Fiche RGPD

22 juin 2026.

1. Présentation générale

Le Règlement général sur la protection des données — RGPD — est le règlement (UE) 2016/679 du 27 avril 2016. Il encadre le traitement des données à caractère personnel dans l’Union européenne et s’applique depuis le 25 mai 2018. Il vise à protéger les personnes physiques tout en assurant la libre circulation des données personnelles au sein du marché intérieur. (EUR-Lex)

Dans les articles recensés par Dabo Tibi Ius, le RGPD apparaît aujourd’hui moins comme un texte isolé que comme le socle général de la gouvernance des données, en interaction avec l’IA, l’AI Act, la cybersécurité, les projets numériques, l’open data et la conformité des organisations. Cette articulation est particulièrement visible dans les articles consacrés à la transformation numérique, à la CNIL, aux DPO, aux données personnelles et aux systèmes d’IA. (Dabo Tibi Ius)

2. Points essentiels à retenir

Le RGPD repose sur quelques idées structurantes : une donnée personnelle est toute information se rapportant à une personne identifiée ou identifiable ; tout traitement doit reposer sur une base légale ; les personnes disposent de droits ; les responsables de traitement doivent démontrer leur conformité ; les traitements risqués doivent être anticipés par une analyse d’impact ; les violations de données doivent être gérées et, dans certains cas, notifiées.

La CNIL résume les grands principes autour de la finalité, de la minimisation, de la transparence, de la limitation de la conservation, de la sécurité et du respect des droits des personnes. (CNIL)

3. Cadre juridique

Textes européens

Le texte central est le règlement (UE) 2016/679, notamment ses articles 5, 6, 9, 12 à 22, 25, 30, 32, 33, 34 et 35. (EUR-Lex)

Les dispositions les plus importantes sont :

  • article 5 : principes relatifs au traitement ;
  • article 6 : bases légales ;
  • article 9 : données sensibles ;
  • articles 12 à 22 : droits des personnes ;
  • article 22 : décisions individuelles automatisées ;
  • article 25 : protection des données dès la conception et par défaut ;
  • article 30 : registre des traitements ;
  • article 32 : sécurité ;
  • articles 33 et 34 : violations de données ;
  • article 35 : analyse d’impact.

L’AI Act, règlement (UE) 2024/1689, ne remplace pas le RGPD : il ajoute un cadre spécifique pour les systèmes d’intelligence artificielle, notamment les systèmes à haut risque. Les deux textes doivent donc être articulés lorsqu’un système d’IA traite des données personnelles. (EUR-Lex)

Droit français

En France, le RGPD est complété par la loi Informatique et Libertés. La CNIL demeure l’autorité administrative indépendante chargée de contrôler l’application du droit de la protection des données. Son rôle est particulièrement central dans les secteurs IA, cybersécurité, santé, RH, services publics et legaltechs. (Dabo Tibi Ius)

4. Obligations principales

Responsable de traitement et sous-traitant

Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable. Le RGPD impose une logique d’accountability : l’organisation doit non seulement respecter le texte, mais aussi être capable de prouver sa conformité.

Bases légales

Un traitement doit reposer sur l’une des bases légales de l’article 6 : consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public ou intérêt légitime. Pour les données sensibles, l’article 9 prévoit un principe d’interdiction assorti d’exceptions.

Droits des personnes

Les personnes disposent notamment d’un droit à l’information, d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité et d’un encadrement spécifique des décisions automatisées. (RGPD)

Sécurité et violations de données

L’article 32 impose des mesures techniques et organisationnelles adaptées au risque. En cas de violation de données, une notification à la CNIL peut être nécessaire, ainsi qu’une information des personnes concernées lorsque le risque est élevé.

5. RGPD et intelligence artificielle

L’IA renforce les difficultés classiques du RGPD : détermination de la finalité, minimisation, information des personnes, base légale, conservation, sécurité, droits d’accès, explicabilité et décisions automatisées.

L’article « Intervention humaine, contrôle humain et explicabilité : propos sur l’articulation entre le Règlement sur l’intelligence artificielle et le RGPD », Liane Huttner, RDSS 2024 p. 757, analyse précisément cette articulation entre RGPD, intervention humaine et règlement sur l’IA. URL : https://dabotibius.ai/intervention-humaine-controle-humain-et-explicabilite-propos-sur-larticulation-entre-le-reglement-sur-lintelligence-artificielle-et-le-rgpd/ (Dabo Tibi Ius)

L’article « DPO et EU AI Act : cinq questions que les PME vont vous poser avant août 2026 » montre également que les DPO devront articuler conformité RGPD et conformité AI Act dans les organisations, en particulier les PME. URL : https://dabotibius.ai/dpo-et-eu-ai-act-cinq-questions-que-les-pme-vont-vous-poser-avant-aout-2026/ (Dabo Tibi Ius)

6. Jurisprudence importante

CJUE, 7 décembre 2023, SCHUFA, C-634/21

La CJUE a jugé qu’un score de solvabilité établi automatiquement peut relever de l’article 22 du RGPD lorsqu’il joue un rôle déterminant dans la décision prise à l’égard d’une personne. Cette décision est essentielle pour les traitements de scoring, de profilage et de décision automatisée. (EUR-Lex)

Jurisprudence sur les droits des personnes

La jurisprudence européenne tend à renforcer l’effectivité des droits des personnes concernées : droit d’accès, information intelligible, contrôle des décisions automatisées et contrôle des autorités de protection des données.

7. Acteurs principaux

Les principaux acteurs sont :

  • les responsables de traitement ;
  • les sous-traitants ;
  • les DPO ;
  • la CNIL ;
  • le Comité européen de la protection des données ;
  • les juridictions nationales ;
  • la CJUE ;
  • les fournisseurs et déployeurs de systèmes d’IA.

L’article « DPO, DSI, directions juridiques : voici ce que la Cnil va vous demander en 2026 sur l’IA, la cyber et le RGPD », L’Usine Digitale, 9 avril 2026, souligne la montée en puissance du triptyque IA, cybersécurité et RGPD dans les contrôles et priorités de conformité. URL : https://dabotibius.ai/dpo-dsi-directions-juridiques-voici-ce-que-la-cnil-va-vous-demander-en-2026-sur-lia-la-cyber-et-le-rgpd/ (Dabo Tibi Ius)

8. Débats actuels

Le premier débat concerne l’articulation entre RGPD et AI Act. Le RGPD protège les personnes et leurs données ; l’AI Act encadre les systèmes d’IA selon une logique de risques. Les deux textes se cumulent.

Le deuxième débat porte sur l’explicabilité : jusqu’où faut-il expliquer un traitement algorithmique sans imposer une transparence techniquement impossible ou contraire au secret des affaires ?

Le troisième débat concerne l’anonymisation. L’article « L’open data au défi de l’IA : comment assurer une bonne anonymisation des décisions de justice ? », Camille Girard-Chanudet, Semaine Sociale Lamy, n° 2112, traite de la difficulté d’anonymiser efficacement des décisions de justice dans un contexte de réutilisation massive par l’IA. URL : https://dabotibius.ai/lopen-data-au-defi-de-lia-comment-assurer-une-bonne-anonymisation-des-decisions-de-justice/ (Dabo Tibi Ius)

9. Actualité récente

L’actualité récente met l’accent sur la conformité des projets numériques. L’article « Transformation numérique, RGPD, IA : pourquoi le droit doit intervenir avant que le projet ne se bloque », Village de la Justice, 14 avril 2026, insiste sur l’importance d’intégrer le droit en amont des projets numériques, notamment pour éviter les blocages liés au RGPD, à l’IA et à la cybersécurité. URL : https://dabotibius.ai/transformation-numerique-rgpd-ia-pourquoi-le-droit-doit-intervenir-avant-que-le-projet-ne-se-bloque/ (Dabo Tibi Ius)

L’article « La start-up d’IA “Friend” suspend son lancement le temps de répondre aux exigences européennes sur les données personnelles », HuffPost, 5 avril 2026, illustre la portée pratique du droit européen des données pour les services d’IA destinés au grand public. URL : https://dabotibius.ai/la-start-up-dia-friend-suspend-son-lancement-le-temps-de-repondre-aux-exigences-europeennes-sur-les-donnees-personnelles/ (Dabo Tibi Ius)

10. FAQ

Le RGPD interdit-il de traiter des données personnelles ?

Non. Il impose que chaque traitement repose sur une base légale, poursuive une finalité déterminée et respecte les droits des personnes.

Le consentement est-il toujours obligatoire ?

Non. Le consentement n’est qu’une base légale parmi d’autres.

Une donnée anonymisée est-elle soumise au RGPD ?

Non, si l’anonymisation est réelle et irréversible. En revanche, une donnée pseudonymisée reste une donnée personnelle.

Le RGPD s’applique-t-il à l’IA ?

Oui, dès lors qu’un système d’IA traite des données personnelles.

L’AI Act remplace-t-il le RGPD ?

Non. Il le complète.

Une entreprise doit-elle désigner un DPO ?

Pas toujours. La désignation est obligatoire dans certains cas, notamment pour les autorités publiques, les traitements à grande échelle ou certains traitements sensibles.

11. Sources essentielles

Articles Dabo Tibi Ius cités :

Méthodologie : Cette fiche a été générée avec l’assistance de l’intelligence artificielle à partir de la base documentaire Dabo Tibi Ius et de sources complémentaires sélectionnées. Elle a vocation à fournir une synthèse informative et ne constitue pas un avis juridique.

Fiches Dabo Tibi Ius associées :