Ce qu'on me demande le plus souvent

Le RGPD s'applique à toute organisation qui traite des données personnelles et qui est située sur le territoire de l'Union européenne. Il n'y a pas de seuil de taille : une association, une TPE, une collectivité ou un grand groupe sont soumis aux mêmes obligations dès lors qu'ils collectent, stockent ou utilisent des informations permettant d'identifier une personne — nom, email, adresse IP, numéro de téléphone, données de localisation, etc. En pratique, cela concerne presque toutes les organisations : gérer une liste de contacts, envoyer une newsletter, utiliser un CRM, publier un formulaire de contact sur un site web, ou encore filmer un espace public avec des caméras de surveillance suffit à déclencher l'application du RGPD.

Le DPO (délégué à la protection des données) est obligatoire pour les autorités et organismes publics, les organisations qui traitent des données sensibles à grande échelle, et celles qui effectuent un suivi régulier et systématique des personnes à grande échelle. Pour les autres, il est vivement recommandé. Un DPO externe permet de remplir cette obligation sans recruter en interne.

Le DPO interne est un salarié de l'organisation. Le DPO externe est un prestataire indépendant désigné par contrat. Les deux ont les mêmes missions et obligations légales. Les avantages du DPO externe sont une indépendance garantie une expertise maintenue à jour et un coût souvent inférieur à un recrutement. La CNIL reconnaît pleinement la validité du DPO externe.

Tout commence par un état des lieux : comprendre quelles données vous collectez, pour quelles finalités, par quels canaux et qui y a accès. Cet inventaire permet de construire le registre des traitements, qui est le socle de toute démarche RGPD. Une fois ce registre établi, il devient possible d'identifier les risques prioritaires, de mettre en place les procédures adaptées et de documenter les décisions prises.

Un site web conforme au RGPD doit avoir : un bandeau cookies conforme aux recommandations CNIL (avec refus aussi simple que l'acceptation), une politique de confidentialité à jour, des mentions d'information sur chaque formulaire de collecte, et des contrats de sous-traitance signés avec chaque prestataire qui traite des données pour votre compte (hébergeur, outil emailing, CRM…). Un audit de site permet d'identifier rapidement les points à corriger.

Le RIA s'applique à toute organisation qui développe, met sur le marché ou utilise des systèmes d'IA dans l'Union européenne. Les obligations varient selon le niveau de risque du système : les systèmes à haut risque (recrutement, crédit, accès aux services publics essentiels, éducation) sont soumis aux exigences les plus strictes. Si vous utilisez un outil IA pour des décisions qui touchent des personnes, vous êtes probablement concerné.

Le RGPD protège les données personnelles des individus. Le RIA encadre les systèmes d'intelligence artificielle selon leur niveau de risque. Les deux se complètent : un projet IA qui traite des données personnelles est soumis aux deux règlements simultanément. La CNIL a publié des recommandations sur l'articulation entre les deux textes.

Le RIA (Article 6) définit les systèmes à haut risque comme ceux susceptibles de porter atteinte aux droits fondamentaux ou à la sécurité des personnes. L'Annexe III liste les cas d'usage concernés : recrutement et gestion RH, octroi de crédit, accès à l'éducation, décisions de justice, gestion des migrations, services publics essentiels, infrastructures critiques. Ces systèmes sont soumis à des obligations renforcées : documentation technique, gestion des risques, supervision humaine, enregistrement dans une base de données européenne.

Le RIA est entré en vigueur le 1er août 2024. Son application est progressive : les interdictions (systèmes à risque inacceptable) sont effectives depuis le 2 février 2025, les règles pour les modèles d'IA à usage général depuis le 2 août 2025, et les obligations pour les systèmes à haut risque seront pleinement applicables le 2 août 2026. Il est donc temps d'anticiper.

Le numérique responsable désigne une approche qui vise à réduire l'empreinte environnementale du numérique tout en garantissant accessibilité, souveraineté et inclusion. Il couvre l'éco-conception des services numériques, la gestion du cycle de vie des équipements, la mesure des impacts (ACV / bilan carbone SI), la politique d'achat responsable et la gouvernance des données. C'est une démarche structurée, pas une liste de bonnes pratiques isolées.

La première étape est un état des lieux : inventaire des équipements, cartographie des services numériques, identification des principaux postes d'impact. Cet état des lieux permet de définir un périmètre, de prioriser les actions et de construire une feuille de route réaliste. Sans mesure préalable, il est difficile de progresser de façon cohérente. Découvrir l'accompagnement numérique responsable →

Le Label NR s'adresse aussi bien aux entreprises qu'aux collectivités. Il est accessible à différents niveaux de maturité — il ne s'agit pas d'être parfait, mais de s'engager dans une trajectoire structurée et documentée. Il couvre l'ensemble des dimensions du numérique responsable : environnement, accessibilité, protection des données, souveraineté et responsabilité sociétale. En savoir plus sur l'accompagnement Label NR →

Une analyse de cycle de vie (ACV) appliquée au numérique mesure l'impact environnemental d'un service ou d'un système d'information sur l'ensemble de son cycle de vie : fabrication des équipements, utilisation, transport des données, fin de vie. Elle couvre plusieurs indicateurs : émissions de CO2, consommation d'eau, épuisement des métaux. C'est la méthode de référence pour sortir des bilans partiels et avoir une vision complète de l'empreinte réelle.