Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

RGPD

Le RGPD (Règlement général sur la protection des données) est le règlement européen qui encadre le traitement des données personnelles. Il impose des principes stricts (licéité, minimisation, transparence), des droits pour les personnes et des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Mis à jour le 2 juillet 2026

Qu'est-ce que le RGPD ?

Le RGPD, ou Règlement général sur la protection des données, est le texte européen entré en application en mai 2018. Il a profondément rehaussé le niveau d'exigence en matière de vie privée et sert aujourd'hui de modèle à de nombreuses législations dans le monde, dont la Loi 25 au Québec.

Ce n'est pas une simple politique de confidentialité : c'est un cadre de responsabilité qui oblige les organisations à démontrer, preuves à l'appui, comment elles protègent les données personnelles.

Pourquoi c'est important pour votre organisation

Le RGPD s'applique dès qu'une organisation traite des données de personnes situées dans l'Union européenne, quelle que soit sa localisation. Les sanctions sont dissuasives, mais l'enjeu dépasse l'amende : un manquement expose à une perte de confiance des clients et à des restrictions sur les transferts de données.

Le règlement introduit le principe de responsabilité (accountability) : il ne suffit pas d'être conforme, il faut pouvoir le prouver à tout moment.

Les principes clés

  • Licéité, loyauté, transparence : traiter les données sur une base légale claire et compréhensible.
  • Limitation des finalités : ne collecter que pour des objectifs déterminés.
  • Minimisation : ne traiter que les données strictement nécessaires.
  • Droits des personnes : accès, rectification, effacement, portabilité, opposition.
  • Sécurité et notification : protéger les données et signaler les violations sous 72 heures.
  • Encadrement des transferts : garantir un niveau de protection adéquat hors de l'Union européenne.

Où les organisations pèchent le plus souvent

Les écarts fréquents ne portent pas sur la politique affichée, mais sur l'exécution : un registre des traitements incomplet, des durées de conservation non définies, des sous-traitants sans contrat conforme, ou une incapacité à répondre dans les délais à une demande d'exercice de droits. Le RGPD se joue dans la preuve continue, pas dans la déclaration d'intention.

Questions fréquentes

Le RGPD s'applique-t-il aux entreprises hors de l'Union européenne ?

Oui. Le RGPD a une portée extraterritoriale : il s'applique à toute organisation qui traite les données de personnes situées dans l'Union européenne, qu'elle leur propose des biens et services ou qu'elle suive leur comportement, même si l'organisation est établie ailleurs.

Quelle différence entre le RGPD et la Loi 25 du Québec ?

Les deux régimes partagent les mêmes principes fondateurs. Le RGPD est le cadre européen ; la Loi 25 est propre au Québec, avec ses propres autorités, seuils de sanction et obligations spécifiques comme l'évaluation des facteurs relatifs à la vie privée. Être conforme à l'un ne garantit pas la conformité à l'autre.

Ressources liées

Sur la plateforme

Diagnostics gratuits

Termes liés

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.