Règlement (UE) 2016/679

RGPD

Règlement général sur la protection des données (UE) 2016/679

EUEEAVoir la régulation officielle

articles documentés

obligations actionnables

niveaux de sanction

En vigueur depuis

2018-05-25

Périmètre d'application

Entités concernées

• controller
• processor
• joint_controller

Seuils d'application

• Tout traitement de données personnelles dans l'UE (art. 3(1))
• Tout traitement par responsable hors UE ciblant des résidents UE (art. 3(2))
• Suivi du comportement de personnes situées dans l'UE

Exemptions

• Traitement par une personne physique pour une activité strictement personnelle ou domestique (art. 2(2)(c))
• Activités hors champ du droit de l'Union (PESC, sécurité nationale)

Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Art. 5

Principes relatifs au traitement

Six principes cumulatifs : licéité/loyauté/transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité/confidentialité, plus responsabilité (accountability) au §2.

Obligations

• Documenter la licéité, la finalité et la durée de conservation de chaque traitement
• Minimiser la collecte aux données strictement nécessaires
• Pouvoir démontrer la conformité à tout moment (principe accountability)

Art. 6

Licéité du traitement

Six bases légales exclusives : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes. Le choix de la base conditionne les droits exerçables.

Obligations

• Identifier et documenter la base légale avant toute collecte
• Réaliser un test de balance pour la base intérêt légitime (art. 6(1)(f))
• Vérifier la licéité spécifique pour données sensibles (art. 9) ou pénales (art. 10)

Art. 9

Traitement de catégories particulières

Interdiction de principe (origine, opinions, santé, biométrie, orientation sexuelle...) sauf 10 exceptions limitatives (consentement explicite, droit du travail, santé publique, etc.).

Obligations

• Lever explicitement le principe d'interdiction via l'une des 10 exceptions art. 9(2)
• Recueillir un consentement explicite (et non simple) si applicable
• Renforcer les mesures de sécurité proportionnellement (art. 32)

Art. 12-22

Droits des personnes concernées

Droits d'information, d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition, et de ne pas faire l'objet d'une décision automatisée (incl. profilage).

Obligations

• Répondre sous 1 mois (extensible 2 mois si complexité), gratuitement (art. 12(3-5))
• Mettre en place un point de contact (formulaire, email DPO)
• Documenter les décisions automatisées et profilage (art. 22)

Art. 25

Protection des données dès la conception et par défaut

Privacy by design et by default : intégrer les mesures techniques et organisationnelles dans l'architecture, paramétrer par défaut la collecte minimale.

Obligations

• Réaliser un Privacy by Design review à chaque nouvelle fonctionnalité
• Configurer les options par défaut pour minimiser la collecte (opt-in plutôt qu'opt-out)
• Documenter les choix techniques (pseudonymisation, chiffrement)

Art. 30

Registre des activités de traitement

Obligation pour le responsable et le sous-traitant de tenir un registre détaillé (finalités, catégories de données, transferts, conservation, mesures de sécurité). Obligatoire pour organisations >= 250 employés ou traitements à risque.

Obligations

• Tenir un registre à jour (format papier ou électronique)
• Le mettre à disposition de l'autorité de contrôle sur demande
• Inclure les transferts vers pays tiers avec garanties associées

Art. 32

Sécurité du traitement

Mesures techniques et organisationnelles appropriées au risque : pseudonymisation, chiffrement, confidentialité/intégrité/disponibilité, plan de continuité, tests réguliers.

Obligations

• Évaluer le niveau de risque (probabilité x gravité)
• Mettre en place pseudonymisation et/ou chiffrement quand pertinent
• Tester régulièrement les mesures (audits, tests d'intrusion)

Art. 33-34

Notification des violations de données

Notification à l'autorité de contrôle sous 72h en cas de violation (sauf risque improbable). Communication aux personnes concernées si risque élevé.

Obligations

• Détecter et documenter toute violation (date, nature, catégories, mesures)
• Notifier l'autorité sous 72h après en avoir pris connaissance (art. 33)
• Communiquer aux personnes en cas de risque élevé (art. 34)

Art. 35

Analyse d'impact relative à la protection des données (AIPD/DPIA)

AIPD obligatoire pour traitements susceptibles d'engendrer un risque élevé (profilage systématique, données sensibles à grande échelle, surveillance systématique).

Obligations

• Identifier les traitements nécessitant une AIPD (liste CNIL+EDPB)
• Documenter description, nécessité, risques, mesures (art. 35(7))
• Consulter l'autorité si le risque résiduel reste élevé (art. 36)

Art. 44-49

Transferts vers pays tiers

Transferts hors UE/EEE encadrés : décision d'adéquation, clauses contractuelles types (CCT), règles d'entreprise contraignantes (BCR), ou dérogations art. 49.

Obligations

• Identifier le mécanisme de transfert applicable (art. 45-49)
• Réaliser un Transfer Impact Assessment (TIA) post-Schrems II
• Documenter les garanties supplémentaires (chiffrement, contrôle d'accès)

Obligations transverses

11 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

DocumentationArt. 30
Tenir un registre des activités de traitement (art. 30)
Si : >= 250 employees · traitement non occasionnel · traitement à risque · données sensibles ou pénales
GouvernanceArt. 37 · Art. 38 · Art. 39
Désigner un DPO si conditions remplies (art. 37)
Si : autorité ou organisme public · suivi régulier et systématique à grande échelle · traitement de catégories particulières à grande échelle
ProcessArt. 35 · Art. 36
Réaliser une AIPD pour traitements à risque élevé (art. 35)
Si : profilage systématique · données sensibles à grande échelle · surveillance systématique
TechniqueArt. 32
Mettre en place pseudonymisation et chiffrement quand pertinent (art. 32)
ProcessArt. 12 · Art. 15-22
Répondre aux demandes d'exercice de droits sous 1 mois (art. 12)
NotificationArt. 33 · Art. 34
Notifier l'autorité de contrôle sous 72h en cas de violation (art. 33)
GouvernanceArt. 28
Encadrer les sous-traitants par contrat conforme (art. 28)
DocumentationArt. 13 · Art. 14
Informer les personnes concernées au moment de la collecte (art. 13-14)
ProcessArt. 44 · Art. 45 · Art. 46 · Art. 47 · Art. 49
Encadrer les transferts hors UE (décision adéquation / CCT / BCR / dérogations)
GouvernanceArt. 25
Privacy by Design et by Default sur tous les nouveaux traitements (art. 25)
ProcessArt. 7
Documenter et conserver les preuves de consentement (art. 7)
Si : base légale = consentement

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · Art. 83(5)

20 M€ ou 4 % du CA mondial annuel (le plus élevé)

Violations des principes (art. 5, 6, 7, 9), des droits des personnes (art. 12-22), des transferts internationaux (art. 44-49) et non-respect d'une injonction d'autorité

Base légale · Art. 83(4)

10 M€ ou 2 % du CA mondial annuel (le plus élevé)

Violations des obligations du responsable / sous-traitant (art. 8, 11, 25-39, 41-43)

Articulation avec l'AI Act

Toute IA traitant des données personnelles relève cumulativement du RGPD et de l'AI Act. Articulation pratique : (1) base légale RGPD (art. 6) requise pour la collecte des données d'entraînement et d'inférence ; (2) l'AIPD RGPD (art. 35) doit être étendue en FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) pour les systèmes haut-risque ; (3) la gouvernance des données AI Act (art. 10) doit respecter les principes de minimisation et d'exactitude RGPD ; (4) le droit à l'explication d'une décision automatisée (art. 22 RGPD) se combine avec les obligations de transparence AI Act (art. 13, 50, 86).

Retour à /coverage Lancer le Diagnostic Flash Discuter de votre périmètre