RGPD : les dates clés à connaître (chronologie)

RGPD : les dates clés à connaître (chronologie)

RGPD : les dates clés à connaître (chronologie)

La date clé du RGPD à retenir est le 25 mai 2018 : c’est ce jour-là que le Règlement général sur la protection des données (Règlement UE 2016/679) est entré en application dans l’ensemble des États membres de l’Union européenne, rendant obligatoire la conformité pour toutes les entreprises traitant des données personnelles de résidents européens. Mais cette date d’application n’est que l’aboutissement d’un processus législatif engagé bien plus tôt, jalonnant plusieurs années de négociations, de transpositions nationales et de décisions réglementaires. Comprendre la chronologie du RGPD permet à chaque TPE et PME de mieux situer ses obligations et d’éviter les pièges d’un historique souvent mal maîtrisé.

Chronologie complète : toutes les dates du RGPD

La chronologie du RGPD s’étend sur plus de deux décennies si l’on inclut la directive qu’il est venu remplacer. Le tableau ci-dessous recense les dates officielles et leur signification concrète pour les entreprises.

Date Évènement Ce que ça change
24 octobre 1995 Adoption de la directive 95/46/CE Premier cadre européen sur la protection des données personnelles, avant l’essor d’internet
25 janvier 2012 Présentation de la proposition de règlement RGPD par la Commission européenne Lancement du processus législatif ; les entreprises prennent connaissance du futur cadre
27 avril 2016 Adoption officielle du Règlement UE 2016/679 (RGPD) Le texte est définitivement voté ; le compte à rebours de deux ans commence
4 mai 2016 Publication au Journal officiel de l’UE Le règlement entre en vigueur officiellement ; entrée en application fixée à deux ans
25 mai 2018 Entrée en application du RGPD Obligations pleinement opposables ; la directive 95/46/CE est abrogée ; sanctions possibles
20 juin 2018 Publication de la loi Informatique et Libertés révisée (France) Transposition française du RGPD ; la CNIL voit ses pouvoirs de sanction renforcés
Janvier 2019 Première sanction majeure CNIL : amende de 50 M€ contre Google Signal fort : les autorités de contrôle appliquent activement le règlement
Depuis 2020 Montée en puissance des sanctions CNIL et des autorités européennes Des amendes de plusieurs millions d’euros prononcées chaque année ; toutes tailles d’entreprises concernées

Le saviez-vous ? La directive 95/46/CE, remplacée par le RGPD, avait été rédigée à une époque où les réseaux sociaux n’existaient pas et où le cloud computing était inconnu. En vingt ans, la quantité de données personnelles traitées par les entreprises avait été multipliée par des milliers, rendant la mise à jour du cadre juridique indispensable.

Avant le 25 mai 2018 : la période de transition (2016-2018)

Entre l’adoption du règlement le 27 avril 2016 et son entrée en application le 25 mai 2018, les entreprises ont bénéficié d’une période de transition de deux ans. Cette fenêtre n’était pas une période de grâce mais bien un délai accordé pour se préparer. Les organisations devaient impérativement :

  • cartographier l’ensemble de leurs traitements de données personnelles ;
  • désigner un Délégué à la Protection des Données (DPO) lorsque cela était requis ;
  • mettre à jour leurs politiques de confidentialité et leurs mentions légales ;
  • réviser les contrats avec les sous-traitants (clauses de traitement des données) ;
  • mettre en place des procédures de notification de violations de données dans les 72 heures.

Beaucoup de TPE et PME françaises ont sous-estimé l’ampleur du chantier. La CNIL avait pourtant multiplié les guides pratiques et les actions de sensibilisation tout au long de la période 2016-2018. Pour aller plus loin sur vos obligations actuelles, consultez notre guide de conformité RGPD pour les PME.

Chronologie visuelle des dates clés du RGPD de 2016 à 2018
La période de transition de deux ans (2016-2018) était destinée à permettre aux entreprises de se mettre en conformité avant l’entrée en application du RGPD.

Le 25 mai 2018 : l’entrée en application et ses conséquences immédiates

Le 25 mai 2018 marque un tournant irréversible dans la protection des données personnelles en Europe. Dès cette date, la directive 95/46/CE est officiellement abrogée et le Règlement UE 2016/679 devient pleinement contraignant. Concrètement, pour toute entreprise traitant des données de personnes physiques situées dans l’UE :

  • le principe d’accountability (responsabilité proactive) s’impose : chaque responsable de traitement doit être en mesure de démontrer sa conformité ;
  • les droits des personnes (accès, rectification, effacement, portabilité, opposition) sont directement exerçables ;
  • les autorités de contrôle nationales (la CNIL en France) disposent d’un pouvoir de sanction effectif pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial ;
  • toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures.

À retenir : Le RGPD s’applique à toute organisation — y compris les TPE et PME — dès lors qu’elle collecte ou traite des données personnelles de résidents européens, que son siège soit en France ou à l’étranger. La taille de l’entreprise ne dispense pas de l’obligation de conformité.

Après 2018 : les dates importantes pour le suivi de la conformité

La conformité RGPD n’est pas un état figé obtenu une fois pour toutes en mai 2018 : c’est un processus continu que les entreprises doivent entretenir. Plusieurs événements postérieurs à l’entrée en application ont redéfini le paysage réglementaire :

En janvier 2019, la CNIL prononce une amende de 50 millions d’euros à l’encontre de Google pour manque de transparence et de consentement valide — premier signal fort que les géants du numérique ne sont pas les seuls visés, mais que toute entreprise dont les pratiques sont défaillantes s’expose. En 2020 et 2021, les autorités européennes accélèrent leurs investigations, notamment dans les secteurs de la santé, du e-commerce et de la publicité ciblée. En France, la loi du 7 octobre 2021 renforce encore la protection des mineurs en ligne et l’encadrement des cookies. Depuis 2022, la CNIL mène des campagnes de contrôle thématiques (cookies, prospection commerciale, ressources humaines) qui touchent régulièrement des PME françaises.

Illustration des sanctions CNIL et de l'évolution du RGPD après 2018
Depuis 2019, les sanctions CNIL se multiplient et touchent tous les secteurs. La conformité RGPD est un suivi permanent, pas une action ponctuelle.

Ce que ces dates signifient concrètement pour votre entreprise

Retenir la date du 25 mai 2018 ne suffit pas : ce qui importe, c’est de comprendre ce que chaque étape de la chronologie RGPD implique pour votre organisation aujourd’hui. Voici les obligations permanentes héritées de ce calendrier :

Obligation Origine réglementaire Fréquence de mise à jour recommandée
Registre des traitements Art. 30 RGPD (applicable depuis mai 2018) À chaque nouveau traitement ou changement significatif
Politique de confidentialité Art. 13 et 14 RGPD Au minimum une fois par an et après tout changement
Gestion des cookies et consentement RGPD + loi Informatique et Libertés + lignes directrices CNIL Continu ; banner à maintenir à jour selon recommandations CNIL
Procédure de notification de violation Art. 33 RGPD (72 heures) À tester au moins une fois par an
Contrats sous-traitants (DPA) Art. 28 RGPD À chaque nouveau prestataire ou renouvellement de contrat

⚠ Attention : Depuis 2022, la CNIL peut sanctionner les entreprises de toute taille, y compris les artisans, commerçants et TPE. Les amendes prononcées contre des petites structures restent inférieures aux plafonds théoriques mais peuvent atteindre plusieurs dizaines de milliers d’euros — un montant potentiellement fatal pour une PME. Ne remettez pas votre mise en conformité à plus tard.

Votre mise en conformité RGPD est-elle à jour ?
Diagnostic cybersécurité et conformité offert, sans engagement.

Demander mon diagnostic offert

FAQ — Questions fréquentes sur les dates du RGPD

Quelle est la date d’entrée en application du RGPD ?

Le RGPD est entré en application le 25 mai 2018. C’est à partir de cette date que les entreprises établies dans l’Union européenne ou traitant des données de résidents européens ont été tenues de s’y conformer, sous peine de sanctions.

Quand le RGPD a-t-il été adopté ?

Le Règlement général sur la protection des données (Règlement UE 2016/679) a été adopté par le Parlement européen et le Conseil de l’Union européenne le 27 avril 2016. Il a ensuite été publié au Journal officiel de l’UE le 4 mai 2016.

Quelle directive le RGPD a-t-il remplacée ?

Le RGPD a remplacé la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Cette directive datait de l’ère pré-internet et n’était plus adaptée aux usages numériques modernes.

Quelles sanctions risque une entreprise non conforme au RGPD ?

Les sanctions prévues par le RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé, pour les infractions les plus graves. Pour les manquements moins graves, l’amende peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Le RGPD s’applique-t-il aux petites entreprises (TPE/PME) ?

Oui, le RGPD s’applique à toute organisation qui traite des données personnelles de personnes situées dans l’Union européenne, quelle que soit sa taille. Les TPE et PME y sont donc soumises. Certaines exemptions allègent toutefois les obligations (notamment la tenue du registre des traitements pour les entreprises de moins de 250 salariés, sauf conditions particulières). Consultez notre guide de conformité RGPD pour les PME pour connaître vos obligations précises.

Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.


Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *