Ce qui s’applique à toi si tu traites des données personnelles en France ou pour des personnes résidant en France.
La France applique le RGPD (2018) pour la protection des données personnelles et l’AI Act européen (2024/1689) pour les usages d’IA. La CNIL est l’autorité de contrôle nationale, avec des positions régulièrement publiées sur l’IA. L’AI Act entre en application progressive avec des obligations spécifiques pour les systèmes à haut risque, dont l’échéance fait l’objet du projet Digital Omnibus annoncé fin 2025. Pour une TPE ou une PME, les obligations concrètes tiennent à la tenue d’un registre des traitements, à une base légale pour chaque traitement, et à une politique de confidentialité publique.
Obligation pour toute entreprise (article 30 RGPD). Liste des traitements, finalités, catégories de données, destinataires, durées de conservation. Modèle allégé accepté pour les entreprises de moins de 250 salariés dont le traitement n’est pas systémique.
Six bases légales possibles (consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime). À identifier et documenter pour chaque traitement. Le consentement doit être libre, éclairé, spécifique, univoque, traçable.
Obligatoire dès qu’il y a collecte. Rédigée en français clair, accessible sans login, à jour. Doit préciser identité du responsable, finalités, bases légales, durées, droits, coordonnées du DPO si désigné.
Obligatoire si l’activité principale consiste en un suivi régulier et systématique à grande échelle, ou un traitement à grande échelle de données sensibles. Recommandé au-delà de 50 salariés ou pour les secteurs régulés.
Pratiques interdites (art. 5) applicables depuis février 2025. Obligations sur systèmes à haut risque (art. 6 à 49) en application progressive de 2026 à 2027. Digital Omnibus peut ajuster les échéances. Pour la plupart des TPE/PME utilisatrices (non fournisseuses) d’IA, la principale obligation est la transparence quand l’utilisateur interagit avec une IA (art. 50).
Toute information se rapportant à une personne physique identifiée ou identifiable. Nom, prénom, adresse, courriel, numéro de téléphone, adresse IP, cookie, identifiant technique, géolocalisation, données biométriques. Les données sensibles (santé, origine, opinions, religion, orientation sexuelle, biométrie identifiante, données génétiques) sont soumises à un régime renforcé : traitement interdit par principe, sauf exceptions strictes.
Le consentement n’est pas la seule base légale. Pour un contrat client, l’exécution du contrat suffit. Pour une obligation comptable, l’obligation légale suffit. Pour de la prospection B2B, l’intérêt légitime peut suffire (balance à documenter). Le consentement reste requis pour le marketing B2C par courriel, les cookies non essentiels, les données sensibles, le transfert à certains tiers.
Autorisés vers les pays bénéficiant d’une décision d’adéquation (Royaume-Uni, Suisse, Canada, Japon, Corée du Sud, etc.). Vers les États-Unis, encadré par le Data Privacy Framework depuis juillet 2023, sous réserve que l’outil y soit certifié. Dans les autres cas, clauses contractuelles types et analyse d’impact sur les transferts obligatoires.
Accès à leurs données, rectification, effacement (droit à l’oubli), limitation, portabilité, opposition, pas de décision exclusivement automatisée à effet juridique significatif. Délai de réponse : un mois, prolongeable de deux mois en cas de complexité. Procédure interne documentée recommandée.
Notification à la CNIL sous 72 heures en cas de risque pour les droits et libertés (article 33 RGPD). Notification aux personnes concernées si le risque est élevé (article 34). Registre interne des violations, même celles ne faisant pas l’objet de notification externe.
Jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial (RGPD), jusqu’à 35 M€ ou 7 % du CA (AI Act pour pratiques interdites). La CNIL privilégie la pédagogie et les mises en demeure pour les premières infractions, mais peut prononcer des amendes significatives pour les manquements délibérés ou répétés. Les contentieux civils par des personnes affectées restent possibles.
Cette fiche synthétise les obligations principales pour une activité en France. Elle ne remplace pas l’avis d’un juriste ou d’un DPO pour les cas complexes : traitements à grande échelle, données de mineurs, données de santé, profilage, transferts massifs vers les États-Unis. Le site compagnon met à jour la fiche à chaque évolution significative, notamment sur le calendrier d’application de l’AI Act et les positions de la CNIL.