Comprendre le RGPD : cadre et principes
Module 1 / 5
1.1 Histoire et cadre juridique du RGPD
Le Règlement Général sur la Protection des Données ne sort pas de nulle part. Il s'inscrit dans une histoire française et européenne de plus de quarante ans de défense des libertés individuelles face à l'informatique. Comprendre ce contexte, c'est saisir pourquoi la conformité dépasse la simple obligation administrative.
Les origines : du scandale SAFARI à la loi de 1978
Tout commence en 1974. Le journal Le Monde révèle l'existence d'un projet gouvernemental baptisé "SAFARI" (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) : un fichier centralisé visant à interconnecter les données des Français à partir du numéro de sécurité sociale. L'émoi est immédiat, le projet abandonné. De cette controverse naîtra l'une des premières lois au monde sur la protection des données.
Loi n° 78-17 du 6 janvier 1978 — Informatique et Libertés
Texte fondateur français adopté en réaction au projet SAFARI. Il pose deux piliers durables :
- L'article premier : « L'informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
- La création de la Commission Nationale de l'Informatique et des Libertés (CNIL), première autorité indépendante de protection des données au monde.
Pendant vingt ans, la France fait figure de pionnière. Mais l'arrivée d'Internet, la mondialisation des flux de données et la dématérialisation massive bouleversent le paysage. Une harmonisation européenne devient indispensable.
L'harmonisation européenne : 1995 puis 2016
L'Union européenne s'empare du sujet dès le milieu des années 90. La directive 95/46/CE pose un socle commun mais laisse trop de marge d'interprétation aux États membres. Vingt ans plus tard, le RGPD vient unifier la matière par un texte d'application directe.
| Année | Texte | Apport |
|---|---|---|
| 1978 | Loi Informatique et Libertés (FR) | Premier cadre national, création de la CNIL |
| 1995 | Directive 95/46/CE | Socle européen mais transposition hétérogène |
| 2000 | Charte des droits fondamentaux UE — Art. 8 | Élève la protection des données au rang de droit fondamental |
| 27 avril 2016 | Règlement UE 2016/679 — RGPD | Adoption d'un règlement directement applicable, sans transposition |
| 25 mai 2018 | Entrée en application du RGPD | Toutes les entreprises de l'UE concernées |
| 20 juin 2018 | Loi française n° 2018-493 | Adapte la loi de 1978 au RGPD (publiée consolidée) |
Différence majeure : règlement vs directive
Une directive doit être transposée en droit national, ce qui crée des disparités. Un règlement est directement applicable dans tous les États membres — la même règle s'applique en France, en Allemagne ou en Espagne. Le RGPD a unifié 27 droits nationaux d'un seul coup.
Champ d'application : qui est concerné ?
Le RGPD ne se limite pas aux GAFAM ou aux grandes entreprises. Son champ matériel et territorial est très large.
Champ matériel (Art. 2)
S'applique à tout traitement de données personnelles, automatisé ou non (fichier papier structuré inclus).
Exclusions : usage strictement personnel et domestique, activités de sécurité nationale, justice pénale (couverte par la directive Police-Justice 2016/680).
Champ territorial (Art. 3)
Toute organisation établie dans l'UE, peu importe où le traitement a lieu.
Extra-territorialité : entreprises hors UE qui ciblent des résidents européens (offre de biens/services, suivi du comportement) — c'est le cas de la plupart des géants américains et asiatiques.
Une PME, une association, une mairie sont-elles concernées ?
Oui, sans exception. Dès qu'un traitement de données personnelles existe — un simple fichier Excel de clients ou la liste des adhérents d'une association suffit — le RGPD s'applique. Certaines obligations sont allégées pour les structures de moins de 250 salariés (registre simplifié), mais les principes fondamentaux restent identiques.
Cas concret en entreprise
Un atelier de 12 ouvriers qui dispose d'un logiciel de paie, d'un badge d'entrée et d'une caméra de vidéosurveillance traite déjà au moins trois catégories de données personnelles. Le RGPD lui impose un registre des traitements, une information des salariés, et des mesures de sécurité. Aucun seuil d'effectif n'exonère.
L'architecture du RGPD : 99 articles, 11 chapitres
Le RGPD est un texte volumineux (88 pages au Journal officiel de l'Union européenne) mais très structuré. Pour s'y retrouver, mieux vaut connaître ses grandes parties.
Chapitre I — Dispositions générales (Art. 1-4)
Objet, champ d'application, définitions clés (donnée personnelle, traitement, responsable, sous-traitant, etc.).
Chapitre II — Principes (Art. 5-11)
Les 7 principes fondamentaux, les bases légales, les conditions du consentement et le statut des données sensibles.
Chapitre III — Droits des personnes (Art. 12-23)
Information, accès, rectification, effacement, limitation, portabilité, opposition, décisions automatisées.
Chapitre IV — Responsable et sous-traitant (Art. 24-43)
Obligations, registre, AIPD, DPO, certifications, codes de conduite.
Chapitre V — Transferts hors UE (Art. 44-50)
Décisions d'adéquation, clauses contractuelles types, BCR. Sujet sensible depuis l'arrêt Schrems II (2020).
Chapitres VI à XI
Autorités de contrôle (CNIL et homologues), coopération, recours et sanctions, dispositions finales.
À ces 99 articles s'ajoutent 173 considérants — sortes d'exposés des motifs — qui éclairent l'interprétation. La CNIL et le Comité européen de la protection des données (EDPB) publient régulièrement des lignes directrices et recommandations qui forment la doctrine d'application.
Synthèse du chapitre
- →1978 : loi Informatique et Libertés et création de la CNIL après l'affaire SAFARI
- →2016 : adoption du RGPD comme règlement directement applicable dans toute l'UE
- →25 mai 2018 : entrée en application — toutes les entreprises sont concernées
- →Champ très large : automatisé ou non, public ou privé, peu importe l'effectif
- →Extra-territorialité : entreprises hors UE qui ciblent des résidents européens
- →Architecture en 11 chapitres : principes, droits, obligations, sanctions