RGPD : les dates clés à connaître (chronologie)
La date clé du RGPD à retenir est le 25 mai 2018 : c’est ce jour-là que le Règlement général sur la protection des données (Règlement UE 2016/679) est entré en application dans l’ensemble des États membres de l’Union européenne, rendant obligatoire la conformité pour toutes les entreprises traitant des données personnelles de résidents européens. Mais cette date d’application n’est que l’aboutissement d’un processus législatif engagé bien plus tôt, jalonnant plusieurs années de négociations, de transpositions nationales et de décisions réglementaires. Comprendre la chronologie du RGPD permet à chaque TPE et PME de mieux situer ses obligations et d’éviter les pièges d’un historique souvent mal maîtrisé.
Chronologie complète : toutes les dates du RGPD
La chronologie du RGPD s’étend sur plus de deux décennies si l’on inclut la directive qu’il est venu remplacer. Le tableau ci-dessous recense les dates officielles et leur signification concrète pour les entreprises.
| Date | Évènement | Ce que ça change |
|---|---|---|
| 24 octobre 1995 | Adoption de la directive 95/46/CE | Premier cadre européen sur la protection des données personnelles, avant l’essor d’internet |
| 25 janvier 2012 | Présentation de la proposition de règlement RGPD par la Commission européenne | Lancement du processus législatif ; les entreprises prennent connaissance du futur cadre |
| 27 avril 2016 | Adoption officielle du Règlement UE 2016/679 (RGPD) | Le texte est définitivement voté ; le compte à rebours de deux ans commence |
| 4 mai 2016 | Publication au Journal officiel de l’UE | Le règlement entre en vigueur officiellement ; entrée en application fixée à deux ans |
| 25 mai 2018 | Entrée en application du RGPD | Obligations pleinement opposables ; la directive 95/46/CE est abrogée ; sanctions possibles |
| 20 juin 2018 | Publication de la loi Informatique et Libertés révisée (France) | Transposition française du RGPD ; la CNIL voit ses pouvoirs de sanction renforcés |
| Janvier 2019 | Première sanction majeure CNIL : amende de 50 M€ contre Google | Signal fort : les autorités de contrôle appliquent activement le règlement |
| Depuis 2020 | Montée en puissance des sanctions CNIL et des autorités européennes | Des amendes de plusieurs millions d’euros prononcées chaque année ; toutes tailles d’entreprises concernées |
Le saviez-vous ? La directive 95/46/CE, remplacée par le RGPD, avait été rédigée à une époque où les réseaux sociaux n’existaient pas et où le cloud computing était inconnu. En vingt ans, la quantité de données personnelles traitées par les entreprises avait été multipliée par des milliers, rendant la mise à jour du cadre juridique indispensable.
Avant le 25 mai 2018 : la période de transition (2016-2018)
Entre l’adoption du règlement le 27 avril 2016 et son entrée en application le 25 mai 2018, les entreprises ont bénéficié d’une période de transition de deux ans. Cette fenêtre n’était pas une période de grâce mais bien un délai accordé pour se préparer. Les organisations devaient impérativement :
- cartographier l’ensemble de leurs traitements de données personnelles ;
- désigner un Délégué à la Protection des Données (DPO) lorsque cela était requis ;
- mettre à jour leurs politiques de confidentialité et leurs mentions légales ;
- réviser les contrats avec les sous-traitants (clauses de traitement des données) ;
- mettre en place des procédures de notification de violations de données dans les 72 heures.
Beaucoup de TPE et PME françaises ont sous-estimé l’ampleur du chantier. La CNIL avait pourtant multiplié les guides pratiques et les actions de sensibilisation tout au long de la période 2016-2018. Pour aller plus loin sur vos obligations actuelles, consultez notre guide de conformité RGPD pour les PME.

Le 25 mai 2018 : l’entrée en application et ses conséquences immédiates
Le 25 mai 2018 marque un tournant irréversible dans la protection des données personnelles en Europe. Dès cette date, la directive 95/46/CE est officiellement abrogée et le Règlement UE 2016/679 devient pleinement contraignant. Concrètement, pour toute entreprise traitant des données de personnes physiques situées dans l’UE :
- le principe d’accountability (responsabilité proactive) s’impose : chaque responsable de traitement doit être en mesure de démontrer sa conformité ;
- les droits des personnes (accès, rectification, effacement, portabilité, opposition) sont directement exerçables ;
- les autorités de contrôle nationales (la CNIL en France) disposent d’un pouvoir de sanction effectif pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial ;
- toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures.
À retenir : Le RGPD s’applique à toute organisation — y compris les TPE et PME — dès lors qu’elle collecte ou traite des données personnelles de résidents européens, que son siège soit en France ou à l’étranger. La taille de l’entreprise ne dispense pas de l’obligation de conformité.
Après 2018 : les dates importantes pour le suivi de la conformité
La conformité RGPD n’est pas un état figé obtenu une fois pour toutes en mai 2018 : c’est un processus continu que les entreprises doivent entretenir. Plusieurs événements postérieurs à l’entrée en application ont redéfini le paysage réglementaire :
En janvier 2019, la CNIL prononce une amende de 50 millions d’euros à l’encontre de Google pour manque de transparence et de consentement valide — premier signal fort que les géants du numérique ne sont pas les seuls visés, mais que toute entreprise dont les pratiques sont défaillantes s’expose. En 2020 et 2021, les autorités européennes accélèrent leurs investigations, notamment dans les secteurs de la santé, du e-commerce et de la publicité ciblée. En France, la loi du 7 octobre 2021 renforce encore la protection des mineurs en ligne et l’encadrement des cookies. Depuis 2022, la CNIL mène des campagnes de contrôle thématiques (cookies, prospection commerciale, ressources humaines) qui touchent régulièrement des PME françaises.

Ce que ces dates signifient concrètement pour votre entreprise
Retenir la date du 25 mai 2018 ne suffit pas : ce qui importe, c’est de comprendre ce que chaque étape de la chronologie RGPD implique pour votre organisation aujourd’hui. Voici les obligations permanentes héritées de ce calendrier :
| Obligation | Origine réglementaire | Fréquence de mise à jour recommandée |
|---|---|---|
| Registre des traitements | Art. 30 RGPD (applicable depuis mai 2018) | À chaque nouveau traitement ou changement significatif |
| Politique de confidentialité | Art. 13 et 14 RGPD | Au minimum une fois par an et après tout changement |
| Gestion des cookies et consentement | RGPD + loi Informatique et Libertés + lignes directrices CNIL | Continu ; banner à maintenir à jour selon recommandations CNIL |
| Procédure de notification de violation | Art. 33 RGPD (72 heures) | À tester au moins une fois par an |
| Contrats sous-traitants (DPA) | Art. 28 RGPD | À chaque nouveau prestataire ou renouvellement de contrat |
⚠ Attention : Depuis 2022, la CNIL peut sanctionner les entreprises de toute taille, y compris les artisans, commerçants et TPE. Les amendes prononcées contre des petites structures restent inférieures aux plafonds théoriques mais peuvent atteindre plusieurs dizaines de milliers d’euros — un montant potentiellement fatal pour une PME. Ne remettez pas votre mise en conformité à plus tard.
Votre mise en conformité RGPD est-elle à jour ?
Diagnostic cybersécurité et conformité offert, sans engagement.
FAQ — Questions fréquentes sur les dates du RGPD
Quelle est la date d’entrée en application du RGPD ?
Le RGPD est entré en application le 25 mai 2018. C’est à partir de cette date que les entreprises établies dans l’Union européenne ou traitant des données de résidents européens ont été tenues de s’y conformer, sous peine de sanctions.
Quand le RGPD a-t-il été adopté ?
Le Règlement général sur la protection des données (Règlement UE 2016/679) a été adopté par le Parlement européen et le Conseil de l’Union européenne le 27 avril 2016. Il a ensuite été publié au Journal officiel de l’UE le 4 mai 2016.
Quelle directive le RGPD a-t-il remplacée ?
Le RGPD a remplacé la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Cette directive datait de l’ère pré-internet et n’était plus adaptée aux usages numériques modernes.
Quelles sanctions risque une entreprise non conforme au RGPD ?
Les sanctions prévues par le RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé, pour les infractions les plus graves. Pour les manquements moins graves, l’amende peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
Le RGPD s’applique-t-il aux petites entreprises (TPE/PME) ?
Oui, le RGPD s’applique à toute organisation qui traite des données personnelles de personnes situées dans l’Union européenne, quelle que soit sa taille. Les TPE et PME y sont donc soumises. Certaines exemptions allègent toutefois les obligations (notamment la tenue du registre des traitements pour les entreprises de moins de 250 salariés, sauf conditions particulières). Consultez notre guide de conformité RGPD pour les PME pour connaître vos obligations précises.
Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.


Laisser un commentaire