RGPD 2026 : Ce qui change et ce à quoi les entreprises doivent prêter attention

1 min de lecture

Le RGPD est en vigueur depuis 2018 – mais son application se durcit, les amendes augmentent et de nouvelles lignes directrices des autorités de protection des données renforcent les exigences. Ce qui change en 2026 et les mesures que les entreprises devraient prendre dès maintenant.

L’essentiel en bref

Les amendes augmentent : en 2024, plus de 2 milliards d’euros d’amendes RGPD ont été infligées dans l’UE – un record.
L’IA dans le viseur : les autorités de protection des données examinent de plus en plus l’utilisation d’outils d’IA et de la prise de décision automatisée.
Transferts vers des pays tiers : le cadre de protection des données UE-États-Unis est sous surveillance – les entreprises ont besoin de plans de repli.
Cookie fatigue : le règlement ePrivacy se fait toujours attendre, mais les autorités de protection des données agissent contre les dark patterns.
NIS2 rencontre le RGPD : les incidents de cybersécurité doivent être signalés à la fois au titre de NIS2 et du RGPD.

Des amendes à un niveau record

Les autorités européennes de protection des données ont durci le ton. En 2024, des amendes de plus de 2 milliards d’euros ont été infligées – un nouveau record. Meta arrive en tête de liste, mais les entreprises de taille intermédiaire sont elles aussi de plus en plus ciblées. Le message est clair : la conformité au RGPD n’est pas un exercice optionnel, mais un enjeu critique pour l’activité.

Les autorités allemandes ont elles aussi renforcé leurs moyens. Les autorités de protection des données de Berlin, de Bavière et de Rhénanie-du-Nord-Westphalie mènent depuis 2024 des contrôles sectoriels systématiques – même sans motif concret.

IA et prise de décision automatisée

L’utilisation d’outils d’IA comme ChatGPT, Copilot ou de solutions d’IA propres à certains secteurs soulève des questions de droit de la protection des données. L’article 22 du RGPD encadre les décisions individuelles automatisées – mais, en pratique, les limites sont souvent floues. En 2025, les autorités de protection des données ont publié des lignes directrices sur l’utilisation de l’IA, qui exigent transparence, explicabilité et supervision humaine.

Les entreprises qui utilisent l’IA devraient réaliser des analyses d’impact relatives à la protection des données (AIPD), mettre à jour leurs registres des traitements et documenter la base juridique du traitement de données fondé sur l’IA.

Transferts vers des pays tiers : l’incertitude demeure

Le cadre de protection des données UE-États-Unis (DPF) permet depuis 2023 de transférer à nouveau des données vers les États-Unis – pour les entreprises certifiées. Mais des défenseurs de la protection des données comme Max Schrems ont déjà annoncé des actions en justice. Un arrêt « Schrems III » pourrait faire tomber ce cadre.

Les entreprises ne devraient pas faire aveuglément confiance au DPF, mais prévoir des clauses contractuelles types (CCT) comme solution de repli, documenter des Transfer Impact Assessments (TIA) et, lorsque c’est possible, évaluer des alternatives européennes pour les services cloud.

Double obligation de notification : RGPD + NIS2

À partir de 2025, de nombreuses entreprises devront notifier les incidents de sécurité à la fois au titre du RGPD (72 heures auprès de l’autorité de protection des données) et au titre de NIS2 (24 heures auprès du BSI). Les délais et les destinataires diffèrent – un processus coordonné de réponse aux incidents est indispensable.

Key Facts en un coup d’œil

Amendes RGPD 2024 : plus de 2 milliards d’euros dans l’ensemble de l’UE

Amende individuelle la plus élevée : 1,2 milliard d’euros (Meta, 2023)

Obligation de notification RGPD : 72 heures en cas de violation de données

Obligation de notification NIS2 : première notification sous 24 heures (en parallèle !)

Exigence liée à l’IA : AIPD, transparence, supervision humaine

Transfert vers un pays tiers : DPF UE-États-Unis actif, mais juridiquement incertain

Fait : Les autorités de protection des données de l’UE ont infligé en 2024 des amendes d’un montant total de 4,5 milliards d’euros.

Fait : Selon l’IAPP, les entreprises européennes emploient désormais plus de 500 000 délégués à la protection des données – soit une hausse de 300 % depuis l’entrée en vigueur du RGPD.

Questions fréquentes

Qu’est-ce qui a changé dans le RGPD depuis 2018 ?

La loi elle-même n’a pas changé, mais son application s’est fortement durcie. Les amendes atteignent désormais des montants de plusieurs milliards, les autorités de protection des données mènent des contrôles systématiques et de nouvelles lignes directrices précisent les exigences – par exemple concernant l’utilisation de l’IA et les transferts vers des pays tiers.

Dois-je réaliser une AIPD pour utiliser ChatGPT ?

Dans de nombreux cas, oui. Lorsque des données à caractère personnel sont traitées – par exemple des données clients, candidats ou collaborateurs – une analyse d’impact relative à la protection des données est recommandée, voire obligatoire. Le traitement par un fournisseur américain et l’utilisation pour des décisions automatisées renforcent les exigences.

Que se passe-t-il si le cadre de protection des données UE-États-Unis est invalidé ?

Les entreprises qui transfèrent des données vers les États-Unis devraient recourir aux clauses contractuelles types (CCT) avec des analyses d’impact relatives au transfert, ou utiliser des alternatives européennes. Se préparer maintenant évite la panique plus tard.

Comment coordonner les obligations de notification du RGPD et de NIS2 ?

Un processus intégré de réponse aux incidents, avec des responsabilités clairement définies pour les deux régimes de notification. RGPD : 72h auprès de l’autorité de protection des données. NIS2 : première notification au BSI sous 24h. Garder à disposition les modèles et les coordonnées pour les deux voies de notification.

Quelles amendes risque-t-on en cas de violation du RGPD ?

Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial – selon le montant le plus élevé. Les mises en demeure par des concurrents et les demandes de dommages et intérêts de personnes concernées augmentent également.