RGPD : Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD), règlement UE 2016/679 adopté le 27 avril 2016, constitue le texte de référence en matière de protection des données à caractère personnel dans l'Union européenne. Applicable depuis le 25 mai 2018, il encadre le traitement des données personnelles par les organisations publiques et privées établies dans l'UE ou ciblant des résidents européens. Le RGPD impose un principe de responsabilité (accountability) : le responsable de traitement doit démontrer sa conformité à tout moment.

Détails et contexte réglementaire

Le RGPD renforce et unifie la protection des données pour les individus au sein de l'Union européenne et abroge la directive 95/46/CE. Contrairement à une directive, un règlement européen est directement applicable dans tous les États membres sans nécessiter de transposition, garantissant ainsi une harmonisation juridique. Il établit un système d'autorités de supervision pleinement indépendantes chargées de surveiller et de faire respecter la conformité — en France, la CNIL.

Le RGPD couvre tout traitement de données à caractère personnel (nom, adresse e-mail, numéro de téléphone, adresse IP, données de santé, etc.). Il impose six principes fondamentaux : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation et intégrité. Le règlement consacre également le principe de « responsabilité » (accountability), selon lequel le responsable de traitement doit être en mesure de démontrer à tout moment le respect des obligations prévues par le RGPD. Les organisations doivent tenir un registre de traitement, réaliser des analyses d'impact (AIPD) pour les traitements à risque, notifier les violations de données sous 72 heures à l'autorité et, si nécessaire, aux personnes concernées.

Le régime de sanction est sévère : les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Lien avec NIS2

RGPD et NIS2 sont complémentaires et cumulables. La directive NIS 2 traite des systèmes d'information et de la continuité d'activité alors que le RGPD traite des données à caractère personnel. Cependant, de nombreuses mesures techniques et organisationnelles se recoupent entre les deux textes. L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures de sécurité appropriées, ce qui rejoint directement les exigences de l'article 21 de NIS2.

En cas d'incident de sécurité impliquant à la fois une violation de données personnelles et un impact sur un système critique, un incident impliquant des données personnelles déclenchera une double obligation de notification. NIS2 impose un dispositif en trois étapes : alerte initiale dans les 24 heures, notification détaillée dans les 72 heures et rapport final dans un mois. Ce régime se cumule avec l'obligation RGPD de notification à la CNIL sous 72 heures en cas de fuite de données personnelles. Une gouvernance transverse est donc indispensable pour coordonner RSSI et DPO, et éviter doublons ou contradictions lors de la gestion d'incident.

Pour les entités régulées NIS2, la documentation RGPD — registre de traitement, AIPD, procédures de notification — constitue un socle utile pour répondre aux exigences de l'Article 21 §2 NIS2 (voir /mesures/article-21).

Pour aller plus loin

• Le RGPD sur EUR-Lex (texte consolidé officiel)
• Guide CNIL : le règlement européen sur la protection des données