Glossaire · Droit européen de la vie privée RGPD (General Data Protection Regulation)
Le règlement européen, en vigueur depuis mai 2018, qui protège les données personnelles des résidents de l'UE et façonne la manière dont chaque entreprise dans le monde traite leurs données.
## Ce que le RGPD fait réellement
Le Règlement général sur la protection des données (Règlement (UE) 2016/679) est entré en vigueur le 25 mai 2018, remplaçant la directive de 1995 sur la protection des données. Il s'applique à toute organisation traitant les données personnelles de personnes dans l'UE, indépendamment du lieu d'établissement de l'organisation.
Les données personnelles au sens du RGPD incluent tout ce qui peut identifier une personne, directement ou indirectement : nom, e-mail, adresse IP, identifiant d'appareil, localisation, biométrie, identifiants en ligne — la définition est volontairement large.
## Les sept principes
Le RGPD établit sept principes que tout traitement de données personnelles doit respecter :
1. **Licéité, loyauté et transparence** — traiter les données uniquement avec une base légale valable, clairement expliquée
2. **Limitation des finalités** — collecter les données uniquement pour des finalités spécifiques et déclarées
3. **Minimisation des données** — collecter uniquement ce qui est réellement nécessaire
4. **Exactitude** — maintenir les données à jour et corriger les erreurs
5. **Limitation de la conservation** — conserver les données uniquement le temps nécessaire
6. **Intégrité et confidentialité** — sécuriser les données contre tout accès non autorisé
7. **Responsabilité** — être en mesure de démontrer la conformité
## Les droits que le RGPD accorde aux résidents de l'UE
Les résidents de l'UE disposent de huit droits spécifiques concernant leurs données personnelles :
- **Droit d'accès** (article 15) — demander une copie de ses données
- **Droit de rectification** (article 16) — corriger les données inexactes
- **Droit à l'effacement / droit à l'oubli** (article 17) — demander la suppression
- **Droit à la limitation du traitement** (article 18) — limiter l'utilisation des données
- **Droit à la portabilité des données** (article 20) — recevoir les données dans un format lisible par machine
- **Droit d'opposition** (article 21) — s'opposer au traitement, y compris au marketing direct
- **Droits relatifs à la décision automatisée** (article 22) — limites aux décisions IA/algorithmiques
- **Droit à l'information** — savoir comment les données sont traitées
## Pourquoi le RGPD a façonné la tech mondiale
La portée territoriale du RGPD (article 3) signifie qu'il s'applique de manière extraterritoriale — toute entreprise proposant des biens/services aux résidents de l'UE ou surveillant leur comportement doit s'y conformer, quel que soit son lieu d'établissement.
Résultat : la plupart des grandes entreprises tech mondiales ont construit une infrastructure conforme au RGPD pour leurs utilisateurs européens, et beaucoup ont étendu ces protections à l'échelle mondiale plutôt que de maintenir des systèmes séparés.
La structure des sanctions a rendu l'application crédible : amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Meta, Amazon et des dizaines d'autres grandes entreprises tech ont reçu des amendes à neuf chiffres.
## Pourquoi le RGPD compte dans le choix d'outils
Pour les entreprises européennes choisissant des logiciels, le RGPD crée deux pressions de conformité :
1. **Souveraineté des sous-traitants** — si votre outil utilise des sous-traitants basés aux États-Unis, les transferts de données transatlantiques nécessitent des garanties supplémentaires (CCT, TIA)
2. **Exécution des droits des personnes concernées** — vos outils doivent prendre en charge l'exportation, la suppression et l'accès aux données ; certains outils américains gèrent mal cela
Les outils nativement européens intègrent ces exigences dans leur architecture ; les outils américains adaptent généralement la conformité par configuration. Les deux peuvent techniquement atteindre la conformité, mais la friction diffère significativement.
## Évolutions récentes
- **L'arrêt Schrems II (2020)** a invalidé le Privacy Shield UE-États-Unis, compliquant les transferts transatlantiques
- **Les clauses contractuelles types** mises à jour en 2021 pour répondre aux préoccupations de Schrems II
- **Le Cadre de protection des données UE-États-Unis** (2023) a remplacé le Privacy Shield mais fait face à des contestations juridiques en cours
- **Révision du RGPD** en cours sur 2025-2026 — possible « RGPD 2.0 » pour répondre aux incohérences d'application et à la charge de conformité pour les PME
Cela vous a-t-il été utile ?
Merci pour votre retour !