Mis à jour le 1er mai 2026 — huit ans après l'entrée en application, et alors que l'AI Act déploie ses premières obligations contraignantes en s'appuyant sur le socle RGPD.
Le 25 mai 2018, à minuit une, la moitié des sites européens basculaient leurs bandeaux cookies. Huit ans plus tard, la CNIL a infligé près de 1,3 milliard d'euros d'amendes cumulées, le Comité européen de la protection des données (CEPD) a publié plus de soixante lignes directrices, et le Règlement (UE) 2016/679 est devenu, presque par accident, le texte de référence mondial sur les données personnelles. Le Brésil, la Californie, la Corée du Sud, l'Inde — tous ont copié-collé une partie de ses concepts. Ce que peu de gens disent : le RGPD n'a jamais été pensé pour l'IA générative, mais c'est lui qui en encadre aujourd'hui les usages, en attendant que l'AI Act prenne le relais sur les volets sécurité-produit.
Cette fiche n'est pas un n-ième résumé scolaire des 99 articles du règlement. C'est une lecture éditoriale, à destination des DPO et juristes données qui connaissent déjà le texte, de ce que la CNIL applique réellement, des points où la pratique s'écarte de la lettre, et de l'articulation avec l'AI Act (Règlement 2024/1689) qui occupe désormais une partie de notre registre réglementaire IA.
Notre note éditoriale : ce qui suit est une lecture, pas le texte. Le RGPD a force juridique tel qu'il est publié au Journal officiel de l'Union européenne du 4 mai 2016, dans toutes ses versions linguistiques officielles. Les interprétations que nous proposons ici — y compris celles inspirées des lignes directrices CEPD ou des délibérations CNIL — n'engagent ni les autorités, ni le législateur. En cas de doute opérationnel, le réflexe reste : lire l'article, lire le considérant, puis lire la position du CEPD.
Généalogie : pourquoi le RGPD n'est pas né en 2016
Il faut remonter à la Directive 95/46/CE pour comprendre. Adoptée à une époque où Google n'existait pas et où le mot "cloud" évoquait la météo, elle laissait chaque État membre transposer comme il l'entendait. Résultat : 28 régimes nationaux, 28 autorités avec des pouvoirs hétérogènes, et un marché unique numérique de façade. La Commission Reding lance les travaux de refonte en 2012. Quatre ans de trilogue, plus de 4 000 amendements parlementaires, le lobbying le plus intense jamais documenté à Bruxelles selon le rapport de LobbyPlag — et le 27 avril 2016, le texte est signé.
Publication au JOUE le 4 mai 2016, entrée en vigueur le 24 mai 2016, application le 25 mai 2018 : la transition de deux ans n'était pas un cadeau, c'était une nécessité technique. Refondre les contrats sous-traitants (article 28), nommer un DPO, tenir un registre des traitements (article 30), bâtir une procédure de notification de violation à 72 heures — peu d'organisations étaient prêtes en mai 2018. Beaucoup ne le sont toujours pas pleinement.
Ce qui a changé fondamentalement par rapport à 1995 : le RGPD est un règlement, pas une directive. Il s'applique directement, sans transposition. La loi 2018-493 du 20 juin 2018 n'a fait qu'adapter la loi 78-17 dite "Informatique et Libertés" aux marges de manœuvre laissées par le règlement (article 8 sur les mineurs, article 9 sur les données de santé, dispositions pénales). En pratique, c'est désormais le RGPD qu'on cite en premier, la loi 78-17 en complément.
Article 5 — les sept principes que la CNIL utilise vraiment comme grille de lecture
L'article 5 est le squelette. Quand un agent de la CNIL ouvre un dossier de contrôle, il ne commence pas par chercher la base juridique : il déroule l'article 5. Sept principes, sept grilles d'analyse :
- Licéité, loyauté, transparence — la base juridique tient-elle ? L'information délivrée à la personne est-elle compréhensible ?
- Limitation des finalités — la donnée collectée pour X est-elle utilisée pour X, ou aussi pour Y sans nouvelle base ?
- Minimisation — combien de champs collectés ne servent à rien ? Le formulaire d'inscription qui demande la civilité, la date de naissance et le code postal pour souscrire à une newsletter coche rarement cette case.
- Exactitude — les données sont-elles tenues à jour, et y a-t-il un mécanisme pour rectifier ?
- Limitation de la conservation — durée définie, archivage intermédiaire ou définitif, suppression en bout de chaîne.
- Intégrité et confidentialité — le volet sécurité, qui renvoie à l'article 32.
- Responsabilité (accountability) — non seulement vous respectez, mais vous le démontrez par écrit.
Notre lecture : le principe d'accountability est celui qui a le plus changé la pratique. Avant 2018, on déclarait à la CNIL et on dormait. Depuis, on documente : registre des traitements, AIPD, contrats de sous-traitance, politique de durée de conservation, journal des violations. Un cabinet ayant traité plusieurs contrôles de la formation restreinte nous le confirme : 80 % des griefs retenus dans les délibérations sanctionnatrices commencent par "le responsable de traitement n'a pas été en mesure de démontrer…". Ne pas pouvoir produire la preuve, c'est déjà une violation.
Article 6 et 9 — six bases juridiques, dont deux sont des pièges
L'article 6 énumère six bases : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime. Sur le papier, c'est simple. En pratique, deux d'entre elles concentrent l'essentiel des contentieux.
Le consentement (article 6.1.a) doit être libre, spécifique, éclairé, univoque — et démontrable. Les bandeaux cookies "j'accepte" hégémoniques de 2018-2020 ont été démolis par la CNIL en 2021-2022 précisément sur ce point : refuser doit être aussi simple qu'accepter. Google et Facebook s'en sont pris pour 150 et 60 millions d'euros en janvier 2022 sur ce seul motif. Notre lecture : le consentement est la base la plus fragile, parce que la moindre fissure dans la mécanique d'obtention le rend invalide rétroactivement. Préférez une autre base quand c'est possible.
L'intérêt légitime (article 6.1.f) est le couteau suisse — et le piège. Il exige un test en trois étapes (three-step test rappelé par le considérant 47 et systématisé par le CEPD) : finalité légitime, nécessité, balance des intérêts. La plupart des organisations cochent la première, oublient la deuxième, bâclent la troisième. Quand la CNIL ouvre le dossier, elle commence par demander le document du test. S'il n'existe pas, l'intérêt légitime tombe, et avec lui toute la base de licéité du traitement.
L'article 9, lui, traite des catégories particulières — santé, biométrie, opinions politiques, orientation sexuelle, données génétiques. Principe : interdiction. Exceptions limitées : consentement explicite, médecine du travail, santé publique, intérêt public important. C'est le terrain miné des cas d'usage IA dans la santé et les RH, où la qualification d'une donnée comme "particulière" peut basculer toute l'architecture juridique du traitement.
Articles 12-22 — droits des personnes, et ce que les services juridiques sous-estiment
Huit droits, articulés en cascade :
| Droit | Article | Délai standard | Piège opérationnel |
|---|---|---|---|
| Information | 13-14 | Au moment de la collecte | Mention légale ≠ politique RGPD complète |
| Accès | 15 | 1 mois (extensible 2) | Inclut une copie, pas seulement la liste |
| Rectification | 16 | 1 mois | Propagation aux destinataires (art. 19) |
| Effacement | 17 | 1 mois | Six exceptions (obligations légales, archives…) |
| Limitation | 18 | 1 mois | Souvent confondue avec l'effacement |
| Portabilité | 20 | 1 mois | Limité au consentement et au contrat |
| Opposition | 21 | Sans délai pour le marketing | Absolu pour la prospection |
| Décision automatisée | 22 | N/A | Pivot pour l'IA — voir AI Act |
L'article 22 est celui qui prend toute son importance avec l'IA générative et les systèmes de scoring. Toute décision produisant des effets juridiques ou similairement significatifs et fondée exclusivement sur un traitement automatisé doit pouvoir être contestée, faire l'objet d'une intervention humaine, et être expliquée. La CJUE, dans l'arrêt SCHUFA du 7 décembre 2023 (C-634/21), a élargi le champ : un score de crédit communiqué à un tiers qui s'y fie pour décider est lui-même une "décision" au sens de l'article 22. Cela fait basculer une partie des modèles de scoring B2B sous obligation pleine.
En pratique, ce qui coince le plus dans les contrôles : la qualité de la réponse aux demandes d'accès. Les organisations envoient une liste sèche, alors que l'article 15.3 demande une copie des données. La nuance est lourde : il faut produire la donnée elle-même, pas son inventaire.
Cartographier RGPD + AI Act sur un même traitement
Notre registre réglementaire IA consolide RGPD, AI Act, Data Act, Cyber Resilience Act et NIS 2 par cas d'usage, avec les obligations applicables et les autorités compétentes.
Consulter le registre →Articles 35 et 37 — DPIA et DPO, deux dispositifs souvent confondus
L'analyse d'impact relative à la protection des données (AIPD ou DPIA) de l'article 35 est obligatoire pour les traitements "susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques". La CNIL a publié une liste de neuf critères ; deux suffisent à déclencher l'obligation. La méthode : décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques, prévoir les mesures.
L'erreur classique : confondre AIPD et étude de sécurité ISO 27005. La première porte sur les droits des personnes, la seconde sur la sécurité des actifs informationnels. L'AIPD doit pouvoir être consultée par la CNIL ; elle doit être actualisée. Et — point que beaucoup ignorent — l'article 36 prévoit une consultation préalable de l'autorité quand le risque résiduel reste élevé après mesures. Très peu d'organisations utilisent ce mécanisme ; la CNIL nous a indiqué en 2024 que les saisines au titre de l'article 36 se comptent sur les doigts d'une main par an.
Le DPO (articles 37-39) est obligatoire pour les autorités publiques, les organisations dont l'activité de base implique un suivi régulier et systématique à grande échelle, ou un traitement à grande échelle de catégories particulières. Pas obligatoire = pas interdit : un DPO volontaire reste pleinement DPO au sens du règlement, avec ses obligations. Trois exigences statutaires : indépendance fonctionnelle, expertise, ressources. Le DPO ne peut pas être sanctionné pour l'exercice de ses missions, et il rapporte au plus haut niveau hiérarchique.
Notre lecture : le DPO mutualisé externe, devenu standard pour les ETI et les PME, fonctionne — à condition que le contrat prévoie un volume horaire réaliste. Un DPO à 8 heures par mois sur une organisation de 500 salariés multi-traitements n'est pas un DPO, c'est un alibi. La CNIL le sait, et lors d'un contrôle, elle examine le temps effectif passé.
Articles 33-34 — la notification à 72 heures, plus complexe qu'il n'y paraît
72 heures. Le chiffre est devenu un mantra. Mais l'article 33 contient des subtilités qui font la différence entre une notification recevable et une notification rejetée.
D'abord, le point de départ : la prise de connaissance par le responsable de traitement, pas la survenance de l'incident. Ce qui pose la question opérationnelle de la chaîne d'alerte interne — quand un administrateur système constate à 23h un dimanche soir une exfiltration suspecte, le compteur démarre. Beaucoup d'organisations apprennent, lors de leur premier incident, que leur procédure d'astreinte n'est pas calibrée pour ça.
Ensuite, le contenu : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises. Si tout n'est pas connu à 72 heures, on notifie en plusieurs temps — l'article 33.4 le permet explicitement. Une notification incomplète mais envoyée dans les délais vaut mieux qu'une notification complète envoyée le 4ème jour.
Enfin, l'article 34 — la notification aux personnes elles-mêmes — n'est obligatoire qu'en cas de "risque élevé". Le seuil est plus haut. La CNIL accepte que des mesures de chiffrement adéquates ou la suppression rapide effacent ce risque. Mais "adéquat" se prouve : un chiffrement AES-256 documenté ne se discute pas, un chiffrement maison ou un mot de passe maître stocké à côté du fichier, si.
Chapitre V — transferts internationaux, le champ de bataille permanent
Articles 44 à 50. Principe : un transfert hors UE/EEE n'est licite qu'encadré. Trois mécanismes principaux : décision d'adéquation de la Commission, garanties appropriées (clauses contractuelles types, BCR), dérogations pour situations particulières.
L'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) a invalidé le Privacy Shield USA. Pendant trois ans, les transferts vers les États-Unis ont reposé sur les clauses contractuelles types (CCT) modernisées en juin 2021, avec obligation d'analyse d'impact des transferts (TIA) — un exercice d'évaluation du droit du pays tiers que peu de juristes maîtrisent vraiment. Le 10 juillet 2023, la Commission a adopté une nouvelle décision d'adéquation pour le Data Privacy Framework, qui couvre les transferts vers des organisations américaines auto-certifiées. Cela a calmé le jeu, mais Schrems III est très probable — et certains DPO continuent à mettre en place des CCT en parallèle, par précaution.
Notre lecture : la prudence consiste à ne jamais s'en remettre à une seule garantie. Une organisation qui transfère vers un cloud américain devrait avoir ET la base DPF, ET des CCT en backup, ET un TIA documenté, ET des mesures techniques supplémentaires (chiffrement avec clés détenues en UE, par exemple). C'est ceinture, bretelles et parachute — mais c'est le seul moyen de tenir si un nouvel arrêt fait tomber l'une des couches.
Article 83 — l'arsenal des amendes, et ce qui déclenche vraiment les zéros
Deux paliers : 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les manquements aux obligations du responsable et du sous-traitant ; 20 millions ou 4 % pour les violations des principes, des droits et des règles de transferts. Le maximum applicable est le plus élevé des deux. L'article 83.2 énumère onze critères de modulation : nature et gravité, caractère intentionnel, mesures prises pour atténuer, antécédents, coopération avec l'autorité, catégories de données concernées, manière dont l'autorité a eu connaissance, mesures techniques et organisationnelles, certifications, codes de conduite, autres facteurs aggravants ou atténuants.
Le palmarès français des sanctions CNIL marquantes :
- LinkedIn — 310 M€ (octobre 2024) — défauts de base juridique pour l'analyse comportementale et la publicité ciblée. La sanction la plus lourde prononcée par la CNIL à ce jour.
- Meta (Facebook) — 60 M€ + Google — 150 M€ (janvier 2022) — bandeaux cookies non conformes, refus plus difficile que l'acceptation.
- Amazon Europe Core — 35 M€ (décembre 2020) — dépôt de cookies sans consentement préalable.
- Clearview AI — 20 M€ (octobre 2022) — collecte et reconnaissance faciale sans base juridique.
Au niveau européen, l'amende de 1,2 milliard d'euros infligée à Meta Platforms Ireland en mai 2023 par la DPC irlandaise, sur saisine du CEPD, reste le record absolu — pour des transferts de données vers les États-Unis pré-DPF.
Notre lecture : ce qui fait passer une sanction de 100 000 € à 10 millions, ce n'est pas tant la nature du manquement que le nombre de personnes concernées et la durée du non-respect. Un fichier de 50 millions d'utilisateurs avec une base juridique fragile depuis 5 ans coûte beaucoup plus qu'un défaut grave sur 1 000 dossiers. C'est mécanique, et c'est rarement explicite dans les communications post-sanction.
RGPD et AI Act — couches superposées, pas concurrentes
Le Règlement (UE) 2024/1689 sur l'IA (AI Act) ne remplace pas le RGPD. Il s'y ajoute. L'article 2.7 de l'AI Act le dit en toutes lettres : il est sans préjudice du RGPD. Concrètement, un système d'IA traitant des données personnelles relève des deux régimes, qui s'appliquent cumulativement.
La CNIL a publié en 2024-2025 une série de recommandations sur les systèmes d'IA qui clarifient des points comme : la base juridique pour entraîner un modèle sur des données scrappées (intérêt légitime possible mais sous conditions strictes), le statut des données d'entraînement (le modèle peut être considéré comme contenant des données personnelles), les droits des personnes vis-à-vis des modèles entraînés. Le CEPD a complété en décembre 2024 par un avis 28/2024 sur l'application du RGPD aux modèles d'IA.
Notre lecture : pour qui pilote la conformité IA, le RGPD est devenu le terrain de jeu principal des deux prochaines années, parce qu'il s'applique déjà. L'AI Act monte en puissance par paliers (interdictions au 2 février 2025, obligations GPAI au 2 août 2025, hauts risques au 2 août 2026). Pendant ce temps, la CNIL et ses homologues européens continuent à utiliser le RGPD pour cadrer les usages IA — avec un champ d'application plus large, puisque l'AI Act ne couvre pas tous les systèmes traitant des données personnelles.
Loi 78-17 modifiée — les marges de manœuvre françaises
Le RGPD laisse une cinquantaine de marges de manœuvre nationales (clauses dites "ouvertes"). La loi 78-17 du 6 janvier 1978, modifiée en 2018 puis par ordonnances, les exploite. Points saillants côté français :
- Mineurs — âge du consentement numérique fixé à 15 ans (article 7.1 de la loi), au-dessus du minimum européen de 13.
- Données de santé — régime de référentiel CNIL et autorisations spécifiques, articulé avec le Health Data Hub.
- Décisions administratives — encadrement spécifique de l'algorithmique publique (article 47 de la loi).
- Sanctions pénales — articles 226-16 à 226-24 du Code pénal, jusqu'à 5 ans d'emprisonnement pour les manquements les plus graves.
Sur le terrain, le DPO français travaille avec deux textes en parallèle : le RGPD pour le fond, la loi 78-17 pour les spécificités françaises et les renvois pénaux. Et il a intérêt à connaître les délibérations de la CNIL récentes, qui sont devenues le véritable corpus de doctrine applicable.
Sources primaires
- Règlement (UE) 2016/679 — texte consolidé sur EUR-Lex (ELI)
- Règlement (UE) 2024/1689 — AI Act
- CNIL — dossier RGPD complet
- Loi 78-17 du 6 janvier 1978 modifiée — Légifrance
- Comité européen de la protection des données (CEPD/EDPB)
- CJUE — arrêt Schrems II (C-311/18)
- CJUE — arrêt SCHUFA (C-634/21)
- Décision d'adéquation Data Privacy Framework (10 juillet 2023)
Autres textes du registre
- Registre réglementaire IA — vue d'ensemble
- Règlement (UE) 2024/1689 — AI Act, lecture éditoriale
- Directive NIS 2 — sécurité des systèmes critiques
- Data Act 2023/2854 — partage et accès aux données
Historique des révisions
- 2026-05-01 — Publication initiale. Dates, articles et autorités vérifiés contre EUR-Lex et Légifrance via l'API PISTE.
Réglementation IA Compliance Desk
Révisé le 2026-05-01 contre EUR-Lex et Légifrance via PISTE API.
Guide structurel et éditorial. Ne constitue pas un avis juridique. Interprétations qualifiées comme telles. Seuls les textes publiés au JOUE et au JORF prévalent.