Conformité RGPD en 2026 : principes, droits et preuve

Conformité RGPD en 2026 : principes, droits et preuve

La conformité RGPD consiste à traiter les données personnelles des personnes situées dans l'UE et l'EEE en stricte conformité avec le Règlement (UE) 2016/679 — en s'appuyant sur une base légale documentée, en respectant les sept principes de l'article 5, en honorant les droits des personnes, en sécurisant les données au titre de l'article 32, en notifiant les violations sous 72 heures et, au titre du principe de responsabilité, en étant capable de prouver tout cela à la demande. Huit ans après son entrée en application le 25 mai 2018, le RGPD n'est plus un projet avec une date de fin : c'est le standard de fonctionnement de référence pour toute entreprise B2B qui touche des données européennes, et le socle réglementaire sur lequel d'autres lois européennes — NIS2, DORA, le règlement IA de l'UE — s'appuient désormais.

Ce pilier est le guide de référence de l'ensemble du cadre, au niveau du terme principal. Pour la mécanique détaillée article par article — contrats de sous-traitance, mesures de sécurité et notification des violations — consultez notre article de référence sur les articles 28, 32, 33 et 34 du RGPD.

Points clés à retenir

• Le RGPD repose sur sept principes (article 5) et six bases légales (article 6). Chaque activité de traitement nécessite au moins une base légale documentée avant de commencer.
• La responsabilité est le principe qui transforme la conformité en preuve. Vous ne devez pas seulement être conforme — vous devez pouvoir démontrer la conformité avec des registres, des politiques et des analyses d'impact.
• La répression s'accélère, elle ne faiblit pas. Les régulateurs ont prononcé ~1,2 milliard d'euros d'amendes en 2025 ; au 1er trimestre 2026, les amendes ont bondi de près de 400 % sur un an, menées par la CNIL française et l'ICO britannique.
• La carte diverge. Le UK Data (Use and Access) Act 2025 rend le UK GDPR nettement plus souple à partir de février 2026, tandis que la Norvège et l'EEE restent sur un RGPD européen inchangé — les entreprises transfrontalières doivent s'aligner sur le standard le plus strict.
• Les preuves RGPD sont réutilisables. Les mêmes registres, mesures et certificats qui prouvent le RGPD répondent aussi à NIS2, DORA et aux questionnaires de sécurité des clients — si vous les centralisez dans un Trust Center européen.

Aller à :

• Qui doit se conformer au RGPD
• Les 7 principes du RGPD (article 5)
• Les 6 bases légales (article 6)
• Droits des personnes (articles 12 à 22)
• Obligations clés et checklist 2026
• Amendes et répression en 2025–2026
• Ce qui a changé en 2026 : omnibus, transferts, IA
• Le RGPD au-delà de l'UE-27 : UK et Norvège
• RGPD, NIS2 et DORA : une seule base de preuves
• Des preuves RGPD à un Trust Center européen

---

Qui doit se conformer au RGPD

Le RGPD s'applique au traitement des données personnelles dès lors que la personne concernée se trouve dans l'UE ou l'EEE — et non là où se trouve l'entreprise. Au titre de l'article 3 (champ d'application territorial), le règlement atteint toute organisation qui est soit établie dans l'Union, soit offre des biens ou services à des personnes dans l'Union, soit surveille leur comportement. Un éditeur SaaS de São Paulo ou de San Francisco qui vend à un client munichois est pleinement concerné.

Deux rôles importent, et la plupart des entreprises B2B endossent les deux à la fois :

• Responsable de traitement — vous décidez du pourquoi et du comment du traitement. Pour vos propres données de salariés, prospects et contacts clients, vous êtes responsable.
• Sous-traitant — vous traitez des données personnelles pour le compte d'un autre responsable, sur ses instructions documentées. Pour les données que vos clients chargent dans votre plateforme, vous êtes leur sous-traitant.

Ce double rôle explique pourquoi la conformité RGPD n'est jamais un simple exercice de politique de confidentialité. En tant que responsable, vous avez des obligations envers les personnes concernées ; en tant que sous-traitant, des obligations envers vos clients au titre des contrats de sous-traitance de l'article 28. Maîtriser les deux directions fait la différence entre réussir une revue de sécurité achats et perdre l'affaire.

Les 7 principes du RGPD (article 5)

Tout dans le RGPD découle des sept principes de l'article 5. Les six premiers figurent à l'article 5, paragraphe 1 ; le septième, la responsabilité, figure à l'article 5, paragraphe 2 et est celui qui transforme « nous sommes conformes » en « nous pouvons le prouver ».

#	Principe (article)	Ce qu'il impose en pratique
1	Licéité, loyauté, transparence — art. 5, § 1, a)	Traiter sur au moins une base légale de l'article 6 ; ne pas utiliser les données de manière inattendue ou trompeuse ; informer clairement via des notices.
2	Limitation des finalités — art. 5, § 1, b)	Collecter pour des finalités déterminées, explicites et légitimes ; pas de réutilisation incompatible. Archivage, recherche et statistiques au titre de l'art. 89, § 1 ne sont pas réputés incompatibles.
3	Minimisation des données — art. 5, § 1, c)	Ne collecter que des données adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité.
4	Exactitude — art. 5, § 1, d)	Garder les données exactes et, si nécessaire, à jour ; effacer ou rectifier sans tarder les données inexactes.
5	Limitation de la conservation — art. 5, § 1, e)	Conserver sous forme identifiable pas plus longtemps que nécessaire ; au-delà uniquement pour l'archivage/la recherche au titre de l'art. 89, § 1 avec garanties.
6	Intégrité et confidentialité — art. 5, § 1, f)	Assurer une sécurité appropriée par des mesures techniques et organisationnelles — le lien vers l'article 32.
7	Responsabilité — art. 5, § 2	Le responsable est garant du respect des principes 1 à 6 et doit pouvoir le démontrer.

Le principe de responsabilité est le centre de gravité discret. La première question d'un régulateur après un incident est rarement « étiez-vous conforme ? » — c'est « montrez-moi ». Le registre des activités de traitement (article 30), vos analyses d'impact (article 35), vos mesures et la diligence sur vos sous-traitants sont les éléments qui y répondent. Les organisations qui stockent ces preuves sous forme de fils d'e-mails et de tableurs épars échouent au test de responsabilité, même lorsque leurs pratiques sont solides.

Les 6 bases légales (article 6)

Un traitement est licite uniquement si au moins une des six bases de l'article 6, paragraphe 1 s'applique. Choisir — et documenter — la bonne base par activité est la lacune la plus fréquente que relèvent les auditeurs.

1. Consentement — art. 6, § 1, a). Libre, spécifique, éclairé et univoque, pour une ou plusieurs finalités précises. La base la plus exigeante : le retrait doit être aussi simple que le don.
2. Contrat — art. 6, § 1, b). Traitement nécessaire à l'exécution d'un contrat avec la personne, ou à des mesures précontractuelles à sa demande.
3. Obligation légale — art. 6, § 1, c). Traitement nécessaire au respect d'une obligation légale de l'UE ou d'un État membre qui vous incombe.
4. Intérêts vitaux — art. 6, § 1, d). Traitement nécessaire à la sauvegarde de la vie ou de l'intégrité physique — typiquement les urgences.
5. Mission d'intérêt public — art. 6, § 1, e). Traitement nécessaire à une mission d'intérêt public ou à l'exercice de l'autorité publique prévue par la loi. Surtout pour les organismes publics.
6. Intérêts légitimes — art. 6, § 1, f). Traitement nécessaire aux intérêts légitimes du responsable ou d'un tiers, sauf si les droits de la personne prévalent — un test de mise en balance documenté, jamais disponible pour les autorités publiques dans l'exercice de leurs missions.

Une règle pratique : ne basez pas tout sur le consentement. En SaaS B2B, le contrat et les intérêts légitimes portent l'essentiel du traitement, le consentement étant réservé au marketing et aux cookies non essentiels. Mal qualifier la base — par exemple invoquer les intérêts légitimes là où le consentement était requis — constitue en soi une violation.

Droits des personnes (articles 12 à 22)

Le RGPD confère aux personnes des droits opposables que vous devez pouvoir exécuter, en général sous un mois (prorogeable de deux mois pour les demandes complexes au titre de l'article 12, § 3) :

• Information (articles 13 et 14) — des notices transparentes au moment de la collecte.
• Accès (article 15) — une copie des données et des informations de traitement, sur demande.
• Rectification (article 16) — la correction des données inexactes.
• Effacement / « droit à l'oubli » (article 17).
• Limitation du traitement (article 18).
• Portabilité (article 20) — un export structuré et lisible par machine.
• Opposition (article 21) — y compris un droit absolu d'opposition à la prospection.
• Droits liés à la décision automatisée et au profilage (article 22).

Le focus réglementaire 2026 s'est durci sur ce terrain. La priorité d'action coordonnée du CEPD s'est déplacée vers les obligations de transparence (articles 12 à 14), et la réforme britannique (ci-dessous) réécrit explicitement les règles sur l'effort des demandes d'accès et les décisions automatisées — la gestion des droits est donc le domaine où la divergence est aujourd'hui la plus visible.

Obligations clés et checklist 2026

Principes et droits se traduisent par un ensemble concret d'obligations opérationnelles. Voici la checklist au niveau du terme principal ; chaque ligne renvoie à la référence détaillée lorsqu'elle existe.

Obligation	Article	À quoi ressemble « fait »
Registre des activités de traitement	Art. 30	Un inventaire tenu à jour de chaque traitement, finalité, base et destinataire.
Base légale par activité	Art. 6	Une base documentée rattachée à chaque activité du registre.
Notices d'information	Art. 12–14	Des notices claires et accessibles à chaque point de collecte.
Processus pour les droits des personnes	Art. 15–22	Un processus reproductible pour traiter les demandes sous un mois.
Contrats de sous-traitance	Art. 28	Un DPA signé avec chaque sous-traitant, plus une liste de sous-traitants ultérieurs tenue à jour.
Mesures techniques et organisationnelles	Art. 32	Des contrôles de sécurité documentés et proportionnés au risque (chiffrement, contrôle d'accès, résilience, tests).
Analyses d'impact pour les traitements à risque élevé	Art. 35	Une analyse achevée avant le démarrage d'un traitement à risque élevé.
Délégué à la protection des données	Art. 37	Un DPO désigné lorsque requis (suivi à grande échelle ou données sensibles).
Notification de violation — autorité	Art. 33	Notifier l'autorité de contrôle sous 72 heures après en avoir pris connaissance.
Communication de violation — personnes	Art. 34	Informer les personnes concernées sans tarder en cas de risque élevé.
Garanties pour les transferts internationaux	Art. 44–49	CCT, adéquation ou un autre mécanisme du chapitre V pour chaque transfert hors EEE.

Si vous pouvez produire une preuve pour chacune de ces lignes à la demande, vous n'êtes pas seulement conforme — vous êtes démontrablement conforme, ce qui est le standard de responsabilité. L'échec récurrent est l'écart entre la pratique et la preuve : des organisations qui font ce qu'il faut mais ne peuvent pas le montrer dans le délai d'un régulateur ou d'un acheteur.

Amendes et répression en 2025–2026

L'article 83 prévoit deux niveaux de sanction, chacun « le montant le plus élevé étant retenu » :

• Niveau inférieur — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (p. ex. manquements au registre, à la sous-traitance, à la notification).
• Niveau supérieur — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (p. ex. violation des principes, de la base légale ou des droits des personnes).

Les chiffres n'ont plus rien de théorique. Le cumul des amendes RGPD depuis 2018 est estimé à environ 6,3 milliards d'euros par le CMS Enforcement Tracker, la plus forte amende unitaire restant celle de 1,2 milliard d'euros infligée à Meta en Irlande. En 2025, les autorités ont prononcé de l'ordre de 1,2 milliard d'euros, dont l'amende de 530 millions d'euros de la DPC irlandaise contre TikTok pour transferts illicites, consignée dans le rapport annuel 2025 du CEPD.

Le signal de 2026 est le rythme. Selon les trackers de sanctions, les amendes du 1er trimestre 2026 ont atteint environ 68 millions d'euros à l'échelle européenne — une hausse de près de 400 % par rapport aux ~13,8 millions du 1er trimestre 2025. La CNIL française en a porté l'essentiel avec environ 47 millions d'euros (dont 27 millions contre Free Mobile, 15 millions contre Free et 5 millions contre France Travail), tandis que l'ICO britannique a prononcé environ 16,9 millions d'euros, en tête desquels une amende marquante contre Reddit pour les données d'enfants et la vérification d'âge. La tendance est nette : la répression s'élargit des cas emblématiques de la Big Tech vers des manquements de responsabilité ordinaires du marché intermédiaire.

Ce qui a changé en 2026 : omnibus, transferts, IA

Trois dossiers en mouvement que tout responsable conformité européen devrait suivre en 2026 :

Le règlement de procédure RGPD. Proposé par la Commission le 4 juillet 2023 pour fluidifier l'application transfrontalière via le guichet unique, puis politiquement approuvé en juin 2025, la réforme vise à harmoniser les délais de coopération et les droits procéduraux (droit d'être entendu, accès au dossier) entre autorités. Tant que le texte définitif n'est pas formellement publié et applicable, traitez-le comme un signal d'orientation de l'application, pas comme une nouvelle échéance opérationnelle.

La simplification « Digital Omnibus ». Publié le 19 novembre 2025, le paquet Digital Omnibus de la Commission propose de simplifier des pans du corpus européen sur les données — y compris les obligations de tenue de registres du RGPD — et est négocié en parallèle d'ajustements au calendrier du règlement IA. À la mi-2026, il n'est pas encore finalisé ; traitez-le comme une orientation, non comme un acquis, et ne démantelez pas vos contrôles par anticipation.

Transferts et Data Privacy Framework. La décision d'adéquation du cadre UE–États-Unis (2023) a été confirmée par le Tribunal de l'UE le 3 septembre 2025 dans l'affaire Latombe / Commission (T-553/23), mais l'affaire est en appel. Le DPF reste opérationnellement valide pour l'heure ; les organisations prudentes conservent les CCT comme solution de repli si l'appel venait à l'ébranler.

RGPD et règlement IA de l'UE. Le règlement IA (en vigueur depuis le 1er août 2024) ne remplace pas le RGPD. Les systèmes d'IA qui traitent des données personnelles ont toujours besoin d'une base légale, de minimisation, de transparence et — souvent — d'une analyse d'impact. Le règlement IA superpose ses propres obligations, avec des règles de transparence (dont le marquage des contenus générés par IA) applicables à partir du 2 août 2026 et des échéances pour l'IA à haut risque prolongées par un accord politique de mai 2026. Pour en savoir plus, voir notre guide de conformité au règlement IA de l'UE.

Le RGPD au-delà de l'UE-27 : UK et Norvège

La conformité RGPD est un problème européen, pas seulement UE-27 — et la carte diverge désormais activement.

Royaume-Uni. Après le Brexit, le UK a conservé le RGPD européen sous le nom de « UK GDPR » aux côtés du Data Protection Act 2018, régulé par l'ICO. Le Data (Use and Access) Act 2025 (DUAA) a reçu la sanction royale le 19 juin 2025, la plupart des dispositions de protection des données entrant en vigueur le 5 février 2026. Principales divergences avec le RGPD européen :

• Des « intérêts légitimes reconnus » qui n'exigent pas de test de mise en balance pour des finalités déterminées (prévention de la criminalité, protection des personnes vulnérables, urgences).
• Des règles assouplies sur les décisions automatisées pour les données non sensibles, les garanties se concentrant sur les « décisions significatives » et les données sensibles.
• Un critère de recherche « raisonnable et proportionné » pour les demandes d'accès, avec suspension du délai le temps d'obtenir des précisions.
• Un test d'adéquation/transfert « pas substantiellement inférieur », au lieu du critère européen plus strict « essentiellement équivalent ».
• Des amendes PECR (cookies) alignées sur le niveau RGPD — jusqu'à 17,5 millions de livres ou 4 % du chiffre d'affaires mondial — et la transformation de l'ICO en Information Commission.

Norvège et EEE. La Norvège n'est pas membre de l'UE mais applique le RGPD européen inchangé via l'accord EEE (intégré par la décision n° 154/2018 du Comité mixte de l'EEE), mis en œuvre par la loi sur les données personnelles (personopplysningsloven) en vigueur depuis le 20 juillet 2018 et supervisé par Datatilsynet. La Norvège n'a aucune exception d'« intérêts légitimes reconnus », conserve l'intégralité des contraintes de l'article 22 sur les décisions automatisées et applique le critère « essentiellement équivalent » — elle suit donc l'UE, pas le UK.

La conséquence pratique pour toute entreprise présente au UK et dans l'UE/EEE : là où les deux régimes s'appliquent, vous devez respecter le plus strict. Les souplesses britanniques ne franchissent pas l'EEE ; bâtir sur le socle européen vous rend conforme en Norvège, en Allemagne, en France, aux Pays-Bas et au Royaume-Uni à la fois.

RGPD, NIS2 et DORA : une seule base de preuves

Le RGPD ne se tient plus seul. Les lois européennes de cybersécurité et de résilience réutilisent le même vocabulaire de contrôles, et les preuves se recoupent largement :

Exigence	RGPD	NIS2	DORA
Mesures de sécurité fondées sur le risque	Art. 32	Art. 21, § 2	Art. 5–15 (risque TIC)
Notification d'incident/violation	Art. 33–34 (72 h)	Art. 23 (alerte précoce 24 h)	Art. 19 (incidents TIC majeurs)
Assurance tiers / chaîne d'approvisionnement	Art. 28 (sous-traitants)	Art. 21, § 2, d)	Art. 28–30 (prestataires TIC)
Gouvernance et responsabilité	Art. 5, § 2	Art. 20 (responsabilité des dirigeants)	Art. 5 (organe de direction)

Une entreprise soumise aux trois n'a pas besoin de trois programmes — elle a besoin d'une base de preuves cartographiée vers trois régimes. Vos mesures de l'article 32 satisfont largement l'article 21, § 2 de NIS2 ; votre diligence sur les sous-traitants de l'article 28 est la colonne vertébrale de la gestion des risques tiers de DORA. Les traiter comme des projets séparés, c'est gaspiller les budgets de conformité. Voir nos guides sur la directive NIS2 et la conformité DORA pour la correspondance détaillée.

Des preuves RGPD à un Trust Center européen

Le principe de responsabilité et l'article 28, § 3, h) créent le même besoin opérationnel dans deux directions : vous devez produire des preuves — pour les régulateurs (entrant) et pour les clients (sortant). Un Trust Center est l'endroit où vivent ces preuves.

En tant que responsable, un Trust Center structure la diligence sur vos propres sous-traitants : leurs DPA, mesures, listes de sous-traitants ultérieurs et certificats, tenus à jour et surveillés plutôt que collectés de nouveau chaque année. En tant que sous-traitant, il répond aux demandes de vos clients au titre de l'article 28, § 3, h) — DPA, mesures, rapports ISO 27001/SOC 2, liste de sous-traitants, extraits de registre — depuis un lieu unique, à accès contrôlé et toujours à jour, au lieu d'un nouveau fil d'e-mails et d'une recherche documentaire manuelle pour chaque affaire.

Pour les acheteurs européens, la dimension de localisation des données compte aussi : un Trust Center hébergé dans l'UE contourne les questions de transfert que l'appel Latombe maintient en vie. Avec la surveillance continue, les preuves restent à jour automatiquement, de sorte que la responsabilité cesse d'être une course trimestrielle pour devenir une capacité permanente. C'est précisément ce que récompense l'ensemble de ce cadre : le passage de faire la conformité à la démontrer.

Transformez vos preuves RGPD en un Trust Center européen prêt pour l'acheteur. Découvrez comment Orbiq centralise vos DPA, mesures et certificats pour que chaque régulateur et chaque prospect obtienne une réponse à jour dès la première demande.

---

Sources et références

1. Règlement (UE) 2016/679 (RGPD) — texte intégral — Journal officiel de l'Union européenne.
2. gdpr-info.eu — Article 5 (Principes relatifs au traitement) — Les sept principes.
3. gdpr-info.eu — Article 6 (Licéité du traitement) — Les six bases légales.
4. gdpr-info.eu — Article 83 (Conditions générales des amendes) — Les deux niveaux de sanction.
5. CMS GDPR Enforcement Tracker — Statistiques — Cumul des amendes et plus fortes sanctions unitaires.
6. Rapport annuel 2025 du CEPD — TikTok 530 M€ et répression 2025.
7. Amendes RGPD T1 2026 — Acompli — Amendes T1 2026 (~68 M€), actions CNIL et ICO.
8. Commission européenne — Règlement de procédure RGPD — Réforme de l'application transfrontalière et accord politique de juin 2025.
9. Reed Smith — The Great GDPR Divergence: UK DUAA vs EU Omnibus — Analyse de la divergence UK/UE.
10. DLA Piper — Entrée en vigueur des dispositions DUAA (févr. 2026) — DUAA en vigueur le 5 février 2026.
11. ICO — Data (Use and Access) Act 2025 — Lignes directrices du régulateur britannique.
12. Datatilsynet — Autorité norvégienne de protection des données — Le RGPD norvégien via l'EEE.
13. Tribunal de l'UE — Latombe / Commission (T-553/23) — Cadre UE–États-Unis confirmé le 3 septembre 2025 (en appel).

---

Lectures complémentaires

• Articles 28, 32, 33 et 34 du RGPD : la référence par article
• Gestion des sous-traitants au titre de l'article 28 du RGPD
• La directive NIS2 : exigences, échéances et répression
• Conformité DORA pour les entités financières
• Qu'est-ce qu'un Trust Center européen ?
• Surveillance continue