Qu'est-ce que le RGPD ?

Le RGPD, pour Règlement général sur la protection des données (ou GDPR en anglais, pour General Data Protection Regulation), est le cadre juridique européen qui encadre le traitement des données personnelles dans l'Union européenne depuis le 25 mai 2018.

Son objectif est triple : renforcer les droits des personnes et leur vie privée, responsabiliser les organismes qui traitent des données et imposer la capacité de démontrer sa conformité à tout moment.

Le RGPD s'applique aux organismes publics comme privés et constitue un véritable cadre de gouvernance de la protection des données personnelles qui impose de penser les usages numériques à partir de la finalité, de la proportionnalité, de la transparence, de la sécurité et du respect des droits.

Définition technique du RGPD (General Data Protection Regulation)

D'un point de vue juridique, le RGPD encadre les traitements de données à caractère personnel. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Un traitement recouvre quant à lui toute opération réalisée sur ces données : collecte, enregistrement, organisation, conservation, modification, consultation, transmission, diffusion, rapprochement ou effacement.

Le RGPD est un règlement européen directement applicable dans tous les États membres de l'Union européenne depuis le 25 mai 2018. Contrairement à une directive, ce règlement ne nécessite aucune transposition nationale, ce qui garantit l'harmonisation des règles sur l'ensemble du territoire européen et facilite la libre circulation des données personnelles au sein de l'UE.

Le RGPD repose sur plusieurs grands principes structurants :

• la finalité déterminée, c'est-à-dire l'interdiction de collecter "au cas où" ;
• la minimisation des données, qui impose de ne traiter que ce qui est nécessaire ;
• la transparence, avec une information claire des personnes ;
• la durée de conservation limitée ;
• la sécurité et la confidentialité ;
• et la responsabilisation, qui oblige l'organisme à documenter et démontrer sa conformité.

Le RGPD impose aussi de qualifier correctement les acteurs du traitement : responsable de traitement, sous-traitant, responsables conjoints, ainsi que, dans certains cas, la désignation d'un DPO. Le choix de la base juridique est également une étape déterminante : consentement, contrat, obligation légale, mission d'intérêt public, intérêt légitime, etc. Ce champ d'application large couvre l'ensemble des secteurs publics et privés dès lors qu'ils traitent des données personnelles.

Enjeux et impacts du RGPD : sanctions et traitement de données

Le premier enjeu du RGPD est la protection des droits et libertés des personnes. Les individus doivent pouvoir comprendre ce qui est fait de leurs données, garder un droit de regard sur celles-ci et disposer de moyens concrets pour agir. C'est pourquoi le règlement reconnaît notamment le droit à l'information, le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la limitation, le droit à la portabilité et le droit d'opposition, selon les cas.

Le deuxième enjeu est la responsabilisation des organismes. Le RGPD ne repose pas sur une logique purement déclarative : il impose aux structures de se mettre en capacité de prouver qu'elles respectent les règles, via des registres, des contrats, des procédures, des analyses d'impact et des mesures techniques et organisationnelles adaptées. Cette obligation s'applique aussi bien aux entreprises qu'aux collectivités territoriales.

Le troisième enjeu est opérationnel. Dans une collectivité, le RGPD n'est pas un sujet isolé du reste du numérique : il impacte les outils métiers, les applications RH, les portails de démarches, l'hébergement cloud, l'IA générative, les objets connectés, la vidéoprotection, les plateformes de données et les projets transversaux comme les hyperviseurs.

Enfin, le RGPD a aussi un impact réputationnel et financier. Le non-respect des obligations peut exposer à des contrôles de la CNIL, l'autorité de contrôle en France, à des injonctions, des atteintes à la confiance et à des sanctions administratives significatives. Le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de 486,8 millions d'euros, dont une amende de 5 millions d'euros à l'encontre de France Travail pour défaut de sécurité des données.

Cas d'usage du RGPD dans les collectivités et les entreprises

Dans une collectivité territoriale, le RGPD s'applique dès qu'un service gère les dossiers d'état civil, les fichiers scolaires, les inscriptions périscolaires, les demandes sociales, les données RH, les systèmes de vidéoprotection ou les formulaires en ligne. Les sites internet des collectivités sont également concernés : la conformité passe par la gestion des cookies et le recueil du consentement préalable des usagers pour les cookies non strictement nécessaires au fonctionnement du service.

Le règlement intervient aussi dans des projets plus récents, comme les plateformes de données, les outils d'IA générative, les services cloud, les objets connectés ou les hyperviseurs territoriaux, qui nécessitent une gouvernance claire des données, des bases légales adaptées, des clauses contractuelles maîtrisées et des mesures techniques de sécurité solides.

Dans la pratique, le RGPD oblige la collectivité à se poser les bonnes questions dès le démarrage du projet : quelles données sont traitées ? pour quelle finalité ? pendant combien de temps ? qui y accède ? où sont-elles hébergées ? quels sont les droits des personnes ? faut-il une analyse d'impact relative à la protection des données (AIPD) ? Cette dernière est notamment obligatoire pour la vidéoprotection à grande échelle, comme le précise la CNIL.

Pour progresser concrètement, la mise en œuvre de la conformité RGPD passe par plusieurs actions structurantes : cartographier l'ensemble des traitements de données personnelles et tenir un registre actualisé, clarifier les bases légales des traitements, informer correctement les personnes dès la collecte, désigner un délégué à la protection des données (DPO) lorsque cela est obligatoire, sécuriser l'hébergement et les sous-traitants, former les agents et documenter les usages numériques sensibles et réaliser des analyses d'impact pour les traitements à risque.