FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • RGPD : quel bilan en 7 ans d'application ?

    RGPD : quel bilan en 7 ans d’application ?

    Écrit par
    Camille Dal Ponte
    20.06.25
    Transformation numérique
    08
    MIN
    RGPD : quel bilan en 7 ans d’application ?
    RGPD : quel bilan en 7 ans d’application ?
    RGPD : quel bilan en 7 ans d’application ?
    Image Les compétences IT au cœur des stratégies du dark web
    Transformation numérique
    19.06.25 Transformation numérique
    Prochain article
    Les compétences IT au cœur des stratégies du dark web
    Lire
    07
    MIN
    Image Le marché du cloud de confiance prend (enfin) son envol
    Souveraineté numérique
    18.06.25 Souveraineté numérique
    Prochain article
    Le marché du cloud de confiance prend (enfin) son envol
    Lire
    10
    MIN
    Image Procès Google : peut-on encore réguler les géants du Web ?
    Transformation numérique
    13.06.25 Transformation numérique
    Prochain article
    Procès Google : peut-on encore réguler les géants du Web ?
    Lire
    06
    MIN
    Image OpenAI désactive des comptes de ChatGPT responsables de campagnes étatiques de désinformation
    Transformation numérique
    12.06.25 Transformation numérique
    Prochain article
    OpenAI désactive des comptes de ChatGPT responsables de campagnes étatiques de désinformation
    Lire
    02
    MIN

    Entré en application le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a marqué un tournant décisif dans la régulation numérique européenne. Ce texte fondateur vise à harmoniser la protection des données personnelles au sein de l’Union européenne, en imposant un socle commun d’obligations aux acteurs publics et privés, quel que soit leur secteur. Plus qu’une simple réponse, le RGPD s’est imposé comme un modèle juridique mondial de référence, s’inscrivant dans un écosystème normatif en expansion avec le Data Governance Act, le Digital Services Act, le AI Act ou encore le règlement MiCA.

    Sept ans après son entrée en vigueur, le RGPD a profondément transformé les pratiques de traitement des données : nomination de DPO, réalisation d’analyses d’impact, documentation systématique, gouvernance renforcée, contractualisation rigoureuse avec les sous-traitants et encadrement strict des transferts internationaux. Il est devenu un levier organisationnel structurant, mais parfois difficile à déployer, notamment pour les PME et les structures moins matures.

    Alors que de nouvelles régulations viennent compléter le cadre européen, l’heure est au bilan : le RGPD a-t-il permis une meilleure maîtrise des données personnelles ? A-t-il renforcé la souveraineté numérique européenne et responsabilisé durablement les organisations dans leur usage des données ? L’application du RGPD s’organise à plusieurs niveaux : européen et national, il faut donc faire une double analyse.

    L’application du RGPD à l’échelle européenne

    Le RGPD est un règlement européen ; ce sont donc les autorités européennes qui encadrent sa bonne application. Au sein de l’UE, c’est le Comité européen de la protection des données (CEPD) qui guide les acteurs de marché et les autorités nationales (ex : la CNIL pour la France.) La Commission européenne intervient également, notamment à travers des rapports d’évaluation : le premier datant de 2020, le second publié en 2024.

    Ces rapports montrent que, malgré des difficultés d’application, le RGPD génère des résultats concrets pour les particuliers et les entreprises. On observe une forte mobilisation des outils de coopération, avec près de 2 400 dossiers enregistrés dans le système d’échange d’informations entre autorités selon le rapport de 2024. Plus de 20 000 enquêtes ont été ouvertes à l’initiative des autorités de protection européennes, et plus de 100 000 plaintes sont traitées chaque année.

    Parallèlement, les effectifs des autorités nationales ont significativement augmenté : entre 2020 et 2024, 14 États membres ont renforcé leurs équipes de 25 % en moyenne, l’Irlande affichant une hausse record de 79 %.

    Sur le plan culturel, les résultats de l’Eurobaromètre 549 de 2024 confirment une meilleure appropriation du RGPD par les citoyens : 72 % des répondants européens en ont entendu parler, dont 40 % en connaissent les principes. Dans 19 pays membres, plus de 70 % des citoyens sont familiers avec le RGPD et les droits qu’il confère.

    Pour autant, des défis persistent. La Commission européenne appelle à une adoption rapide du règlement procédural, à une harmonisation renforcée des pratiques nationales, à un soutien accru aux PME et aux chercheurs, à un suivi rigoureux de l’indépendance des autorités et à une coordination institutionnelle mieux structurée.

    L’application du RGPD à l’échelle française

    En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est chargée de veiller à l’application du RGPD. Le rapport annuel 2024 de la CNIL dresse un constat clair : le RGPD s’est consolidé comme un pilier de la gouvernance numérique, avec une intensification notable des contrôles, des sanctions et des actions pédagogiques.

    L’année 2024 a été marquée par un volume record de plaintes (17 772) et de demandes d’exercice indirect de droits (près de 25 000). Cette dynamique confirme la vigilance croissante des citoyens sur l’usage de leurs données, ainsi qu’une meilleure connaissance des recours disponibles.

    Sur le plan répressif, la CNIL a prononcé 87 sanctions (contre 42 en 2023), pour un total de 55,2 millions d’euros d’amendes. Elle a également pris 331 mesures correctrices, dont 180 mises en demeure. Les thématiques les plus sanctionnées restent la prospection commerciale non sollicitée et le non-respect des règles sur les cookies.

    Côté cybersécurité, plus de 5 600 violations de données ont été notifiées à la CNIL (+20 %), dont une quarantaine ont concerné plus d’un million de personnes. En réponse, l’autorité a renforcé sa coopération avec l’ANSSI, le parquet de Paris et Cybermalveillance.gouv.fr.

    La CNIL joue aussi un rôle central dans l’accompagnement des professionnels : publication de fiches pratiques (notamment sur l’IA), mise à jour du guide pour les développeurs, lancement d’un bac à sable IA ciblé sur l’économie des seniors, et actions spécifiques en faveur des PME, souvent en difficulté pour appliquer le RGPD.

    Enfin, la CNIL inscrit ses actions dans une vision stratégique plus large à l’horizon 2025–2028, axée sur l’intelligence artificielle, la cybersécurité, la protection des mineurs et la régulation des applications mobiles. Une nouvelle organisation interne a été mise en place avec la création d’un service IA et d’une équipe spécialisée en économie numérique.

    Comparaison et évolution de l’application du RGPD en France et en Europe

    Si l’on compare les dynamiques européennes et françaises, la France s’illustre par une mise en œuvre proactive et structurée du RGPD. La CNIL apparaît comme l’une des autorités les plus actives d’Europe, tant en termes de contrôles que de productions de doctrine et d’accompagnement des acteurs.

    L’évolution temporelle est également notable : entre 2023 et 2024, le nombre de sanctions et mises en demeure a considérablement augmenté, montrant un passage progressif d’une logique purement pédagogique à une exigence de responsabilisation réelle des acteurs. La CNIL adapte son approche aux enjeux contemporains : IA générative, cybersécurité, tracking, données sensibles…

    La France excelle en matière de sensibilisation citoyenne, avec des outils numériques éducatifs, des kits à destination des petites structures, et une volonté affichée de rendre le droit accessible. Toutefois, certains points de vigilance demeurent :

    • Les PME et collectivités locales rencontrent toujours des difficultés dans la mise en conformité, par manque de moyens ou de compétences internes.
    • La transparence des traitements, notamment en matière de cookies et de profilage, reste une problématique récurrente.
    • Il faut également poursuivre les efforts d’interopérabilité et de cohérence des outils français avec les systèmes européens.

    Sur le plan institutionnel, la France a récemment renforcé ses équipes spécialisées en intelligence artificielle, ce qui lui permet d’anticiper plus efficacement les nouvelles régulations numériques européennes. 

    Le bilan du RGPD : un bilan positif malgré des efforts à poursuivre

    Sept ans après sa mise en œuvre, le RGPD s’impose comme la pierre angulaire de la régulation numérique européenne. Ses bénéfices sont tangibles : il a permis une meilleure transparence dans les pratiques de traitement des données, renforcé la responsabilité des organisations, et donné aux citoyens un cadre clair pour exercer leurs droits. Il a contribué à élever le niveau de conformité global, à structurer les processus internes des entreprises (notamment à travers la gouvernance, la sécurité et la documentation), et à créer un socle commun de confiance indispensable à l’économie numérique.

    Cependant, ce bilan positif cohabite avec des limites persistantes, identifiées tant à l’échelle européenne que nationale. L’hétérogénéité dans l’interprétation des règles par les autorités nationales reste un frein à une véritable harmonisation. Certaines procédures transfrontalières sont longues et complexes, entraînant un sentiment d’impunité pour les grandes plateformes du numérique. En France, les autorités soulignent la difficulté pour les PME à se conformer à l’ensemble des obligations du RGPD, souvent perçues comme techniques, lourdes et coûteuses.

    La Commission européenne, tout comme la CNIL, appelle à des améliorations structurelles. Parmi les priorités figurent l’adoption rapide d’un règlement procédural européen pour fluidifier les enquêtes transfrontalières, un soutien renforcé aux petites structures, une meilleure coordination institutionnelle, et la montée en compétences sur les sujets émergents comme l’intelligence artificielle et la protection des mineurs. À l’heure où l’UE déploie d’autres textes structurants (AI Act, DSA, DMA…), une réflexion s’ouvre sur l’articulation entre ces régulations et le RGPD pour éviter les chevauchements, renforcer la lisibilité du droit, et garantir une protection effective des citoyens.

    Camille Dal Ponte
    20.06.25
    Articles du même auteur :
    1
    03.06.25 Gestion des risques
    L’IA en cybersécurité : entre bouclier et outil offensif, quelles réponses juridiques sont apportées en UE ? 
    Lire
    06
    MIN
    2
    21.03.25 Cybersécurité
    Hackeur éthique : entre légalité et illégalité des intrusions, que dit le droit ?
    Lire
    08
    MIN
    3
    13.02.25 Cybersécurité
    Droit et cyberassurance : quelle situation juridique pour les entreprises franco-suisse en 2025 ?
    Lire
    06
    MIN
    4
    23.01.25 Cyber +
    Data Mining et IA : le non-débat autour de l’IA Act, du droit d’auteur et de l’exception sur la fouille de texte et de données
    Lire
    09
    MIN
    Image Les compétences IT au cœur des stratégies du dark web
    Transformation numérique
    19.06.25 Transformation numérique
    Prochain article
    Les compétences IT au cœur des stratégies du dark web
    Lire
    07
    MIN
    Image Le marché du cloud de confiance prend (enfin) son envol
    Souveraineté numérique
    18.06.25 Souveraineté numérique
    Prochain article
    Le marché du cloud de confiance prend (enfin) son envol
    Lire
    10
    MIN
    Image Procès Google : peut-on encore réguler les géants du Web ?
    Transformation numérique
    13.06.25 Transformation numérique
    Prochain article
    Procès Google : peut-on encore réguler les géants du Web ?
    Lire
    06
    MIN
    Image OpenAI désactive des comptes de ChatGPT responsables de campagnes étatiques de désinformation
    Transformation numérique
    12.06.25 Transformation numérique
    Prochain article
    OpenAI désactive des comptes de ChatGPT responsables de campagnes étatiques de désinformation
    Lire
    02
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.