RGPD, déjà 10 ans !

mai, 2026

adequate technologies_RGPD_rgpd

Les étapes majeures depuis l’entrée en application du RGPD en mai 2018 s’articulent autour de trois dynamiques :

  • mise en conformité progressive,
  • montée en puissance des contrôles/sanctions, et
  • adaptation continue face aux enjeux technologiques.

Une donnée à caractère personnel, c’est quoi ?

Il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Le RGPD, c’est quoi ?

Le Règlement Général sur la Protection des Données (RGPD) entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen. Le droit actuel, basé sur la directive 95/46/CE de 1995, date du début d’Internet et n’avait pas prévu l’essor des moteurs de recherche, des réseaux sociaux, des objets connectés, du cloud, du big data, etc. Le RGPD entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations.

Voici une synthèse des faits majeurs les plus importants sur les dix dernières années.

1/ 2016–2018 : Adoption et entrée en application

  • 2016 : Adoption du RGPD Le règlement est adopté par l’Union européenne pour harmoniser la protection des données et renforcer les droits des citoyens.
  • 25 mai 2018 : Entrée en application Les formalités préalables auprès des autorités disparaissent, remplacées par une logique de responsabilisation (accountability). Les organisations doivent documenter leur conformité et assurer une protection continue des données.

2/ 2018–2020 : Mise en conformité et structuration interne

  • Désignation massive de DPO Les organisations identifient un pilote interne chargé de la gouvernance des données.
  • Création des registres de traitement Les entreprises cartographient leurs traitements pour comprendre leurs obligations.
  • Déploiement des premières analyses d’impact (AIPD) Obligatoires pour les traitements à risques élevés.
  • Premiers contrôles et sanctions significatives La CNIL et les autres autorités européennes commencent à sanctionner les manquements les plus graves.

3/ 2020–2022 : Renforcement des droits et des pratiques

  • Montée en puissance des droits des personnes Accès, rectification, effacement, portabilité : les organisations doivent mettre en place des procédures robustes.
  • Encadrement renforcé des sous‑traitants Les contrats doivent intégrer des clauses RGPD strictes.
  • Développement des outils CNIL Guides, référentiels, MOOC RGPD, webinaires pour accompagner les professionnels.

4/ 2020–2023 : Transferts internationaux et nouvelles règles

  • Conséquences de l’invalidation du Privacy Shield (2020) Les entreprises doivent revoir leurs mécanismes de transfert hors UE.
  • Nouveaux cadres de référence CNIL Pour aider les secteurs à se conformer (santé, RH, collectivités…).
  • Renforcement des mesures de sécurité Obligation de prouver la mise en place de protections adaptées.

5/ 2023–2024 : Adaptation aux enjeux technologiques (IA, cloud, biométrie)

  • Multiplication des analyses d’impact Notamment pour les technologies sensibles (IA, vidéosurveillance intelligente, biométrie).
  • Nouveaux webinaires et actions pédagogiques CNIL Pour accompagner les professionnels face aux nouveaux usages.
  • Harmonisation européenne accrue Coopération renforcée entre autorités de protection des données.

6/ 2024–2026 : Vers un écosystème réglementaire intégré (RGPD + IA Act + DSA)

  • Convergence des réglementations numériques Le RGPD devient la colonne vertébrale de la régulation des données, complété par :
    • AI Act (encadrement des systèmes d’IA),
    • DSA/DMA (régulation des plateformes),
    • Data Governance Act et Data Act.
  • Accent sur la gouvernance continue Les organisations doivent maintenir et documenter leur conformité dans la durée.

(source IA – mai 2026)

Lexique :

  • CIL : Correspondant Informatique & Libertés
  • CNIL : Commission Nationale de l’Informatique et des Libertés
  • DPO : Data Protection Officerou Délégué à la Protection des Données
  • PIA : Protection Informatique des Données
  • RGPD : Règlement Général sur la Protection des Données
  • GDPR : General Data Protection Regulation