Skip to Content
RGPDPartie 1 — Comprendre le RGPD1.3 — Pourquoi ça compte

Chapitre 1.3 — Pourquoi ça compte

⏱️ TL;DR — On respecte le RGPD pour quatre raisons, dans cet ordre d’importance : (1) c’est un droit fondamental des personnes — surtout quand on manipule les données d’enfants ; (2) c’est un capital de confiance — la donnée est la matière première de la relation avec tes utilisateurs ; (3) c’est un avantage business — de plus en plus d’appels d’offres, d’écoles et d’entreprises exigent des preuves de conformité ; (4) c’est une obligation sanctionnée — la CNIL a prononcé des amendes records en 2025 (Google 325 M€, Shein 150 M€). La peur du gendarme est le plus faible des arguments, mais il chiffre l’enjeu.

🎯 Objectifs

  • Défendre le RGPD avec quatre arguments, du plus fort au plus « bâton ».
  • Comprendre la protection des données comme un droit fondamental.
  • Mesurer l’enjeu de confiance et l’argument business (surtout en EdTech).
  • Connaître le barème des sanctions et des exemples récents concrets.

Argument 1 — Un droit fondamental (l’éthique)

La protection des données personnelles est un droit fondamental dans l’Union européenne, inscrit à l’article 8 de la Charte des droits fondamentaux. Ce n’est pas une lubie administrative : c’est la traduction, à l’ère numérique, du respect de la vie privée et de la dignité.

Derrière chaque ligne de ta base de données, il y a une personne réelle qui n’a pas envie que :

  • son historique de navigation soit revendu,
  • ses résultats scolaires suivent son enfant toute sa vie,
  • son orientation, sa santé ou ses opinions soient devinées par un algorithme.

Cet argument est le plus important — et il devient impératif dès qu’on touche à des enfants. En EdTech, tu manipules les données de mineurs qui n’ont ni le recul, ni le pouvoir de dire non. Les protéger n’est pas une contrainte : c’est la raison d’être du cadre.

🔒 Côté personne concernée — Demande-toi toujours : « Si c’étaient mes données — ou celles de mon enfant — est-ce que je trouverais ça normal ? » Ce test intuitif (« le test du proche ») t’évite 80 % des dérapages. Le RGPD ne fait souvent que formaliser ce qu’une personne raisonnable considère déjà comme loyal.

Argument 2 — La confiance (la relation)

La donnée est la matière première de la relation numérique. Un utilisateur te confie son e-mail, ses enfants, ses paiements parce qu’il te fait confiance. Une fuite, une revente, un usage détourné, et cette confiance s’effondre — souvent définitivement.

À l’inverse, une gestion transparente et sobre des données devient un argument de marque : « nous hébergeons en France, nous ne revendons rien, vous pouvez tout supprimer en un clic » rassure autant qu’une belle fonctionnalité. La conformité bien faite n’est pas un coût : c’est de l’UX de confiance.

💡 Réflexe — Traite la donnée de tes utilisateurs comme tu voudrais qu’on traite la tienne : n’en demande pas plus que nécessaire, explique pourquoi, et rends le contrôle facile. La conformité et la bonne UX pointent presque toujours dans la même direction.

Argument 3 — Le business (l’avantage concurrentiel)

La conformité ouvre des portes, surtout en B2B et dans le secteur public :

  • Appels d’offres : les marchés publics et les grands comptes exigent des clauses RGPD, un DPO identifié, parfois un hébergement UE. Pas conforme = éliminé.
  • Écoles et collectivités : elles ne peuvent contractualiser qu’avec des prestataires qui leur permettent de rester elles-mêmes conformes (on le verra Partie 15).
  • Investisseurs & rachats : la due diligence passe au crible la conformité ; un passif RGPD fait baisser une valorisation.
  • Assurances cyber : de plus en plus conditionnées à des mesures de sécurité et de conformité.

Autrement dit, savoir faire du RGPD proprement est une compétence monnayable — un audit, une mise en conformité, une politique de rétention, ça se facture. (Le cours Monétiser (Dev + IA) en fait d’ailleurs un créneau.)

Argument 4 — Les sanctions (le bâton)

C’est le dernier argument par ordre d’importance, mais celui qui chiffre l’enjeu. Le RGPD prévoit (art. 83) deux paliers d’amendes administratives :

PalierPlafondPour quoi (exemples)
« Technique »10 M€ ou 2 % du CA annuel mondialRegistre absent, sécurité insuffisante, sous-traitance non encadrée, violation non notifiée.
« Principes & droits »20 M€ ou 4 % du CA annuel mondialTraitement sans base légale, non-respect des droits, transferts illicites, non-respect des principes.

C’est le montant le plus élevé des deux (valeur absolue ou pourcentage) qui s’applique. Et l’amende n’est pas la seule arme : la CNIL peut aussi mettre en demeure, enjoindre sous astreinte, limiter ou suspendre un traitement, et rendre public la sanction (l’atteinte à la réputation fait souvent plus mal que le chèque).

2025 a été une année record. Dans le cadre de son plan « cookies », la CNIL a prononcé le 3 septembre 2025 deux sanctions majeures : Google, 325 M€, et Shein, 150 M€ (cette dernière incluant des transferts hors UE insuffisamment encadrés). Sur l’année, le cumul des amendes se compte en centaines de millions d’euros.

⚠️ Piège — Croire que « les amendes, c’est pour les GAFAM ». La majorité des décisions de la CNIL visent des acteurs bien plus modestes (PME, collectivités, e-commerçants, éditeurs), pour des manquements très ordinaires : sécurité négligée (mots de passe en clair, base exposée), prospection sans consentement, durées de conservation infinies, droits ignorés. Ce sont exactement les erreurs qu’un dev peut éviter — c’est tout l’objet de ce cours.

🧭 Sur FormaCampus — Pour FormaCampus, les quatre arguments s’empilent : elle traite des mineurs (éthique non négociable), elle vit de la confiance des écoles et des parents (une fuite la tuerait), elle répond à des appels d’offres publics qui exigent la conformité (business), et une négligence l’exposerait à une sanction — d’autant plus visible que le public (des enfants) est sensible. La conformité n’est pas, pour elle, une option défensive : c’est une condition d’existence.

✏️ Exercices

Exercice 1 — Classe les arguments. Un dirigeant te dit : « Le RGPD, c’est juste pour éviter les amendes. » Reformule en remettant les quatre arguments dans le bon ordre d’importance, en une phrase chacun.

✅ Solution

(1) Droit fondamental : d’abord, on respecte les personnes — surtout des enfants — parce que c’est leur droit. (2) Confiance : ensuite, parce que la donnée est le socle de la relation, et qu’une fuite la détruit. (3) Business : parce que la conformité ouvre des marchés (appels d’offres, écoles, grands comptes) et se monnaie. (4) Sanctions : enfin, oui, parce que la CNIL sanctionne — mais c’est la conséquence, pas la raison. Inverser l’ordre, c’est réduire le RGPD à de la peur, et mal le faire.

Exercice 2 — Chiffre le risque. Une entreprise réalise 40 M€ de CA mondial. Elle traite des données sans base légale valable. Quel est, en théorie, le plafond de l’amende encourue ?

✅ Solution

Absence de base légale = palier « principes & droits » : 20 M€ ou 4 % du CA mondial, le plus élevé des deux. 4 % de 40 M€ = 1,6 M€, ce qui est inférieur à 20 M€ : le plafond applicable est donc 20 M€. (Le plafond en pourcentage ne « gagne » que pour les très gros CA — au-delà de 500 M€ ici.) À retenir : pour une PME, c’est souvent le plafond en valeur absolue qui domine, ce qui reste considérable.

🧠 Quiz de révision

1. Quel est l’argument le plus important pour respecter le RGPD ?

Le droit fondamental des personnes à la protection de leurs données (art. 8 de la Charte des droits fondamentaux de l’UE). Les autres arguments (confiance, business, sanctions) comptent, mais l’éthique — surtout envers les mineurs — vient en premier.

2. Quels sont les deux paliers de sanctions de l’article 83 ?

10 M€ ou 2 % du CA annuel mondial (obligations « techniques » : registre, sécurité, sous-traitance), et 20 M€ ou 4 % (principes, bases légales, droits, transferts). On retient le montant le plus élevé des deux.

3. En quoi la conformité est-elle un avantage business ?

Elle ouvre des marchés : appels d’offres publics, contrats avec écoles/collectivités, grands comptes, due diligence d’investisseurs, assurances cyber. Ne pas être conforme peut être éliminatoire. Et une conformité bien faite se monnaie (audits, mises en conformité).

4. Les sanctions RGPD ne visent-elles que les grandes plateformes ?

Non. Beaucoup de décisions visent des PME, collectivités, e-commerçants, pour des manquements ordinaires (sécurité faible, prospection sans consentement, durées infinies, droits ignorés) — précisément les erreurs qu’un dev peut éviter.

5. Cite une sanction record prononcée par la CNIL en 2025.

Le 3 septembre 2025, dans son plan « cookies » : Google 325 M€ et Shein 150 M€ (cette dernière incluant des transferts hors UE insuffisamment encadrés). 2025 a été une année record, avec des amendes cumulées en centaines de millions d’euros.


Chapitre suivant : Les 6 principes (art. 5) — le cœur du réacteur : les six règles d’or dont découle tout le reste du RGPD.

Last updated on