Articles du RGPD (1 à 99) : le texte complet expliqué
Le Règlement Général sur la Protection des Données (RGPD) compte 99 articles organisés en 11 chapitres. Cette page vous donne un accès direct à chacun d’entre eux, avec un résumé rapide et un lien vers la fiche détaillée correspondante.
Le but est de vous aider à naviguer facilement dans le texte du règlement et à retrouver rapidement l’article qui vous intéresse.
Chapitre I – Dispositions générales
Article 1 – Objet et objectifs
Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données personnelles, ainsi qu’à la libre circulation de ces données.
Article 2 – Champ d’application matériel
Définit les types de traitements couverts par le règlement et les exceptions (activités domestiques, sécurité publique, etc.).
Article 3 – Champ d’application territorial
Précise quand le RGPD s’applique, y compris aux traitements effectués hors de l’Union mais visant des personnes situées dans l’UE.
Article 4 – Définitions
Énumère et définit les principaux termes du règlement (données personnelles, traitement, responsable du traitement, consentement, etc.).
Chapitre II – Principes
Article 5 – Principes relatifs au traitement des données à caractère personnel
Établit les principes fondamentaux du traitement : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de conservation, intégrité et confidentialité.
Article 6 – Licéité du traitement
Définit les bases juridiques permettant un traitement légal : consentement, exécution d’un contrat, obligation légale, intérêt vital, mission d’intérêt public ou intérêts légitimes.
Article 7 – Conditions applicables au consentement
Précise les conditions de validité du consentement, qui doit être libre, spécifique, éclairé et univoque, et la possibilité de le retirer facilement.
Article 8 – Conditions applicables au consentement de l’enfant
Fixe l’âge minimal de 16 ans (ou plus bas selon législation nationale, minimum 13 ans) pour qu’un enfant puisse donner seul son consentement dans le cadre de services en ligne.
Article 9 – Traitement portant sur des catégories particulières de données
Interdit en principe le traitement de données sensibles (origine raciale, opinions, santé, etc.), sauf exceptions prévues par le règlement.
Article 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions
Soumet ces traitements à des garanties renforcées, et en principe à la surveillance d’une autorité publique.
Article 11 – Traitement ne nécessitant pas d’identification
Précise que si l’identification d’une personne n’est plus nécessaire, le responsable du traitement n’est pas obligé de conserver ou d’acquérir des informations supplémentaires uniquement pour la réidentifier.
Chapitre III – Droits de la personne concernée
Article 12 – Transparence des informations et des communications
Établit l’obligation d’une information claire, concise et accessible concernant le traitement des données et les droits des personnes.
Article 13 – Informations à fournir lorsque des données sont collectées auprès de la personne concernée
Détaille les informations que le responsable doit fournir lors de la collecte directe des données (finalités, base légale, durée de conservation, droits, etc.).
Article 14 – Informations à fournir lorsque les données n’ont pas été collectées auprès de la personne concernée
Fixe les informations à transmettre lorsqu’un tiers collecte les données, sauf exceptions limitées.
Article 15 – Droit d’accès de la personne concernée
Consacre le droit d’obtenir du responsable la confirmation qu’un traitement existe et l’accès aux données personnelles ainsi qu’à des informations connexes.
Article 16 – Droit de rectification
Permet à toute personne d’obtenir du responsable la rectification de données inexactes la concernant.
Article 17 – Droit à l’effacement (« droit à l’oubli »)
Établit le droit d’obtenir l’effacement des données dans certaines conditions (fin de la finalité, retrait du consentement, traitement illicite, etc.).
Article 18 – Droit à la limitation du traitement
Permet à une personne d’obtenir la limitation du traitement dans certaines situations (contestations, illicéité, etc.).
Article 19 – Obligation de notification concernant la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement
Impose au responsable d’informer chaque destinataire de toute rectification, effacement ou limitation du traitement, sauf si cela exige des efforts disproportionnés.
Article 20 – Droit à la portabilité des données
Donne à la personne concernée le droit de recevoir ses données dans un format structuré et de les transmettre à un autre responsable.
Article 21 – Droit d’opposition
Permet à la personne concernée de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à certains traitements, notamment ceux fondés sur l’intérêt légitime ou la prospection.
Article 22 – Décision individuelle automatisée, y compris le profilage
Encadre les décisions produisant des effets juridiques prises uniquement sur la base d’un traitement automatisé, en posant des interdictions et exceptions.
Article 23 – Limitations
Permet aux États membres de restreindre par la loi certains droits ou obligations du RGPD afin de protéger des intérêts publics (sécurité, justice, etc.).
Chapitre IV – Responsable du traitement et sous-traitant
Article 24 – Responsabilité du responsable du traitement
Établit l’obligation pour le responsable de mettre en œuvre des mesures appropriées afin d’assurer et de démontrer la conformité au RGPD.
Article 25 – Protection des données dès la conception et par défaut
Impose d’intégrer la protection des données dès la conception des traitements et de limiter par défaut la collecte aux seules données nécessaires.
Article 26 – Responsables conjoints du traitement
Prévoit les conditions dans lesquelles plusieurs acteurs peuvent déterminer conjointement les finalités et moyens d’un traitement, avec un accord transparent.
Article 27 – Représentants des responsables ou des sous-traitants non établis dans l’Union
Oblige les responsables ou sous-traitants hors UE à désigner un représentant dans l’Union, sauf exceptions.
Article 28 – Sous-traitant
Encadre la relation entre responsable et sous-traitant, avec obligation de contrat et garanties en matière de sécurité et de confidentialité.
Article 29 – Traitement sous l’autorité du responsable du traitement ou du sous-traitant
Précise que toute personne agissant sous leur autorité ne peut traiter les données que sur instruction.
Article 30 – Registre des activités de traitement
Impose la tenue d’un registre des activités de traitement, sauf exceptions limitées pour les petites structures.
Article 31 – Coopération avec l’autorité de contrôle
Obligation pour les responsables et sous-traitants de coopérer avec l’autorité de contrôle sur demande.
Article 32 – Sécurité du traitement
Fixe l’obligation de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté.
Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Impose la notification des violations de données à l’autorité compétente dans les 72 heures, sauf risque faible.
Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel
Oblige à informer directement les personnes concernées lorsque la violation présente un risque élevé pour leurs droits.
Article 35 – Analyse d’impact relative à la protection des données
Impose la réalisation d’une AIPD pour les traitements susceptibles d’engendrer un risque élevé.
Article 36 – Consultation préalable
Prévoit la consultation de l’autorité de contrôle lorsque l’AIPD indique que le risque subsiste malgré les mesures prévues.
Article 37 – Désignation du délégué à la protection des données
Fixe les cas dans lesquels la désignation d’un DPO est obligatoire et les conditions de sa désignation.
Article 38 – Position du délégué à la protection des données
Garantit l’indépendance du DPO et précise ses moyens, ressources et protection contre les conflits d’intérêts.
Article 39 – Missions du délégué à la protection des données
Détaille les missions du DPO : information, conseil, contrôle de conformité, coopération avec l’autorité de contrôle.
Article 40 – Codes de conduite
Encourage l’élaboration de codes de conduite sectoriels validés par les autorités pour faciliter la conformité.
Article 41 – Suivi des codes de conduite approuvés
Organise le suivi des codes de conduite par des organismes accrédités et la supervision par les autorités de contrôle.
Article 42 – Certification
Introduit des mécanismes de certification comme preuve de conformité volontaire au RGPD.
Article 43 – Organismes de certification
Fixe les conditions d’accréditation et de contrôle des organismes de certification.
Chapitre V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
Article 44 – Principe général applicable aux transferts
Établit que tout transfert vers un pays tiers doit respecter les conditions du RGPD pour garantir un niveau de protection adéquat.
Article 45 – Transferts fondés sur une décision d’adéquation
Autorise les transferts vers des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat.
Article 46 – Transferts moyennant des garanties appropriées
Permet les transferts si le responsable met en place des garanties comme des clauses contractuelles types ou des règles contraignantes d’entreprise.
Article 47 – Règles d’entreprise contraignantes
Encadre l’adoption de règles internes contraignantes pour les groupes d’entreprises transférant des données hors UE.
Article 48 – Transferts ou divulgations non autorisés par le droit de l’Union
Précise qu’aucune décision d’une autorité publique d’un pays tiers ne peut obliger à transférer des données si elle n’est pas fondée sur un accord international.
Article 49 – Dérogations pour des situations particulières
Liste les cas exceptionnels où un transfert est autorisé en l’absence de garanties (consentement explicite, contrat, motifs importants d’intérêt public…).
Article 50 – Coopération internationale dans le domaine de la protection des données à caractère personnel
Encourage la coopération internationale pour garantir un niveau élevé de protection des données à l’échelle mondiale.
Chapitre VI – Autorités de contrôle indépendantes
Article 51 – Autorité de contrôle
Chaque État membre doit désigner une ou plusieurs autorités publiques indépendantes chargées de surveiller l’application du RGPD.
Article 52 – Indépendance
Garantit l’indépendance des autorités de contrôle dans l’exercice de leurs missions, sans ingérence extérieure.
Article 53 – Conditions générales applicables aux membres de l’autorité de contrôle
Fixe les conditions de nomination, de durée de mandat et d’incompatibilités pour les membres des autorités.
Article 54 – Règles relatives à l’établissement de l’autorité de contrôle
Encadre l’organisation, les moyens et le fonctionnement interne des autorités de contrôle nationales.
Article 55 – Compétence
Définit la compétence territoriale et matérielle des autorités de contrôle, notamment pour les traitements effectués sur leur territoire.
Article 56 – Compétence de l’autorité chef de file
Précise le rôle de l’autorité chef de file pour les traitements transfrontaliers et la coopération avec les autres autorités concernées.
Article 57 – Missions
Liste les missions principales des autorités de contrôle : surveillance, sensibilisation, conseil, traitement des plaintes, enquêtes et coopération.
Article 58 – Pouvoirs
Détaille les pouvoirs d’enquête, de correction, d’autorisation et de conseil des autorités de contrôle.
Article 59 – Rapports d’activité
Oblige les autorités de contrôle à publier régulièrement des rapports sur leurs activités et résultats.
Chapitre VII – Coopération et cohérence
Article 60 – Coopération entre l’autorité chef de file et les autres autorités concernées
Organise la coopération et l’échange d’informations entre les autorités de contrôle dans les affaires transfrontalières.
Article 61 – Assistance mutuelle
Prévoit l’obligation pour les autorités de s’apporter mutuellement assistance et informations.
Article 62 – Opérations conjointes des autorités de contrôle
Permet aux autorités de mener ensemble des enquêtes ou contrôles transfrontaliers.
Article 63 – Mécanisme de cohérence
Met en place un mécanisme pour assurer l’application cohérente du RGPD dans toute l’Union.
Article 64 – Avis du comité
Le Comité européen de la protection des données (CEPD) émet des avis sur certaines questions importantes pour la cohérence.
Article 65 – Règlement des litiges par le comité
Le CEPD tranche les désaccords entre autorités nationales dans le cadre du mécanisme de cohérence.
Article 66 – Procédure d’urgence
Permet à une autorité nationale d’adopter provisoirement des mesures urgentes pour protéger les droits des personnes.
Article 67 – Échange d’informations
Encadre les modalités d’échange d’informations entre les autorités de contrôle et avec la Commission européenne.
Article 68 – Comité européen de la protection des données
Installe le CEPD comme organe indépendant chargé de veiller à une application cohérente du RGPD dans l’Union.
Article 69 – Indépendance
Affirme l’indépendance du CEPD dans l’exercice de ses missions, sans instructions extérieures.
Article 70 – Missions du comité
Énumère les missions du CEPD, avis, lignes directrices, recommandations, règlement des litiges, promotion de bonnes pratiques.
Article 71 – Rapports
Prévoyait la publication régulière de rapports sur les activités du CEPD et l’évolution de la protection des données.
Article 72 – Procédure
Fixe les règles de procédure interne du CEPD, notamment les modalités d’adoption de ses décisions et avis.
Article 73 – Président
Précise les modalités de désignation du président du CEPD et son rôle de représentation et de pilotage des travaux.
Article 74 – Missions du président
Détaille les missions du président, convocation des réunions, préparation de l’ordre du jour, suivi de l’exécution des décisions.
Article 75 – Secrétariat
Organise le secrétariat du CEPD et ses fonctions de support administratif, logistique et juridique.
Article 76 – Confidentialité
Établit les obligations de confidentialité applicables aux membres, au personnel et aux experts associés aux travaux du CEPD.
Chapitre VIII – Voies de recours, responsabilité et sanctions
Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle
Permet à toute personne de saisir une autorité de contrôle si elle estime que le traitement de ses données viole le RGPD.
Article 78 – Droit à un recours juridictionnel effectif contre une autorité de contrôle
Garantit la possibilité de contester en justice une décision d’une autorité de contrôle ou son absence d’action.
Article 79 – Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
Permet aux personnes de saisir la justice contre un responsable ou un sous-traitant en cas de violation de leurs droits.
Article 80 – Représentation des personnes concernées
Autorise les organismes à but non lucratif à agir en justice au nom des personnes concernées dans certains cas.
Article 81 – Suspension d’instance
Prévoit la possibilité pour une juridiction de suspendre une procédure lorsque d’autres instances sont saisies dans un autre État membre.
Article 82 – Droit à réparation et responsabilité
Consacre le droit des personnes à obtenir réparation du préjudice subi et précise la responsabilité solidaire des responsables et sous-traitants.
Article 83 – Conditions générales d’imposition des amendes administratives
Établit les critères et les montants maximaux des amendes administratives pouvant être infligées en cas de non-respect du RGPD.
Article 84 – Sanctions
Permet aux États membres de définir d’autres sanctions applicables en cas de violation du RGPD, en complément des amendes.
Chapitre IX – Dispositions relatives à des situations particulières de traitement
Article 85 – Traitement et liberté d’expression et d’information
Impose aux États membres de concilier protection des données et liberté d’expression, notamment dans les activités journalistiques et universitaires.
Article 86 – Traitement et accès du public aux documents officiels
Permet aux autorités publiques de concilier transparence et protection des données dans l’accès aux documents officiels.
Article 87 – Traitement du numéro d’identification national
Autorise les États membres à déterminer les conditions spécifiques de traitement des identifiants nationaux.
Article 88 – Traitement dans le cadre des relations de travail
Permet aux États membres d’adopter des règles particulières pour encadrer les traitements liés à l’emploi et aux relations de travail.
Article 89 – Garanties et dérogations relatives aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Encadre ces traitements particuliers et impose des garanties appropriées pour protéger les droits des personnes.
Article 90 – Obligations de secret
Autorise les États membres à adopter des règles spécifiques sur les obligations de secret des responsables et sous-traitants.
Article 91 – Règles existantes des églises et associations religieuses concernant la protection des données
Reconnaît la validité des règles internes des organisations religieuses, si elles sont conformes au RGPD et placées sous la supervision d’une autorité indépendante.
Chapitre X – Actes délégués et actes d’exécution
Article 92 – Exercice de la délégation
Précise les conditions dans lesquelles la Commission européenne peut adopter des actes délégués pour compléter le RGPD.
Article 93 – Comité
Encadre l’adoption d’actes d’exécution par la Commission avec le contrôle d’un comité composé de représentants des États membres.
Chapitre XI – Dispositions finales
Article 94 – Abrogation de la directive 95/46/CE
Abroge la directive de 1995 sur la protection des données (directive 95/46/CE), remplacée par le RGPD.
Article 95 – Relation avec la directive 2002/58/CE
Établit la relation entre le RGPD et la directive ePrivacy, notamment en matière de communications électroniques.
Article 96 – Relations avec des accords antérieurs conclus par les États membres
Confirme que certains accords internationaux conclus par les États membres avant le RGPD restent valables s’ils respectent le droit de l’Union.
Article 97 – Rapports de la Commission
Impose à la Commission de présenter régulièrement des rapports sur l’évaluation et l’application du RGPD.
Article 98 – Réexamen d’autres actes de l’Union relatifs à la protection des données
Prévoit le réexamen et, le cas échéant, l’adaptation d’autres textes européens en matière de protection des données pour assurer la cohérence avec le RGPD.
Article 99 – Entrée en vigueur et application
Fixe l’entrée en vigueur du RGPD le 25 mai 2018 et son application directe dans tous les États membres de l’Union européenne.
Comprendre et appliquer le RGPD en pratique
Lire les articles du règlement donne une vision juridique, mais pour votre entreprise, il est essentiel d’aller plus loin : comprendre ce que le RGPD signifie concrètement et savoir comment l’appliquer au quotidien. Chez Mon Expert RGPD, nous accompagnons les TPE, PME et associations dans cette démarche.
Voici les bases incontournables à maîtriser.
Qu’est-ce que le RGPD ?
Le RGPD, entré en application le 25 mai 2018, est le texte de référence en Europe pour la protection des données personnelles. Il harmonise les règles au sein de l’Union européenne et impose des obligations communes à toutes les organisations, quelle que soit leur taille ou leur secteur.
Concrètement, cela signifie que si vous collectez, conservez ou utilisez des données permettant d’identifier directement ou indirectement une personne (clients, salariés, prospects…), vous êtes concerné par le RGPD.
Le RGPD n’est donc pas réservé aux grands groupes : il s’applique aussi à vous, que vous gériez un site vitrine, une base clients ou un fichier RH.
Les obligations des entreprises
Le règlement repose sur plusieurs principes clés, parmi lesquels :
- La transparence vis-à-vis des personnes concernées.
- La limitation des finalités (vous ne pouvez utiliser les données que pour ce qui est prévu).
- La minimisation (ne collecter que ce qui est nécessaire).
- L’exactitude des informations et leur sécurité.
Ces obligations structurent l’ensemble de votre démarche de conformité.
Au-delà des principes, il s’agit aussi de preuves : vous devez être en mesure de démontrer votre conformité en cas de contrôle de la CNIL.
Registre des traitements, analyses d’impact (AIPD), mentions d’information claires, contrats avec vos sous-traitants : tous ces éléments constituent le socle documentaire exigé par le RGPD.
Le rôle du Délégué à la Protection des Données (DPO)
Le DPO (Data Protection Officer) est un acteur central du dispositif. Dans certains cas, sa désignation est obligatoire (notamment pour les organismes publics, les traitements sensibles ou réalisés à grande échelle). Mais même lorsqu’il n’est pas imposé, avoir recours à un DPO est une vraie sécurité.
Son rôle ? Vous conseiller, former vos équipes, vérifier la bonne application du règlement, dialoguer avec la CNIL si nécessaire.
Il est à la fois votre guide et votre garant de votre conformité RGPD. Externaliser la fonction de DPO, comme le propose Mon Expert RGPD, vous permet de gagner en sérénité et en efficacité.
Se mettre en conformité : par où commencer ?
La mise en conformité n’est pas qu’un projet ponctuel : c’est une démarche continue.
Tout commence par un état des lieux de vos pratiques :
- Quels traitements de données réalisez-vous ?
- Quelles bases légales les justifient ?
- Quels risques existent pour les personnes concernées ?
À partir de cet audit, un plan d’action se met en place : rédaction ou mise à jour des mentions légales, formalisation des contrats de sous-traitance, renforcement des mesures de sécurité, organisation des procédures de gestion des droits (accès, rectification, suppression…).
C’est une méthodologie structurée, qui permet d’avancer étape par étape.
Le rôle de la CNIL et les sanctions possibles
En France, c’est la CNIL qui veille au respect du RGPD. Elle peut contrôler votre entreprise, sur place ou en ligne, à tout moment. Si des manquements sont constatés, les sanctions peuvent être lourdes : jusqu’à 20 millions d’euros ou 4 % de votre chiffre d’affaires mondial.
Mais la logique n’est pas uniquement punitive : la CNIL joue aussi un rôle d’accompagnement et de pédagogie. En vous conformant, vous réduisez le risque de sanction et renforcez la confiance de vos clients et partenaires.
Les transferts de données hors Union Européenne
Un point souvent négligé concerne les transferts de données en dehors de l’UE.
Hébergez-vous vos fichiers dans un cloud américain ? Travaillez-vous avec des prestataires situés hors Europe ? Si oui, ces flux doivent être encadrés.
Le RGPD prévoit plusieurs mécanismes : décisions d’adéquation de la Commission européenne, clauses contractuelles types, règles d’entreprise contraignantes.
À défaut, seules des dérogations très limitées peuvent s’appliquer (consentement explicite, nécessité contractuelle…). C’est un sujet sensible où un accompagnement expert est souvent nécessaire.