La vision de Cyber Academy
En 2026, le RGPD demeure le règlement de l'UE qui encadre les données à caractère personnel (Regulation (EU) 2016/679, en vigueur depuis mai 2018). Ce qui a changé depuis 2018 : le cadre des transferts internationaux (Schrems II, nouvelles SCC, EU-US Data Privacy Framework), l'intensité des sanctions (CNIL, DPC, AEPD comme autorités actives), l'articulation avec l'AI Act sur les traitements automatisés, et les clarifications de la CJUE sur le consentement, l'intérêt légitime et le droit à l'oubli.
TL;DR
- 1Le RGPD lui-même n'a pas été modifié. Ce qui a bougé, c'est la jurisprudence, les lignes directrices de l'EDPB, les SCC et le cadre des transferts internationaux.
- 2Schrems II a invalidé le Privacy Shield en 2020. L'EU-US Data Privacy Framework (DPF) l'a remplacé en juillet 2023 ; les transferts vers des importateurs américains certifiés DPF n'ont plus besoin de mesures supplémentaires.
- 3Les SCC de 2021 ont remplacé les versions de 2010. Tout transfert hors de l'EEE sans décision d'adéquation nécessite un Transfer Impact Assessment documenté.
- 4Les sanctions de l'EDPB et des autorités nationales atteignent une intensité record. Affaires majeures de 2023 à 2025 : Meta (1,2 milliard d'euros, transferts), LinkedIn (310 millions d'euros, publicité comportementale), Clearview AI (plusieurs autorités).
- 5Articulation avec l'AI Act : les systèmes d'IA à haut risque traitant des données à caractère personnel doivent se conformer aux deux. DPIA + évaluation de conformité AI Act conjointement.
Pourquoi le texte est resté figé et la pratique a évolué
Le RGPD n'a pas été réécrit. Les numéros d'articles que vous avez appris en 2018 sont les numéros d'articles que vous appliquez en 2026. Ce qui a changé se situe un cran en dessous : la jurisprudence qui interprète le texte, les lignes directrices de l'EDPB qui le rendent opérationnel, les clauses contractuelles types qui encadrent vos transferts, et le mécanisme d'adéquation qui détermine où les données peuvent légalement atterrir. Un programme de conformité bâti en 2018 et jamais retouché depuis n'est pas faux sur le papier. Il est dépassé en pratique, et c'est précisément ce caractère dépassé que les contrôles révèlent désormais.
Cette page s'adresse à la personne qui maîtrise déjà le règlement et a besoin de savoir quoi actualiser. Elle suppose que vous savez définir une donnée à caractère personnel, un responsable du traitement et une base légale. Elle se concentre sur les quatre éléments mouvants qui génèrent réellement des constats en 2026 : les transferts internationaux, le Transfer Impact Assessment, le recoupement avec l'AI Act, et la question de savoir si vous êtes tenu de désigner un Data Protection Officer.
Transferts internationaux : l'arbre de décision, pas le gros titre
La plupart des équipes connaissent les gros titres. Schrems II a invalidé le Privacy Shield en 2020. L'EU-US Data Privacy Framework l'a remplacé en 2023. Les SCC de 2021 ont remplacé les versions de 2010. Ces gros titres sont exacts et presque inutiles à eux seuls, car le vrai travail consiste à associer un transfert précis à un instrument précis, puis à décider si un Transfer Impact Assessment est requis par-dessus. C'est un arbre de décision, et vous le parcourez flux de données par flux de données, pas une seule fois pour toute l'entreprise.
Partez de la destination. Si l'importateur se situe dans un pays disposant d'une décision d'adéquation de l'UE en vigueur, vous transférez sur la base de cette décision d'adéquation et vous n'avez pas besoin de SCC ni de TIA pour ce flux. Si la destination est les États-Unis et que l'importateur est auto-certifié au titre du Data Privacy Framework pour les catégories de données concernées, ce flux s'appuie sur le DPF comme sa propre base d'adéquation : pas de SCC, pas de mesures supplémentaires. Dès que vous sortez de ces deux cas, vous relevez des garanties de l'Article 46, ce qui en pratique signifie les SCC de 2021, et les SCC s'accompagnent d'une obligation de TIA que Schrems II a rendue non optionnelle.
| Scénario de transfert | Instrument requis | TIA requis ? |
|---|---|---|
| De l'EEE vers un pays disposant d'une décision d'adéquation en vigueur | Décision d'adéquation (pas de contrat supplémentaire) | Non |
| De l'EEE vers un importateur américain auto-certifié au titre du DPF, pour les données couvertes | Certification DPF (vaut adéquation) | Non |
| De l'EEE vers un importateur américain NON couvert par le DPF | SCC de 2021 | Oui |
| De l'EEE vers un pays tiers non adéquat (cas général) | SCC de 2021 | Oui |
| Transferts intragroupe entre de nombreuses entités et pays | Binding Corporate Rules (ou SCC) | Oui (évalué par destination) |
| Transfert ultérieur par votre sous-traitant vers son propre sous-traitant ultérieur à l'étranger | SCC en cascade dans la chaîne de sous-traitance | Oui (la chaîne hérite de l'obligation) |
Le Transfer Impact Assessment en pratique opérationnelle
Un TIA est le document qui répond à une seule question : le droit et les pratiques du pays de destination compromettent-ils la protection que vos SCC promettent sur le papier ? Ce n'est pas une case à cocher. C'est une analyse juridique et technique de portée limitée que vous produisez par transfert (ou par groupe de transferts substantiellement identiques) et que vous conservez au dossier pour le jour où un régulateur la demandera.
En pratique, un TIA défendable accomplit quatre choses. Il décrit le transfert de manière concrète : qui exporte, qui importe, quelles données, quel volume, quelle finalité. Il évalue le régime juridique de destination, avec une attention particulière aux pouvoirs d'accès des autorités publiques et à l'existence ou non d'un recours effectif pour la personne concernée. Il identifie les mesures supplémentaires lorsque le régime juridique est faible, et la mesure qui change véritablement la donne est un chiffrement que vous maîtrisez, où l'importateur ne détient jamais les clés. Et il consigne une conclusion motivée : procéder, procéder avec des mesures, ou ne pas transférer.
- Cartographiez le flux avec précision, y compris tout transfert ultérieur que votre sous-traitant effectue vers des sous-traitants ultérieurs. Les flux que vous oubliez sont ceux qui ressurgissent lors d'une violation.
- Évaluez le droit de destination au regard des critères de l'EDPB, et non de votre intuition sur le pays.
- Appliquez des mesures supplémentaires lorsque nécessaire, et faites du chiffrement robuste, avec gestion des clés de votre côté, la mesure technique par défaut plutôt que de vous appuyer sur les seules promesses contractuelles.
- Documentez la conclusion et datez-la, puis définissez un déclencheur de revue afin qu'elle n'expire pas silencieusement.
Là où le RGPD rencontre l'AI Act
L'AI Act ne remplace pas le RGPD et ne l'assouplit pas. Lorsqu'un système d'IA traite des données à caractère personnel, les deux s'appliquent pleinement et vous devez satisfaire aux deux. La manière la plus claire de saisir le recoupement est d'examiner l'artefact que chaque régime attend. Le RGPD exige une Data Protection Impact Assessment lorsqu'un traitement est susceptible de présenter un risque élevé pour les personnes. L'AI Act exige une évaluation de conformité, une documentation technique et (pour certains systèmes) une analyse d'impact sur les droits fondamentaux pour l'IA à haut risque. Ce sont des documents distincts répondant à des questions distinctes, et un système d'IA à haut risque qui touche à des données à caractère personnel a besoin des deux, cohérents entre eux.
Les points de friction sont des problèmes RGPD familiers sous de nouveaux habits. La décision automatisée produisant des effets juridiques ou des effets significatifs similaires déclenchait déjà les obligations de l'Article 22 ; l'AI Act y superpose des obligations de transparence et de supervision humaine. Les données d'entraînement soulèvent des questions de base légale et de limitation des finalités qui ne disparaissent pas parce que le résultat est un modèle. Le profilage et l'inférence ont toujours été dans le champ d'application. La règle pratique pour 2026 : ne menez pas un chantier de gouvernance de l'IA qui ignore votre DPO, et ne menez pas un programme de conformité qui fait comme si l'entraînement des modèles relevait du problème d'autrui. Les deux évaluations devraient se référer l'une à l'autre.
Les ingénieurs en confidentialité (privacy engineers) qui doivent concilier ces régimes dans leurs décisions de conception constituent précisément le public visé par la certification CDPSE, qui s'articule autour de la gouvernance, de l'architecture et du cycle de vie des données plutôt que du seul texte juridique. Pour faire de la protection de la vie privée un système de management qui s'articule proprement à côté d'un ISMS, le cours ISO 27701 Foundation couvre le modèle PIMS, et le cours ISO 27701 Lead Implementer vous guide dans sa construction et son fonctionnement.
Les sanctions sont un signal, pas seulement un risque
Lisez les sanctions récentes comme une carte des points sur lesquels les autorités portent leur regard, car elles vous indiquent où se situe probablement votre propre exposition. La tendance de 2023 à 2025 est constante. Les transferts internationaux ont produit les plus lourdes sanctions individuelles, la décision Meta (1,2 milliard d'euros) reposant sur les flux de données UE-États-Unis. La publicité comportementale et la base légale du ciblage publicitaire ont entraîné la décision LinkedIn (310 millions d'euros). Les données biométriques collectées par scraping ont valu des actions répétées contre Clearview AI auprès de plusieurs autorités. Les autorités actives sont celles que vous attendez : la CNIL en France, la DPC en Irlande pour les grandes plateformes, l'AEPD en Espagne.
L'enseignement opérationnel est de cesser de traiter les sanctions comme le gros titre du voisin. Si les transferts, le consentement publicitaire et les traitements biométriques ou proches de l'IA sont les domaines où tombent les amendes, ce sont les trois dossiers qu'un régulateur est statistiquement le plus susceptible de vous demander. Un programme capable de produire un TIA à jour, un enregistrement de consentement défendable et une DPIA pour ses traitements les plus risqués est un programme qui survit aux questions réellement posées.
Avez-vous réellement besoin d'un DPO ?
La question du DPO est celle à laquelle on répond le plus souvent par réflexe plutôt que par le texte. L'Article 37 rend un DPO obligatoire dans trois situations : vous êtes une autorité ou un organisme public ; vos activités de base consistent en un suivi régulier et systématique à grande échelle des personnes concernées ; ou vos activités de base consistent en un traitement à grande échelle de données de catégorie particulière ou de données relatives à des condamnations pénales. Si aucune de ces situations ne s'applique, le RGPD n'impose pas la désignation, bien que certaines lois nationales ajoutent leurs propres critères et qu'un DPO volontaire soit souvent le choix le plus avisé.
La formule qui tranche la plupart des cas réels est « activités de base ». Un hôpital surveille des données de santé en tant qu'activité de base, il a donc besoin d'un DPO. Un industriel qui gère la paie traite des données à caractère personnel, mais il s'agit d'une fonction support, pas d'une activité de base, de sorte que la paie seule ne déclenche pas l'obligation. Les erreurs se concentrent aux marges : désigner une personne dépourvue de l'indépendance et de la ligne hiérarchique qu'exige l'Article 38, nommer un DPO en situation de conflit d'intérêts parce qu'il détient également le traitement qu'il est censé superviser, ou nommer sur le papier en n'accordant aucune autorité à la fonction. Un DPO qui ne peut atteindre le conseil d'administration et ne peut dire non est un constat qui ne demande qu'à être rédigé.
Si la fonction vous revient à pourvoir ou à superviser, la profondeur compte. Le cours GDPR Foundation est le bon point de départ pour l'équipe qui entoure la fonction, et le cours GDPR Certified Data Protection Officer est conçu pour la personne qui porte le titre, en couvrant l'indépendance, les missions et la responsabilité que le règlement exige réellement.
Ce qu'il faut actualiser avant votre prochain audit
Mettez à jour les éléments mouvants et le reste du programme se gère en grande partie de lui-même. Confirmez que chaque transfert s'appuie sur les SCC de 2021, et non sur le jeu retiré de 2010, car les clauses héritées constituent un constat immédiat. Vérifiez que chaque transfert non adéquat dispose d'un TIA daté relié depuis votre RoPA. Vérifiez que tout fournisseur américain auquel vous recourez est actuellement certifié DPF pour les données que vous envoyez, et que vous disposez d'une solution de repli en SCC dans le cas contraire. Assurez-vous que vos traitements les plus risqués disposent d'une DPIA, et que tout ce qui repose sur l'IA est accompagné des artefacts AI Act correspondants. Enfin, réexaminez la question du DPO au regard de vos activités de base réelles plutôt que de la réponse que vous avez donnée en 2018.
Frequently asked questions
01Ai-je encore besoin de SCC depuis l'adoption de l'EU-US DPF ?
Pour les transferts vers des importateurs américains auto-certifiés au titre de l'EU-US Data Privacy Framework, non, la décision d'adéquation de juillet 2023 couvre ces transferts. Vérifiez la certification de l'importateur sur la liste DPF du Department of Commerce.
Pour les transferts vers des importateurs américains non couverts par le DPF, ou les transferts vers tout autre pays tiers sans décision d'adéquation, les SCC de 2021 (ou un autre outil de transfert) ainsi qu'un Transfer Impact Assessment sont requis.
02Qu'est-ce qu'un Transfer Impact Assessment et quand en ai-je besoin ?
Un TIA est l'analyse documentée requise depuis Schrems II pour tout transfert de données à caractère personnel hors de l'EEE sans décision d'adéquation. Il évalue si les lois du pays de destination offrent un niveau de protection substantiellement équivalent à celui garanti au sein de l'UE, et identifie les mesures supplémentaires le cas échéant.
Vous avez besoin d'un TIA pour chacun de ces transferts, flux de transfert par flux de transfert. Les Recommandations 01/2020 de l'EDPB en fournissent la méthodologie. La plupart des organisations recourant à des prestataires SaaS hors UE sous-estiment le travail de TIA et s'appuient sur le modèle du fournisseur, ce qui n'est pas juridiquement suffisant à lui seul.
03Comment l'AI Act s'articule-t-il avec le RGPD ?
L'AI Act constitue une couche supplémentaire qui s'ajoute au RGPD, et non un remplacement. Lorsque des systèmes d'IA à haut risque traitent des données à caractère personnel, les deux réglementations s'appliquent : le RGPD pour la base légale, les droits des personnes concernées, la DPIA, le cadre des transferts internationaux ; l'AI Act pour l'évaluation de conformité, la gestion des risques, la documentation technique, la supervision humaine.
En pratique, les organisations intègrent la DPIA et l'évaluation de conformité AI Act dans un document unique lorsque c'est possible, afin d'éviter les travaux redondants et les traitements du risque incohérents.
04Quelles tendances en matière de sanctions dois-je surveiller ?
Trois tendances depuis 2022 : (1) une coopération accrue des autorités de contrôle (décisions du guichet unique, enquêtes conjointes), la DPC en Irlande restant en première ligne sur les affaires transfrontalières contre les acteurs technologiques américains, mais les décisions contraignantes de l'EDPB resserrant son cadre d'action ; (2) des amendes majeures sur la publicité comportementale et les dark patterns (Meta, LinkedIn, Amazon, Google) ; (3) des sanctions sur les cookies et les technologies de traçage au titre de la directive ePrivacy (la CNIL particulièrement active).
On peut s'attendre à la poursuite de cette tendance : davantage de décisions contraignantes transfrontalières, un examen plus strict de l'intérêt légitime comme base des traitements comportementaux, et une attention croissante portée aux traitements liés à l'IA au titre de l'Article 22 du RGPD (décision automatisée).
05Mon organisation a-t-elle besoin d'un DPO ?
Les Articles 37 à 39 du RGPD imposent un DPO lorsque : (a) le responsable du traitement ou le sous-traitant est une autorité ou un organisme public ; (b) les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées ; (c) les activités de base consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales.
Au-delà de l'obligation légale, de nombreuses organisations du secteur privé désignent un DPO de manière volontaire pour des raisons de gestion des risques. Les DPO au niveau d'un groupe sont autorisés et fréquents dans les multinationales ; ils doivent rester accessibles aux personnes concernées et à l'autorité de contrôle.




