Skip to Content
RGPDPartie 1 — Comprendre le RGPD1.2 — Histoire & champ d'application

Chapitre 1.2 — Histoire & champ d’application

⏱️ TL;DR — Le RGPD n’est pas tombé du ciel en 2018 : la France protège les données depuis la loi Informatique et Libertés de 1978 (et la création de la CNIL), relayée par une directive européenne de 1995. Le RGPD (règlement (UE) 2016/679, applicable depuis le 25 mai 2018) a harmonisé et musclé le tout à l’échelle de l’UE. Son champ est large : il s’applique à presque tout traitement de données personnelles, et territorialement dès qu’on est établi dans l’UE ou qu’on cible des personnes situées dans l’UE — même depuis les États-Unis. C’est ce qui lui donne sa portée mondiale.

🎯 Objectifs

  • Situer le RGPD dans une histoire longue (1978 → 1995 → 2018).
  • Distinguer RGPD (règlement UE) et loi Informatique et Libertés (droit français).
  • Comprendre le champ matériel : quels traitements sont concernés (et les rares exclusions).
  • Comprendre le champ territorial (art. 3) et l’extraterritorialité.

Une histoire française, avant d’être européenne

Contrairement à une idée reçue, la protection des données ne commence pas en 2018. En France, tout part d’un scandale : en 1974, le projet SAFARI d’interconnexion des fichiers administratifs par un identifiant unique provoque un tollé. Réponse du législateur : la loi Informatique et Libertés du 6 janvier 1978, l’une des premières au monde, qui pose le principe « l’informatique doit être au service de chaque citoyen » et crée la CNIL, autorité indépendante.

L’Europe suit avec la directive 95/46/CE (1995), qui harmonise les grands principes — mais une directive doit être transposée par chaque pays, d’où 28 lois différentes et une protection à géométrie variable. À l’ère des GAFAM et des flux mondiaux, ça ne tient plus.

D’où le RGPD : adopté le 27 avril 2016, applicable le 25 mai 2018. Cette fois c’est un règlement — directement applicable dans toute l’UE, sans transposition, avec les mêmes règles et des sanctions dissuasives partout. La France a adapté sa loi de 1978 en conséquence (loi du 20 juin 2018, ordonnance de décembre 2018).

💡 Réflexe — Retiens la double source : le RGPD (le socle commun européen) et la loi Informatique et Libertés (les précisions françaises : âge du consentement à 15 ans, missions de la CNIL, marges nationales). Quand une règle a une saveur « française » (l’âge, certains fichiers publics), c’est souvent la loi I&L qui parle ; le reste, c’est le RGPD.

RGPD ou loi Informatique et Libertés ?

Les deux coexistent et se complètent :

RGPDLoi Informatique et Libertés
NatureRèglement européen (2016/679)Loi française (n° 78-17 de 1978, modernisée)
PortéeToute l’UE, mêmes règlesFrance
RôleLe socle : principes, droits, obligationsPrécise et complète (marges nationales)
Exemples propresBases légales, droits, sanctionsÂge du consentement (15 ans), pouvoirs de la CNIL

En pratique, comme dev, tu raisonnes surtout « RGPD » ; tu bascules sur la loi I&L pour les points où la France a fait un choix spécifique.

Le champ matériel : presque tout

Le RGPD s’applique (art. 2) au traitement de données personnelles automatisé (donc toute application, base de données, API…) ou contenu dans un fichier structuré (même un tableur ou un classeur papier organisé). Autrement dit : quasiment tout ce que fait un système d’information.

Les exclusions sont étroites :

  • l’activité strictement personnelle ou domestique (ton carnet d’adresses privé, tes photos de famille) ;
  • certains domaines régaliens (sécurité nationale, enquêtes pénales — encadrés par d’autres textes, comme la directive « police-justice ») ;
  • les données anonymes (plus de personne identifiable) et les données de personnes morales (entreprises).

⚠️ Piège — « On est une petite asso / startup, le RGPD ne nous concerne pas. » Faux. Le champ matériel ne dépend pas de ta taille ni de ton but lucratif. Une association, une école, un club de sport, un freelance : dès qu’ils traitent des données personnelles hors sphère privée, ils sont concernés. La taille change seulement certaines obligations (par ex. le registre simplifié pour les moins de 250 salariés, la désignation d’un DPO), pas le principe.

Le champ territorial : la portée mondiale (art. 3)

C’est ce qui fait la puissance du RGPD. Il s’applique dans deux cas :

  1. Critère d’établissement — le traitement est réalisé dans le cadre des activités d’un établissement situé dans l’UE, peu importe où les données sont hébergées ou traitées. Une entreprise française qui héberge aux États-Unis reste pleinement soumise au RGPD.

  2. Critère de ciblage — même sans établissement dans l’UE, une organisation est soumise au RGPD si elle :

    • offre des biens ou services à des personnes situées dans l’UE (site en français, prix en euros, livraison en France…), ou
    • suit le comportement de personnes dans l’UE (tracking, profilage, analytics).

C’est l’extraterritorialité : une entreprise américaine qui vend ou piste des Européens doit respecter le RGPD. C’est pour ça qu’une société de la Silicon Valley affiche un bandeau cookies conforme et nomme un représentant dans l’UE.

🧭 Sur FormaCampus — FormaCampus est une société française : critère d’établissement → RGPD, point final, même le jour où elle migrera une partie de son infra chez un cloud américain. Et le jour où elle ouvrira son organisme de formation à des stagiaires en Belgique ou en Espagne, elle ciblera des personnes dans l’UE : toujours le RGPD, avec en prime la vigilance sur la langue des mentions et l’articulation avec les autorités locales. Bref, il n’y a aucun scénario où FormaCampus échappe au règlement.

🔒 Côté personne concernée — L’extraterritorialité protège l’utilisateur où qu’il soit le service hébergé. Un enseignant français dont les données transitent par un serveur au Texas garde ses droits RGPD : information, accès, effacement, et un recours possible auprès de la CNIL. La géographie du serveur ne fait pas disparaître ses droits — c’est justement l’objet du chapitre sur les transferts (Partie 13).

✏️ Exercices

Exercice 1 — Le RGPD s’applique-t-il ? Pour chaque cas, réponds oui/non et justifie : (a) une startup américaine sans bureau en Europe, mais dont l’app est traduite en français et facturée en euros ; (b) une mairie française qui gère un fichier d’état civil ; (c) un particulier qui tient son carnet d’adresses personnel.

✅ Solution

(a) Oui — critère de ciblage : elle offre un service à des personnes dans l’UE (langue, monnaie), donc extraterritorialité. (b) Oui — établissement dans l’UE + traitement de données personnelles (les exclusions régaliennes ne couvrent pas la gestion administrative courante). (c) Non — exclusion de l’activité strictement personnelle/domestique. Le critère déclencheur n’est jamais la nationalité de l’entreprise, mais l’établissement ou le ciblage.

Exercice 2 — RGPD ou loi I&L ? Un collègue demande : « À partir de quel âge un ado peut-il consentir seul à un service en ligne en France ? » Quelle source répond, et que dit-elle ?

✅ Solution

C’est la loi Informatique et Libertés qui tranche, dans la marge nationale ouverte par l’article 8 du RGPD : en France, 15 ans. En dessous, il faut le consentement conjoint d’un titulaire de l’autorité parentale. Le RGPD fixe le cadre (entre 13 et 16 ans au choix des États) ; la loi française fixe le curseur. C’est l’exemple type d’un point où l’on bascule du socle européen à la précision nationale.

🧠 Quiz de révision

1. Depuis quand le RGPD est-il applicable, et qu’a-t-il remplacé ?

Applicable depuis le 25 mai 2018 (adopté le 27 avril 2016). Il a remplacé la directive 95/46/CE de 1995, en passant d’une directive (transposée pays par pays) à un règlement directement applicable et harmonisé dans toute l’UE.

2. Quelle loi française préexistait au RGPD ?

La loi Informatique et Libertés du 6 janvier 1978, qui a créé la CNIL. Elle a été modernisée (2018) pour s’articuler avec le RGPD et porte les choix nationaux (âge du consentement, pouvoirs de la CNIL).

3. La taille d’une organisation change-t-elle son assujettissement au RGPD ?

Non pour le principe : PME, association, école, freelance — tous sont concernés dès qu’ils traitent des données personnelles hors sphère privée. La taille module seulement certaines obligations (registre simplifié, désignation d’un DPO), pas l’application du règlement.

4. Qu’est-ce que l’extraterritorialité du RGPD ?

Le fait qu’une organisation sans établissement dans l’UE y soit tout de même soumise si elle offre des biens/services à des personnes situées dans l’UE ou suit leur comportement (art. 3). C’est ce qui oblige les géants américains à s’y conformer.

5. Une entreprise française qui héberge ses données aux États-Unis échappe-t-elle au RGPD ?

Non. Le critère d’établissement s’applique quel que soit le lieu d’hébergement : elle reste pleinement soumise au RGPD. En revanche, l’hébergement hors UE déclenche les règles sur les transferts internationaux (Partie 13).


Chapitre suivant : Pourquoi ça compte — les quatre raisons (droits, confiance, business, sanctions) de prendre le RGPD au sérieux, au-delà de la peur du gendarme.

Last updated on