Le RGPD a sept ans. Ce n'est plus une nouveauté, c'est la norme. Pourtant, les sanctions continuent de tomber — et les montants augmentent. L'année 2025 apporte son lot de nouvelles réglementations européennes qui s'ajoutent au cadre existant. Voici ce que vous devez savoir pour rester conforme et serein.
Le RGPD : rappel des principes fondateurs
Avant de parler des évolutions, rappelons les bases. Le Règlement Général sur la Protection des Données s'applique dès que vous collectez des données personnelles de résidents européens. Et la notion de "données personnelles" est large : nom, email, téléphone, évidemment, mais aussi adresse IP, cookies, données de navigation, historique d'achats, localisation.
Si vous avez un site web avec un formulaire de contact, des analytics, ou des cookies — c'est-à-dire pratiquement tous les sites — vous êtes concerné. Que vous soyez une multinationale ou un artisan avec un site vitrine.
Les six piliers du RGPD
Chaque traitement de données personnelles doit respecter six principes que la CNIL examine lors de ses contrôles.
La licéité : vous devez avoir une base légale pour traiter ces données. Consentement explicite, exécution d'un contrat, obligation légale, intérêt légitime... chaque traitement doit pouvoir justifier sa base.
La loyauté et la transparence : les personnes doivent être informées clairement de ce que vous faites avec leurs données. Pas de collecte en catimini, pas de jargon juridique incompréhensible.
La limitation des finalités : les données collectées ne peuvent servir qu'à ce que vous avez annoncé. Vous récupérez un email pour envoyer une facture ? Vous ne pouvez pas l'utiliser pour du démarchage commercial sans consentement séparé.
La minimisation : ne collectez que ce dont vous avez réellement besoin. Demander la date de naissance et le nombre d'enfants pour un formulaire de contact newsletter ? Injustifié.
L'exactitude : les données doivent être maintenues à jour. Un client qui change d'adresse doit pouvoir mettre à jour ses informations.
La limitation de conservation : vous ne pouvez pas garder les données indéfiniment. Chaque catégorie de données doit avoir une durée de conservation définie et justifiée.
Ce qui change en 2025
Le paysage réglementaire européen s'enrichit de plusieurs textes majeurs qui complètent le RGPD.
Le Digital Services Act (DSA) : les plateformes sous contrôle
En vigueur depuis 2024 mais avec des impacts croissants, le DSA impose des obligations renforcées aux plateformes en ligne. Si vous gérez un forum, une marketplace, un réseau social même de niche, vous êtes potentiellement concerné.
Transparence sur les algorithmes de recommandation : les utilisateurs doivent comprendre pourquoi ils voient tel contenu plutôt que tel autre. Option de refuser le profilage publicitaire : les internautes peuvent demander à ne pas être ciblés sur base de leur comportement. Signalement facilité des contenus illicites : les mécanismes de signalement doivent être accessibles et efficaces.
Le Data Act : la portabilité élargie
Applicable en 2025, le Data Act va plus loin que le RGPD sur la question des données.
Les utilisateurs d'objets connectés (IoT) peuvent accéder à leurs données et les transférer. Votre montre connectée, votre thermostat intelligent, votre voiture — les données qu'ils génèrent vous appartiennent et doivent être accessibles.
Les PME peuvent demander l'accès à certaines données des grandes plateformes pour développer leurs services. Une mesure de rééquilibrage face aux géants du numérique.
L'AI Act : l'intelligence artificielle encadrée
L'Union Européenne est pionnière dans la régulation de l'IA, avec un texte qui entre progressivement en vigueur.
Les systèmes d'IA sont classés par niveau de risque : minimal, limité, élevé, inacceptable. Les obligations varient selon la catégorie. Les IA génératives (ChatGPT, Midjourney...) ont des obligations de transparence spécifiques : signaler quand un contenu est généré par IA, documenter les données d'entraînement. Certains usages sont purement interdits : le scoring social à la chinoise, la manipulation comportementale, certaines formes de surveillance biométrique.
Si vous utilisez l'IA dans vos processus (chatbot, recommandation, analyse), vérifiez où vous vous situez dans cette classification.
Les cookies : la CNIL serre la vis
Les cookies restent le sujet de contrôle le plus fréquent de la CNIL. Les règles n'ont pas changé, mais leur application s'est durcie.
Le consentement qui compte vraiment
Pour qu'un consentement aux cookies soit valide, plusieurs conditions doivent être réunies simultanément.
Une action positive claire : l'utilisateur doit cliquer pour accepter. Les cases pré-cochées ou le simple fait de continuer la navigation ne valent pas consentement. Refuser doit être aussi simple qu'accepter : un bouton "Tout accepter" bien visible et un lien "Gérer mes choix" en petit qui mène à un labyrinthe de menus ? Non conforme. Le bouton "Refuser tout" doit être aussi accessible que "Accepter tout".
Pas de "cookie wall" bloquant : vous ne pouvez pas conditionner l'accès au site à l'acceptation des cookies. Un visiteur qui refuse doit pouvoir naviguer. Le retrait du consentement doit être facile : aussi facile que de le donner initialement. Un lien "Gérer mes cookies" accessible en permanence.
Les exceptions qui simplifient
Certains cookies ne nécessitent pas de consentement car ils sont "strictement nécessaires" au fonctionnement du service.
Les cookies d'authentification qui maintiennent votre session. Le panier d'achat qui se souvient de vos articles. Les préférences de langue ou d'affichage. Certains cookies d'analyse d'audience, sous conditions strictes (anonymisation, pas de recoupement avec d'autres données).
Matomo, configuré conformément aux recommandations de la CNIL, peut être exempté de consentement. Google Analytics 4 dans sa configuration standard ne l'est pas — il nécessite un consentement explicite.
Les transferts internationaux : le casse-tête continue
Transférer des données hors de l'Union Européenne reste un sujet sensible, particulièrement vers les États-Unis.
Le Data Privacy Framework (DPF) est le nouveau cadre UE-USA qui permet les transferts vers les entreprises américaines auto-certifiées. Vérifiez que vos prestataires américains (hébergeurs, outils marketing, CRM) figurent sur la liste officielle.
Pour les autres pays sans décision d'adéquation de la Commission, les Clauses Contractuelles Types (CCT) sont obligatoires. Les versions mises à jour de la Commission sont les seules valides.
Votre check-list conformité 2025
Concrètement, voici ce que vous devez avoir en place.
La documentation
Un registre des traitements à jour listant toutes les données que vous collectez, pourquoi, sur quelle base légale, combien de temps vous les conservez. Une politique de confidentialité conforme et compréhensible sur votre site. Des procédures internes documentées : qui fait quoi en cas de demande d'accès, de violation de données, etc.
Votre site web
Un bandeau cookies conforme avec les boutons accepter/refuser au même niveau de visibilité. Des formulaires qui mentionnent les informations RGPD essentielles (finalité, durée, droits). Les durées de conservation affichées ou accessibles. Un contact DPO (ou référent données) facilement trouvable.
Les processus
Une procédure pour répondre aux demandes d'exercice de droits (accès, rectification, suppression, portabilité) dans les délais légaux (1 mois maximum). Un plan de gestion des violations de données : qui prévenir, quand, comment documenter. Une analyse d'impact (AIPD) pour les traitements à risque (profilage, données sensibles, grande échelle).
Les sous-traitants
Des contrats conformes avec tous vos prestataires qui manipulent des données personnelles (hébergeur, outil emailing, CRM, analytics). Une vérification de leur propre conformité. Une liste maintenue à jour de ces sous-traitants.
Les sanctions qui font mal
Les amendes RGPD ne sont plus théoriques. La CNIL les prononce régulièrement, y compris contre des entreprises françaises.
Le cadre : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel, le montant le plus élevé s'appliquant. Pour une PME, c'est potentiellement fatal.
Les exemples récents français : Microsoft (60 millions d'euros) pour des cookies publicitaires déposés sans consentement valide. Criteo (40 millions) pour des manquements au consentement. Des PME anonymisées mais sanctionnées pour des registres absents, des politiques de confidentialité inexistantes, des failles de sécurité non corrigées.
Les contrôles de la CNIL augmentent. Ils peuvent être déclenchés par une plainte, un signalement, ou simplement un programme de contrôle thématique. Être conforme n'est plus optionnel.
La conformité comme avantage compétitif
Au-delà de l'obligation légale et des sanctions, la conformité RGPD est un argument commercial.
Les clients sont de plus en plus sensibles à la protection de leurs données. Pouvoir afficher une conformité rigoureuse, c'est un gage de sérieux et de respect. À l'inverse, une fuite de données ou une sanction CNIL rendue publique détruit la confiance instantanément.
Le RGPD force aussi une hygiène des données qui a des bénéfices opérationnels. Savoir quelles données vous avez, pourquoi, où elles sont stockées — c'est simplement de la bonne gestion. Les entreprises qui ont pris le RGPD au sérieux se retrouvent mieux organisées.
La conformité n'est pas une case à cocher une fois pour toutes. C'est un processus continu, intégré aux pratiques quotidiennes. Les entreprises qui l'ont compris ont transformé une contrainte en opportunité.