Skip to Content
RGPDPartie 2 — Cadre légal, CNIL & sanctions2.1 — Le RGPD & la loi Informatique et Libertés

Chapitre 2.1 — Le RGPD & la loi Informatique et Libertés

⏱️ TL;DR — Le RGPD est un règlement de 99 articles, précédé de considérants qui en expliquent l’intention. Parce que c’est un règlement (et non une directive), il s’applique directement dans toute l’UE, sans transposition : le texte que tu lis est le droit lui-même. En France, il ne remplace pas la loi Informatique et Libertés de 1978 : les deux se combinent. Le RGPD est le socle ; la loi I&L, modernisée en 2018, remplit les marges nationales (âge du consentement, pouvoirs de la CNIL, fichiers publics). Savoir lire un article — et le considérant qui l’éclaire — te rend autonome : tu vérifies la règle à la source au lieu de la deviner.

🎯 Objectifs

  • Décrire la structure du RGPD (articles, chapitres, considérants) et pourquoi un règlement s’applique sans transposition.
  • Lire un article (paragraphes, points) et un considérant, et savoir ce que chacun apporte.
  • Articuler RGPD et loi Informatique et Libertés : qui dit quoi, et quand consulter lequel.
  • Repérer les points où la France exerce une marge nationale.

Un règlement, pas une directive : ce que ça change

Rappel du chapitre 1.2 : le RGPD est le règlement (UE) 2016/679, applicable depuis le 25 mai 2018. Le mot « règlement » n’est pas cosmétique. En droit de l’Union, une directive fixe un objectif que chaque État doit transposer dans sa propre loi (d’où les 28 versions de l’ancienne directive de 1995). Un règlement, lui, est directement applicable : il produit ses effets tel quel, dans tous les États membres, sans loi nationale intermédiaire.

Concrètement, pour toi : le texte que tu ouvres sur eur-lex.europa.eu est la règle. Pas besoin de chercher « la version française du RGPD » — il n’y en a pas d’autre que la traduction officielle du même texte. C’est ce qui garantit les mêmes règles partout et rend le raisonnement « RGPD » portable d’un pays de l’UE à l’autre.

📚 Le texte — Le RGPD compte 99 articles, regroupés en chapitres thématiques (principes, droits des personnes, responsable et sous-traitant, transferts hors UE, autorités de contrôle, voies de recours et sanctions…). Il est précédé de considérants : des paragraphes numérotés qui exposent le pourquoi du texte. Les considérants ne créent pas d’obligation à eux seuls, mais ils guident l’interprétation des articles.

Anatomie d’un article

Un article se lit par niveaux emboîtés. Prends l’article 6 (licéité du traitement, vu au chapitre 1) :

Article 6 — Licéité du traitement 1. Le traitement n'est licite que si, et dans la mesure où, au moins l'une des conditions suivantes est remplie : a) la personne concernée a consenti ... b) le traitement est nécessaire à l'exécution d'un contrat ... ... f) le traitement est nécessaire aux fins des intérêts légitimes ... 2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques ...

On cite donc un point précis ainsi : art. 6.1.a = base « consentement » ; art. 6.1.f = base « intérêt légitime ». Cette notation (article, paragraphe, point) est celle qu’emploient la CNIL, le CEPD et les juges. La maîtriser, c’est pouvoir pointer la règle exacte au lieu de dire « quelque part dans le RGPD ».

💡 Réflexe — Quand un article te paraît obscur, va lire le considérant correspondant : il donne l’intention. Exemple : là où l’article impose une protection renforcée des enfants, un considérant explique pourquoi (ils mesurent moins bien les risques). L’article dit quoi faire ; le considérant dit pourquoi. Les deux ensemble te font comprendre l’esprit, pas seulement la lettre.

Le duo franco-européen

Le RGPD ne fait pas disparaître la loi française. La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978), qui a créé la CNIL, a été modernisée par la loi du 20 juin 2018 et l’ordonnance du 12 décembre 2018 pour s’articuler avec le règlement. Résultat : un texte européen qui pose le socle, et un texte national qui le précise là où le RGPD laisse la main aux États — ce qu’on appelle les marges de manœuvre nationales.

Où la France a-t-elle exercé sa marge ? Les cas les plus utiles à un dev :

PointCe que dit le RGPDCe que précise la loi I&L (France)
Âge du consentement numériqueCurseur libre entre 13 et 16 ans (art. 8)15 ans ; en dessous, consentement conjoint d’un titulaire de l’autorité parentale
Autorité de contrôleChaque État désigne la sienneLa CNIL : statut, missions, pouvoirs, procédure de sanction
Cookies & traceursRenvoie au cadre ePrivacyArticle 82 de la loi I&L (issu de la directive ePrivacy) + lignes directrices CNIL
Certains fichiers publics & rechercheMarges pour l’intérêt publicRégimes nationaux spécifiques (santé, État, statistique)

⚠️ Piège — Croire qu’il existe « une loi RGPD française » distincte du règlement. Non : le RGPD s’applique tel quel. La loi I&L ne le recopie pas, elle le complète sur les points laissés aux États. Si tu cherches une base légale, un droit ou une obligation de sécurité, c’est dans le RGPD. Si tu cherches l’âge du consentement en France ou les pouvoirs exacts de la CNIL, c’est dans la loi I&L. Mélanger les deux sources fait perdre un temps fou.

🧭 Sur FormaCampus — Quand l’équipe de FormaCampus se demande « à partir de quel âge un élève peut-il créer son compte et consentir seul ? », elle ne trouvera pas la réponse chiffrée dans le RGPD (qui laisse le choix entre 13 et 16 ans), mais dans la loi Informatique et Libertés : 15 ans. Comme son LMS s’adresse à des collégiens et lycéens, ce curseur commande une vraie règle produit — recueillir le consentement d’un parent en dessous de 15 ans. C’est l’exemple parfait du réflexe « socle RGPD, précision I&L ».

✏️ Exercices

Exercice 1 — Pourquoi pas de transposition ? Un collègue dit : « Attendons la loi française qui transpose le RGPD avant de nous mettre en conformité. » Que réponds-tu ?

✅ Solution

Qu’il n’y a rien à attendre : le RGPD est un règlement, donc directement applicable depuis le 25 mai 2018, sans transposition. Le texte européen est le droit en vigueur. La loi Informatique et Libertés a seulement été modernisée (2018) pour l’articuler avec, sur les points laissés aux États. Repousser la mise en conformité en attendant une hypothétique loi de transposition, c’est se mettre en infraction pendant ce temps.

Exercice 2 — Cite l’article au bon niveau. On te demande la référence exacte de la base légale « intérêt légitime ». Comment l’écris-tu, et que signifie chaque partie de la notation ?

✅ Solution

Art. 6.1.f : article 6 (licéité du traitement), paragraphe 1 (la liste des bases légales), point f) (l’intérêt légitime). La notation se lit article → paragraphe (le chiffre) → point (la lettre). C’est cette précision qui permet de pointer la règle exacte, comme le font la CNIL et le CEPD, au lieu de renvoyer vaguement « au RGPD ».

Exercice 3 — Quelle source ? Pour chacune, dis si la réponse vient plutôt du RGPD ou de la loi I&L : (a) la liste des droits des personnes ; (b) l’âge du consentement numérique en France ; (c) les pouvoirs de contrôle de la CNIL ; (d) les six bases légales.

✅ Solution

(a) RGPD (socle des droits, art. 12-22). (b) Loi I&L (marge nationale : 15 ans). (c) Loi I&L (statut et pouvoirs de l’autorité française). (d) RGPD (art. 6). Règle simple : principes, droits, bases, obligations, transferts → RGPD ; curseurs et institutions françaisesloi I&L.

🧠 Quiz de révision

1. Combien d’articles compte le RGPD, et qu’est-ce qu’un considérant ?

Le RGPD compte 99 articles. Il est précédé de considérants : des paragraphes numérotés qui exposent l’intention du texte. Les considérants ne créent pas d’obligation autonome, mais ils éclairent l’interprétation des articles.

2. Pourquoi le RGPD n’a-t-il pas besoin d’être transposé en droit français ?

Parce que c’est un règlement (UE 2016/679), pas une directive. Un règlement est directement applicable dans tous les États membres, sans loi nationale de transposition. Le texte européen est directement le droit en vigueur depuis le 25 mai 2018.

3. Que signifie la référence « art. 6.1.a » ?

Article 6 (licéité du traitement), paragraphe 1, point a) — c’est-à-dire la base légale du consentement. La notation se lit article → paragraphe (chiffre) → point (lettre).

4. Le RGPD remplace-t-il la loi Informatique et Libertés ?

Non. Les deux se combinent. Le RGPD est le socle commun européen ; la loi I&L (1978, modernisée en 2018) le précise sur les marges nationales : âge du consentement (15 ans), statut et pouvoirs de la CNIL, cookies (art. 82), certains fichiers publics.

5. Donne un point où la France a exercé une marge de manœuvre nationale.

L’âge du consentement numérique : le RGPD laisse le choix entre 13 et 16 ans (art. 8) ; la France a fixé 15 ans dans la loi I&L. En dessous, il faut le consentement conjoint d’un titulaire de l’autorité parentale. (Autres exemples : pouvoirs de la CNIL, régime des cookies, certains fichiers publics.)


Chapitre suivant : La CNIL — l’autorité qui contrôle et sanctionne, mais dont le premier métier est d’accompagner.

Last updated on