RGPD
Le RGPD, pour Règlement général sur la protection des données (ou GDPR en anglais, pour General Data Protection Regulation), est le cadre juridique européen qui encadre le traitement des données personnelles dans l'Union européenne depuis le 25 mai 2018. Son objectif principal est de renforcer les droits des personnes et leur vie privée, tout en responsabilisant les organismes dans leur gestion des données.
Cette définition couvre également les termes :
- Règlement Général sur la Protection des Données
Définition simple : à quoi sert le RGPD ?
Le RGPD sert avant tout à protéger les informations personnelles des citoyens européens. Concrètement, il encadre la manière dont les organismes publics et privés peuvent collecter, utiliser et conserver les données qui concernent les personnes : nom, adresse, numéro de téléphone, historique de navigation, données de santé, etc.
Pour les collectivités territoriales françaises, ce règlement européen répond à trois objectifs principaux. Le premier est de renforcer les droits des personnes : chaque citoyen doit pouvoir savoir quelles données sont collectées sur lui, dans quel but et pendant combien de temps. Le deuxième objectif est de responsabiliser les organismes qui traitent ces données : ils doivent être capables de démontrer leur conformité à tout moment, notamment via des registres et des procédures documentées. Le troisième objectif consiste à harmoniser les règles dans toute l'Union européenne, pour garantir un niveau de protection équivalent dans tous les États membres.
Dans la pratique, le RGPD oblige les collectivités à se poser les bonnes questions dès qu'elles lancent un nouveau service numérique, qu'il s'agisse d'un portail de démarches en ligne, d'un fichier scolaire ou d'un système de vidéoprotection. Les entreprises privées qui traitent des données personnelles sont également concernées par ces mêmes exigences, quel que soit leur secteur d'activité.
Définition technique du RGPD (GDPR)
D'un point de vue juridique, le RGPD encadre les les traitements de données à caractère personnel. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Un traitement recouvre quant à lui toute opération réalisée sur ces données : collecte, enregistrement, organisation, conservation, modification, consultation, transmission, diffusion, rapprochement ou effacement.
Le RGPD repose sur plusieurs grands principes structurants :
- la finalité déterminée, c'est-à-dire l'interdiction de collecter « au cas où » ;
- la minimisation des données, qui impose de ne traiter que ce qui est nécessaire ;
- la transparence, avec une information claire des personnes ;
- la durée de conservation limitée ;
- la sécurité et la confidentialité ;
- et la responsabilisation, qui oblige l'organisme à documenter et démontrer sa conformité.
Le RGPD impose aussi de qualifier correctement les acteurs du traitement : responsable de traitement, sous-traitant, responsables conjoints, ainsi que, dans certains cas, la désignation d'un DPO. Le choix de la base juridique est également une étape déterminante : consentement, contrat, obligation légale, mission d'intérêt public, intérêt légitime , etc. Ce champ d'application large couvre l'ensemble des secteurs publics et privés dès lors qu'ils traitent des données personnelles.
Cadre juridique et réglementaire : le RGPD, loi européenne de protection des données
Le RGPD constitue un règlement européen directement applicable dans l'ensemble des États membres de l'Union européenne depuis le 25 mai 2018. Contrairement à une directive, ce texte ne nécessite aucune transposition nationale, ce qui garantit une harmonisation complète du cadre juridique sur tout le territoire européen.
En France, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a modifié la loi Informatique et Libertés afin d'adapter le droit national. Elle exerce les marges de manœuvre autorisées par le règlement européen, notamment sur le traitement des données de santé, la fixation à 15 ans du seuil de consentement des mineurs ou encore les dispositions relatives à la mort numérique.
La CNIL, autorité de contrôle en France, veille au respect de ce cadre juridique et dispose de pouvoirs étendus en matière de contrôle et de sanction. Les sanctions administratives peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les entreprises. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de 486,8 millions d'euros, dont une amende de 5 millions d'euros à l'encontre de France Travail pour défaut de sécurité des données.
Le RGPD encourage également l'adoption de codes de conduite sectoriels pour faciliter la mise en conformité. Il reconnaît plusieurs bases légales pour traiter des données, dont l'obligation légale et la mission d'intérêt public, particulièrement pertinentes pour les collectivités territoriales.
Cas d'usage du RGPD dans les collectivités et les entreprises
Dans une collectivité territoriale, le RGPD s'applique dès qu'un service gère les dossiers d'état civil, les fichiers scolaires, les inscriptions périscolaires, les demandes sociales, les données RH, les systèmes de vidéoprotection ou les formulaires en ligne. Les sites internet des collectivités sont également concernés : la conformité passe par la gestion des cookies et le recueil du consentement préalable des usagers pour les cookies non strictement nécessaires au fonctionnement du site.
Le règlement intervient aussi dans des projets plus récents, comme les plateformes de données, les outils d'IA générative, les services cloud, les objets connectés ou les hyperviseurs territoriaux, qui nécessitent une gouvernance claire des données, des bases légales adaptées, des clauses contractuelles maîtrisées et des mesures techniques de sécurité solides.
Dans la pratique, le RGPD oblige la collectivité à se poser les bonnes questions dès le démarrage du projet : quelles données sont traitées ? pour quelle finalité ? pendant combien de temps ? qui y accède ? où sont-elles hébergées ? quels sont les droits des personnes ? faut-il une analyse d'impact relative à la protection des données (AIPD) ? Cette dernière est notamment obligatoire pour la vidéoprotection à grande échelle, comme le précise la CNIL.
| Cas d'usage | Action RGPD associée |
|---|---|
| Site internet de la collectivité | Gestion des cookies et recueil du consentement |
| Vidéoprotection à grande échelle | Analyse d'impact relative à la protection des données (AIPD) |
| Outils d'IA générative | Encadrement des données, clauses contractuelles, formation des agents |
| Services en ligne aux usagers | Information claire, respect des droits, sécurisation des données |