Qu’est-ce que le RGPD pour les nuls ?

Le RGPD encadre la collecte et l’utilisation des données personnelles dans l’Union européenne depuis mai 2018. Huit ans après son entrée en application, ce règlement continue de se transformer : la CNIL durcit ses contrôles, le registre des traitements évolue, et l’intelligence artificielle redistribue les cartes de la conformité. Mesurer ces changements permet de comprendre ce que le RGPD signifie concrètement pour une entreprise ou un particulier aujourd’hui.

RGPD et contrôles CNIL en 2026 : ce qui change dans les faits

Les concurrents expliquent le RGPD comme un texte figé depuis 2018. La réalité est différente : le cadre réglementaire se resserre chaque année, et 2026 marque une accélération visible.

Lire également : Quelles sont les initiatives en matière de diversité et d’inclusion ?

La CNIL a inscrit la conformité IA au programme de ses contrôles 2026. Les systèmes utilisant des données personnelles pour entraîner des modèles ou personnaliser des réponses sont désormais dans le périmètre d’inspection. Cela concerne aussi bien les grands groupes que les PME qui intègrent des outils d’intelligence artificielle dans leur relation client.

Les sanctions liées aux violations de sécurité et aux manquements RGPD augmentent fortement. Les procédures pour défaut de sécurisation et mauvaise gestion des violations de données se multiplient, notamment dans le secteur de la santé où la CNIL a prononcé de nouvelles sanctions.

A lire également : Quel est le principal problème du développement durable ?

Homme tenant un smartphone affichant un bandeau de cookies, symbolisant la gestion des données personnelles et le RGPD au quotidien

Le modèle de registre des traitements a été mis à jour par la CNIL en 2026. Il intègre un champ spécifique pour signaler la présence ou non d’enregistrements de conversations téléphoniques. Le point marquant : l’absence de mention d’un traitement vaut présomption de non-conformité sur tout le cycle concerné. Autrement dit, ne pas documenter un traitement revient, aux yeux du régulateur, à reconnaître implicitement un manquement.

La CNIL a aussi publié une recommandation sur les pixels de suivi dans les e-mails. Ces traceurs invisibles, utilisés massivement en marketing, tombent désormais sous une règle explicite qui impose le consentement préalable.

Sanctions RGPD : tableau comparatif des risques selon le type de manquement

Tous les manquements au RGPD ne se valent pas. Le règlement prévoit deux paliers de sanctions administratives, et les récentes décisions de la CNIL montrent quels domaines concentrent les poursuites.

Type de manquement Palier de sanction Tendance 2026
Défaut de sécurisation des données Jusqu’à 2 % du chiffre d’affaires annuel mondial ou 10 millions d’euros Hausse marquée des procédures
Traitement sans base légale ou sans consentement valide Jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros Focus sur les données de santé et l’IA
Absence de registre des traitements à jour Jusqu’à 2 % du chiffre d’affaires annuel mondial ou 10 millions d’euros Présomption de non-conformité si traitement non mentionné
Pixels de suivi e-mails sans consentement Jusqu’à 2 % du chiffre d’affaires annuel mondial ou 10 millions d’euros Nouvelle recommandation CNIL 2026
Non-respect des droits des personnes (accès, effacement, portabilité) Jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros Stable, mais délais de réponse surveillés

Le palier le plus élevé concerne les atteintes aux droits fondamentaux des personnes : traitement illicite, absence de consentement, refus d’exercice des droits. En revanche, les manquements organisationnels (registre, notification de violation) relèvent du palier inférieur mais font l’objet d’un contrôle renforcé.

Données personnelles et RGPD : ce que le règlement protège vraiment

Une donnée personnelle au sens du RGPD, c’est toute information qui permet d’identifier directement ou indirectement une personne. Le nom, l’adresse e-mail, un numéro de téléphone, une adresse IP, mais aussi les préférences notées dans un carnet papier chez un commerçant.

Le RGPD ne se limite pas au numérique. Un fichier client sur tableur, un dossier patient en version papier, un registre associatif manuscrit : tous ces supports entrent dans le périmètre dès qu’ils contiennent des informations rattachables à une personne physique.

Le traitement de données couvre un spectre large :

  • La collecte (formulaire en ligne, inscription à une newsletter, création de compte client)
  • Le stockage (base de données, cloud, classeur physique)
  • L’utilisation (segmentation marketing, analyse comportementale, personnalisation de contenu)
  • La transmission à un tiers (sous-traitant technique, partenaire commercial, hébergeur)

Chaque traitement doit reposer sur une base légale parmi six possibilités : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public ou intérêt légitime. Le consentement reste la base la plus visible pour le grand public, mais il n’est ni la seule ni toujours la plus appropriée.

Conformité RGPD et intelligence artificielle : les chantiers 2026-2028

L’articulation entre le RGPD et l’AI Act européen constitue le prochain défi réglementaire. La CNIL a inscrit les systèmes d’IA au programme de ses contrôles 2026, et les obligations issues de l’AI Act monteront en puissance jusqu’en 2027 avec les premières exigences de reporting pour les systèmes à haut risque.

L’IA générative pose un problème structurel au RGPD : les données d’entraînement contiennent souvent des informations personnelles collectées sans consentement explicite. La question de la base légale applicable à ces traitements massifs reste ouverte, et la CNIL multiplie les prises de position pour encadrer ces pratiques.

Trois points de friction concentrent l’attention des régulateurs :

  • Le droit à l’effacement appliqué aux modèles d’IA (peut-on « désapprendre » une donnée intégrée dans un modèle ?)
  • La transparence algorithmique exigée par le RGPD face à des systèmes opaques par conception
  • La qualification juridique du rôle de chaque acteur dans la chaîne (responsable de traitement, sous-traitant, co-responsable)

Pour les organisations, la conformité RGPD ne se sépare plus de la conformité IA. Les entreprises qui déploient des outils d’intelligence artificielle doivent intégrer ces deux cadres réglementaires dès la conception du projet, sous peine de cumul de sanctions.

Groupe de professionnels en réunion discutant de documents relatifs au RGPD et à la protection des données personnelles

Le RGPD de 2026 n’est plus celui de 2018. Le registre des traitements devient un document à charge en cas de lacune, les pixels de suivi dans les e-mails nécessitent un consentement explicite, et les contrôles CNIL ciblent désormais l’intelligence artificielle. Pour une entreprise, la donnée la plus coûteuse n’est pas celle qu’on collecte, c’est celle qu’on ne documente pas.

Ne ratez rien de l'actu