RGPD, c'est quoi ? Définition, obligations et droits
RGPD, c'est quoi ? Définition claire du Règlement général sur la protection des données : à qui il s'applique, ce qu'il impose, vos droits et les sanctions.
Par L'équipe mydari · 9 juillet 2026 · 10 min de lecture

Vous entendez parler du RGPD à chaque inscription, chaque bandeau cookies, chaque contrat fournisseur, sans jamais avoir eu une définition nette. Résultat : beaucoup de dirigeants pensent que ce texte ne concerne que les grands groupes ou les services juridiques. C'est faux, et cette confusion coûte cher le jour d'un contrôle.
Alors, le RGPD, c'est quoi exactement ? Cet article répond simplement : ce qu'est le règlement, qui il concerne, ce qu'il impose, les droits qu'il donne aux personnes, les sanctions encourues et par où passer pour être en règle.
Définition — Le RGPD (Règlement général sur la protection des données) est le texte européen qui encadre la collecte et l'usage des données personnelles depuis 2018. Il s'applique à toute organisation qui traite des données de résidents de l'Union européenne, impose des obligations précises et accorde des droits aux personnes concernées.
Points clés
- Le RGPD encadre le traitement des données personnelles dans toute l'Union européenne depuis mai 2018.
- Il s'applique à toute organisation qui traite ces données, quelle que soit sa taille ou son secteur.
- Il repose sur des principes simples : une finalité claire, le minimum de données, une base légale, de la sécurité et de la transparence.
- Il donne aux personnes des droits concrets : accès, rectification, effacement, opposition, portabilité.
- Les manquements exposent à des sanctions financières lourdes, mais une approche par les risques permet d'avancer sans budget démesuré.
RGPD : définition simple du règlement
Le RGPD est le règlement européen qui fixe les règles de traitement des données personnelles. Son nom complet est Règlement général sur la protection des données, parfois désigné par son sigle anglais GDPR.
Il est entré en application le 25 mai 2018 dans l'ensemble des pays de l'Union européenne. En tant que règlement, il s'applique directement, sans avoir besoin d'une loi de transposition dans chaque pays. En France, il complète la loi Informatique et Libertés de 1978, dont la CNIL reste l'autorité de contrôle.
Son objectif tient en une phrase : redonner aux personnes le contrôle de leurs données et responsabiliser les organisations qui les utilisent. Le texte ne cherche pas à interdire le traitement des données, mais à l'encadrer.
Bon à savoir — Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable : nom, e-mail, numéro de téléphone, adresse IP, identifiant client, données de localisation. Même une simple adresse mail professionnelle nominative en fait partie.
À qui s'applique le RGPD ?
Le RGPD s'applique à toute organisation qui traite des données personnelles de résidents européens, qu'elle soit établie ou non dans l'Union. La taille, le statut et le secteur n'entrent pas en compte : entreprise, association, collectivité, profession libérale, tout le monde est concerné.
Le critère n'est pas la taille de la structure, mais l'activité de traitement. Dès que vous gérez un fichier clients, des contrats de salariés, une base de prospects ou un système de vidéosurveillance, vous traitez des données personnelles.
Une entreprise située hors d'Europe qui cible ou suit des internautes européens est également soumise au règlement. C'est ce qui donne au RGPD une portée bien plus large que le seul territoire de l'Union.
Attention — Croire qu'une petite structure passe sous les radars est une erreur fréquente. La CNIL contrôle aussi les TPE et PME, souvent à la suite d'une plainte d'un client ou d'un ancien salarié. Notre article RGPD pour les TPE et PME : par où commencer détaille les premiers réflexes à adopter.
Ce que le RGPD impose aux organisations
Le RGPD impose de traiter chaque donnée pour une finalité précise, avec une base légale, et de pouvoir le prouver. C'est le principe de responsabilité, souvent appelé accountability : vous devez non seulement respecter les règles, mais aussi démontrer que vous les respectez.
Concrètement, le règlement s'articule autour de quelques principes de base :
- Finalité : chaque traitement doit répondre à un objectif déterminé et légitime.
- Minimisation : vous ne collectez que les données réellement utiles à cette finalité.
- Base légale : chaque traitement repose sur un fondement valide (consentement, contrat, obligation légale, intérêt légitime).
- Durée limitée : les données ne sont pas conservées indéfiniment.
- Sécurité : vous protégez les données contre la perte, le vol ou l'accès non autorisé.
- Transparence : les personnes savent quelles données vous collectez et pourquoi.
En pratique, cela se traduit par des documents et des réflexes : un registre des activités de traitement, des mentions d'information, une gestion des droits, et parfois une analyse d'impact pour les traitements à risque. La mise en conformité RGPD consiste précisément à mettre en place ces éléments dans le bon ordre.
Conseil — Ne cherchez pas à tout traiter d'un coup. Commencez par cartographier vos traitements, puis priorisez selon le risque réel pour les personnes. Si vous voulez un plan clair adapté à votre activité, demandez un devis : un premier échange suffit souvent à cadrer la démarche.
Les droits des personnes sur leurs données
Le RGPD accorde à chaque personne des droits qu'elle peut exercer auprès de toute organisation détenant ses données. Ces droits sont le cœur du texte et vous devez être en mesure d'y répondre, en général sous un mois.
Les principaux droits sont les suivants :
- Droit d'accès : savoir quelles données vous détenez sur elle et en obtenir une copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de ses données, sous certaines conditions.
- Droit d'opposition : refuser un traitement, notamment à des fins de prospection.
- Droit à la portabilité : récupérer ses données dans un format réutilisable.
- Droit à la limitation : geler un traitement le temps de vérifier une contestation.
Ignorer une demande d'exercice de droits est l'un des motifs de plainte les plus fréquents auprès de la CNIL. Mieux vaut avoir une procédure simple pour traiter ces demandes plutôt que de les découvrir dans l'urgence.
Sanctions : que risque-t-on en cas de non-conformité ?
Le non-respect du RGPD expose à des sanctions administratives prononcées par la CNIL, pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce plafond concerne les manquements les plus graves.
Mais la sanction financière n'est pas le seul risque. La CNIL peut aussi prononcer une mise en demeure, un rappel à l'ordre, une injonction de se mettre en conformité, voire ordonner l'arrêt d'un traitement. Certaines décisions sont rendues publiques, avec un effet direct sur la réputation.
À cela s'ajoute le risque le plus concret pour beaucoup d'entreprises : la perte de confiance des clients et partenaires après une fuite de données mal gérée. La conformité n'est pas qu'une contrainte juridique, c'est aussi un signal de sérieux.
Bon à savoir — Dans la pratique, la CNIL privilégie souvent l'accompagnement avant la sanction, surtout pour les organisations de bonne foi qui montrent une démarche en cours. Avoir un dossier structuré et une trace de vos efforts change la donne lors d'un contrôle.
Comment se mettre en conformité avec le RGPD
Se mettre en conformité, c'est structurer une démarche progressive plutôt que viser une perfection immédiate. L'approche la plus efficace consiste à partir des risques réels pour les personnes, puis à traiter en priorité ce qui compte le plus.
Voici les grandes étapes que nous recommandons :
- Cartographier vos traitements de données et les documenter dans un registre.
- Vérifier la base légale et la finalité de chaque traitement.
- Sécuriser les données et encadrer les accès.
- Informer clients et salariés, et organiser l'exercice des droits.
- Piloter la conformité dans la durée, en l'ancrant dans vos process.
Selon votre taille et votre secteur, désigner un DPO externe permet de tenir cet effort sans mobiliser une ressource interne à plein temps. Intégrer le réflexe privacy by design dès la conception de vos projets évite aussi de corriger dans l'urgence. Et si vous utilisez de l'intelligence artificielle, la conformité à l'AI Act vient désormais se combiner au RGPD.
Conseil — Une conformité réaliste, priorisée par les risques, vaut mieux qu'un projet parfait jamais terminé. C'est l'approche que nous appliquons chez le cabinet mydari. Chez notre client Sonergia, elle a permis de diviser par trois le budget RGPD et d'économiser 45 jours-homme. Prendre contact pour en discuter.
FAQ
Que veut dire RGPD ?
RGPD signifie Règlement général sur la protection des données. C'est le texte européen qui encadre la collecte et l'usage des données personnelles. On le désigne parfois par son sigle anglais GDPR, pour General Data Protection Regulation. Il est en application dans toute l'Union européenne depuis le 25 mai 2018.
À quoi sert le RGPD ?
Le RGPD sert à protéger les données personnelles des individus et à responsabiliser les organisations qui les utilisent. Il redonne aux personnes le contrôle de leurs informations grâce à des droits concrets, et impose aux entreprises des règles de transparence, de sécurité et de finalité pour chaque traitement de données.
Le RGPD s'applique-t-il aux petites entreprises ?
Oui. Le RGPD s'applique à toute organisation qui traite des données personnelles, sans seuil de taille ni de chiffre d'affaires. Une TPE, une association ou un indépendant sont concernés dès qu'ils gèrent un fichier clients, des données RH ou une base de prospects. Seules certaines formalités sont allégées pour les plus petites structures.
Qu'est-ce qu'une donnée personnelle ?
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut un nom, un e-mail, un numéro de téléphone, une adresse postale, une adresse IP ou un identifiant client. Même indirecte, une information qui permet de remonter à une personne est concernée.
Quelle différence entre RGPD et loi Informatique et Libertés ?
La loi Informatique et Libertés de 1978 est le texte français historique sur la protection des données, la CNIL en est l'autorité. Le RGPD est le règlement européen qui s'applique directement dans tous les pays de l'Union depuis 2018. En France, les deux se combinent, le RGPD servant de socle commun.
Faut-il obligatoirement un DPO ?
Un délégué à la protection des données est obligatoire pour les organismes publics et pour les entreprises dont l'activité implique un suivi à grande échelle ou des données sensibles. En dehors de ces cas, il reste facultatif mais souvent utile. Beaucoup d'entreprises optent pour un DPO externe afin de piloter la conformité sans embauche dédiée.
Combien de temps faut-il pour être en conformité ?
Cela dépend de votre taille, de votre secteur et du nombre de traitements. Une petite structure peut poser les bases en quelques semaines, une organisation complexe demande davantage. La conformité n'est de toute façon pas un projet ponctuel mais un processus continu, à entretenir dans la durée.
Conclusion
Le RGPD n'est pas un texte réservé aux juristes ni aux grands groupes. C'est un cadre qui concerne toute organisation traitant des données personnelles, avec des principes lisibles, des droits pour les personnes et des sanctions réelles en cas de manquement. Le comprendre, c'est déjà réduire son risque.
La suite dépend de votre situation. Si vous voulez transformer cette définition en une démarche concrète et priorisée, prenez contact avec nos équipes : nous cadrons ensemble les prochaines étapes de votre mise en conformité. Pour approfondir un point précis, parcourez le blog et notre article AI Act : ce qui change pour les entreprises.
Pour aller plus loin, consultez les ressources officielles de la CNIL et le texte du RGPD sur EUR-Lex.
L'équipe mydari
L'équipe mydari
Cabinet de conseil RGPD & AI Act
