et ne pas être utilisées ultérieurement de manière incompatible.
  3. Minimisation des données
    Seules les données strictement nécessaires aux finalités définies doivent être collectées.
  4. Exactitude des données
    Les données doivent être exactes et, le cas échéant, mises à jour pour éviter tout traitement basé sur des informations erronées.
  5. Limitation de la conservation
    Les données personnelles ne doivent être conservées que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, sauf obligation légale.
  6. Intégrité et confidentialité
    Des mesures techniques et organisationnelles appropriées doivent être mises en place pour garantir la sécurité, l’intégrité et la confidentialité des données.
  7. Responsabilité (Accountability)
    Les organisations doivent être capables de démontrer leur conformité au RGPD par la mise en œuvre de politiques internes (formations…) et une documentation rigoureuse des traitements (registres, audits…).

 

🌍 Champ d’application

Le RGPD a un champ d’application extraterritorial.

Il s’applique à toute organisation, qu’elle soit publique ou privée, située dans l’UE ou non, dès lors qu’elle :

  • Traite des données personnelles de personnes résidant dans l’UE.
  • Offre des biens ou services (gratuits ou payants) à ces personnes.
  • Surveille leur comportement (par exemple, via le suivi de navigation ou le ciblage publicitaire).

Ainsi, même des entreprises basées hors de l’UE (aux États-Unis, en Chine, etc.) sont concernées si elles traitent les données de citoyens européens.

Il s’applique donc aux sous-traitants (hébergeurs, prestataires cloud) ainsi qu’aux responsables de traitement, même si le traitement est gratuit (ex. : réseaux sociaux, applications mobiles).

👥 Droits renforcés pour les individus

Le RGPD confère aux citoyens européens un contrôle accru sur leurs données personnelles en leur octroyant plusieurs droits fondamentaux :

  • Droit d’accès : obtenir la confirmation de l’existence de données les concernant et en recevoir une copie sous 1 mois (gratuitement, sauf abus).
  • Droit de rectification : demander la correction des données inexactes ou incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») : dans certains cas, exiger la suppression des données.
  • Droit à la limitation du traitement : demander la restriction temporaire ou définitive du traitement des données (ex. : pendant un litige)..
  • Droit à la portabilité des données : récupérer les données dans un format structuré et les transférer à un autre responsable du traitement (ex. : exporter ses playlists Spotify)
  • Droit d’opposition : s’opposer au traitement des données, notamment en cas de prospection commerciale.
  • Droit de ne pas être soumis à une décision automatisée : refuser qu’une décision ayant des effets juridiques ou significatifs soit basée exclusivement sur un traitement automatisé (y compris le profilage).

 

🛡️ Obligations pour les organisations

Pour se conformer au RGPD, les organisations doivent mettre en place un certain nombre de mesures et de procédures :

  1. Documentation :
    • Tenir un registre des traitements (obligatoire pour les entreprises de +250 salariés ou traitant des données sensibles).
    • Rédiger des AIPD (analyses d’impact) pour les activités à risque (ex. : reconnaissance faciale).
  2. Gouvernance :
    • Désigner un DPO (délégué à la protection des données) si activités de traitement à grande échelle ou sensibles (santé, justice).
    • Signer des accords de traitement avec les sous-traitants pour encadrer leurs obligations.
  3. Sécurité :
    • Mettre en œuvre des mesures techniques (anonymisation, sauvegardes chiffrées) et des procédures (gestion des accès, alertes en cas de faille).
    • Notifier les violations de données sous 72 heures à l’autorité compétente.
  4. Conformité internationale :
    • Utiliser des Clauses Contractuelles Types (CCT) ou des Règles d’Entreprise Contraignantes (BCR) pour les transferts hors UE.

 

🚨 Sanctions en cas de non-conformité

Les autorités de protection des données, comme la CNIL en France, disposent de pouvoirs d’investigation et de sanction.

Les sanctions peuvent être particulièrement sévères, notamment :

  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour certaines infractions.
  • Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel pour les violations les plus graves (par exemple, le non-respect des droits des personnes ou l’absence de base légale pour le traitement).

Correctifs : amendes complétées par des injonctions (ex. : suspendre un traitement illégal) ou des astreintes journalières.

Les autorités nationales coopèrent via le mécanisme de guichet unique : une entreprise multinationale relève d’une autorité chef de file (ex. : la CNIL pour Apple en Europe).

👉 Exemples de sanctions :

  • 746 M€ contre Amazon (2021) pour traçage publicitaire non conforme.
  • 1,2 Md€ contre Meta (2023) pour transferts illicites de données vers les États-Unis.
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité