RGPD et données personnelles : ce qui change en 2026 | Provigis

Acte 1, la Déclaration d'Helsinki : les autorités européennes décident d'outiller les entreprises (juillet 2025)

Les 1er et 2 juillet 2025, les représentants des autorités nationales de protection des données de toute l'Union européenne se sont réunis à Helsinki, en Finlande, dans le cadre d'une session plénière du Comité européen de la protection des données. À l'issue de ces deux jours, le Comité a adopté un texte intitulé « Déclaration d'Helsinki sur la clarté, le soutien et l'engagement renforcés ».

« Le comité européen de la protection des données vise à faire en sorte que le respect du RGPD puisse être réalisé plus facilement. En plaçant les droits fondamentaux au cœur de leur transformation numérique, les organisations peuvent veiller à ce que les progrès technologiques et le respect des valeurs européennes aillent de pair, en construisant à terme une économie numérique plus forte et plus résiliente.», Anu Talus, présidente du comité européen de la protection des données.

Pour comprendre la portée de cette déclaration, il faut revenir à un constat partagé par les professionnels de la conformité depuis plusieurs années : le RGPD est un texte exigeant, et les organisations, en particulier les PME, peinent à traduire ses principes en actions opérationnelles :

• Les obligations sont formulées de manière générale (« mesures techniques et organisationnelles appropriées », « analyse d'impact relative à la protection des données »...) ;
• Chaque autorité nationale publie ses propres recommandations, avec parfois des écarts significatifs d’un pays à l’autre ;
• Une entreprise qui opère dans plusieurs États membres doit composer avec des dizaines d'interprétations différentes pour une même obligation.

La Déclaration d'Helsinki a souhaité apporter une réponse pratique à cette problématique. Le Comité s'est en effet engagé à produire des outils directement actionnables par les organisations :

• Des templates (modèles prêts à remplir) pour les documents les plus courants du RGPD ;
• Des checklists ;
• Des FAQ ;
• Des guides pas à pas pour comprendre et se conformer.

Au-delà des outils, la Déclaration prévoyait deux autres engagements. Le premier porte sur l'harmonisation : les autorités nationales se sont engagées à aligner progressivement leurs recommandations respectives avec celles du Comité, pour que les entreprises n'aient plus à jongler entre des positions contradictoires d'un pays à l'autre.

Le second concerne la coopération inter-réglementaire. Le RGPD coexiste désormais avec d'autres textes européens qui touchent eux aussi aux données personnelles, notamment le règlement sur l'intelligence artificielle, dit « AI Act », le « Data Act », la directive NIS2 sur la cybersécurité...), et les autorités de protection des données ont reconnu la nécessité de travailler avec les régulateurs de ces autres textes pour éviter les incohérences.

La Déclaration d'Helsinki a donc concrétisé la position du comité sur l’avenir du RGPD : la conformité ne passera pas, du point de vue des autorités, par une réécriture ou une simplification de la loi, mais par un meilleur accompagnement pratique des organisations qui doivent l'appliquer. Seulement voilà : à peine 4 mois plus tard, la Commission européenne allait proposer… exactement l'inverse !

💡 Qu'est-ce que le Comité européen de la protection des données (CEPD) ?

Le CEPD (en anglais EDPB, pour « European Data Protection Board ») est l'organe européen qui réunit les dirigeants des autorités nationales de protection des données de chaque État membre de l'UE (la CNIL pour la France, la Garante pour l'Italie, le BfDI pour l'Allemagne, etc.) ainsi que le Contrôleur européen de la protection des données. Créé en vertu du RGPD, il se réunit en plénière une fois par mois à Bruxelles pour veiller à ce que le règlement soit interprété et appliqué de manière cohérente dans toute l'Union.

Acte 2, le « Digital Omnibus » : la Commission européenne propose de modifier le RGPD (novembre 2025)

Manifestement, la Déclaration d’Helsinki n’a pas intéressé la Commission européenne, qui a opté pour l’autre voie : retravailler le RGPD. Le 19 novembre 2025, elle a donc publié le projet de règlement « Digital Omnibus », avec trois grands chantiers :

1. La redéfinition du concept de « donnée personnelle », au cœur même du RGPD ;
2. L'encadrement du recours à l'intérêt légitime pour entraîner des modèles d'intelligence artificielle (IA) ;
3. Une série de simplifications opérationnelles plutôt ambitieuses.

1. La redéfinition de « donnée personnelle »

Aujourd'hui, le RGPD définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

En pratique, cette définition a été interprétée de manière très large par les autorités de protection des données : dès lors qu'une entité quelconque, quelque part, est en mesure de relier une information à une personne physique, cette information est considérée comme une donnée personnelle pour tout le monde, y compris pour les entités qui, elles, n'ont aucun moyen de faire ce lien. Prenons un exemple.

💡 Exemple : quand une donnée est « personnelle » pour tout le monde

Une enseigne de grande distribution confie à un prestataire Data Marketing un fichier contenant l'historique d'achats de ses clients. Avant l'envoi, l'enseigne remplace les noms, adresses et emails par des identifiants pseudonymisés (« CLI-7742 », « CLI-9201 »...). Le prestataire reçoit donc des paniers d'achats associés à des codes, sans aucun moyen de savoir qui se cache derrière chaque code. Seule l'enseigne conserve la table de correspondance. Sous l'interprétation large retenue par les autorités de protection des données, ces historiques d'achats constituent bien des données personnelles, même pour le prestataire, puisque l'enseigne, elle, peut réidentifier chaque client. Le prestataire doit donc appliquer l'intégralité des obligations du RGPD à ces données, alors même qu'il lui est impossible d'identifier qui que ce soit.

La Commission a proposé d'ajouter un nouveau paragraphe à l'article 4(1) du RGPD pour nuancer, s’inspirant notamment de l’arrêt rendu par la Cour de justice de l'Union européenne (CJUE) en septembre 2025 (voir encadré plus bas). En substance, ce nouveau paragraphe disait trois choses :

• Une information relative à une personne physique n'est pas nécessairement une donnée personnelle pour toutes les entités, du seul fait qu'une autre entité peut identifier cette personne ;
• L'information n'est pas personnelle pour une entité donnée si celle-ci ne dispose pas des moyens raisonnablement susceptibles d'être utilisés pour identifier la personne en question ;
• Le fait qu'un destinataire ultérieur puisse, lui, identifier la personne ne suffit pas à rendre la donnée personnelle en amont.

Pour reprendre notre exemple, les données manipulées par le prestataire Data Marketing n’auraient pas été considérées comme « personnelles » pour la mission qui lui a été confiée.

💡 L'arrêt SRB de la CJUE (septembre 2025) : le déclencheur

En septembre 2025, la CJUE a rendu une décision dans une affaire opposant le Contrôleur européen de la protection des données au Conseil de résolution unique.

⇒  Les faits : le Conseil de résolution unique avait transmis au cabinet de conseil Deloitte des commentaires rédigés par des créanciers, après avoir remplacé les noms et coordonnées de chaque créancier par un identifiant unique. Deloitte recevait donc des textes associés à des codes, sans aucun moyen d'identifier les personnes concernées.

⇒ La question posée à la Cour : ces informations constituent-elles des données personnelles pour Deloitte ? La Cour a répondu « non », à trois conditions : que la méthode de pseudonymisation soit efficace, que Deloitte ne soit pas raisonnablement en mesure d'obtenir la réidentification auprès du Conseil de résolution unique ou d'un tiers, et que Deloitte ne transmette pas ces données à quelqu'un qui pourrait, lui, effectuer la réidentification. C'est cette logique que la Commission a tenté de codifier dans le Digital Omnibus.

2. L'intérêt légitime comme base légale pour entraîner des modèles d'IA

Pour traiter des données personnelles conformément au RGPD, les entreprises doivent s'appuyer sur l'une des 6 bases légales prévues par l'article 6 du règlement.

L'une d’entre elles, dite de l'« intérêt légitime » (article 6(1)(f)), permet de traiter des données sans le consentement de la personne concernée, à condition que l'intérêt poursuivi par l'organisation ne soit pas supplanté par les droits et libertés fondamentaux de cette personne. En pratique, cette base légale impose de réaliser un test de mise en balance au cas par cas.

Or, l'entraînement de modèles d’IA repose sur l'ingestion de volumes massifs de données, dont une partie peut contenir des données personnelles. La question de la base légale applicable à ces traitements est devenue un point de friction majeur entre les développeurs d’IA et les autorités de protection des données. Le Comité européen de la protection des données avait admis, dans un avis publié en 2024 (28/2024), que l'intérêt légitime pouvait théoriquement servir de fondement à l'entraînement de modèles d'IA, mais au prix d'une évaluation au cas par cas, sans raccourci possible.

Le Digital Omnibus allait plus loin. La Commission proposait :

• L’ajout d’un nouvel article au RGPD (l'article 88c) qui aurait explicitement mentionné le développement et le déploiement de systèmes d'IA comme un cas de recours à l'intérêt légitime ;
• Une dérogation encadrée pour le traitement résiduel de données sensibles (origine ethnique, opinions politiques, données de santé...) lorsqu'elles apparaissent incidemment dans un jeu de données utilisé pour entraîner un modèle, à condition que des mesures techniques empêchent leur exploitation dans les résultats produits par le modèle.

💡 Ce qu’il faut retenir

La Commission cherchait à offrir un cadre juridique sécurisé aux entreprises européennes qui développent des systèmes d'IA afin qu'elles n'aient pas à obtenir le consentement individuel de chaque personne dont les données alimentent l'entraînement de leurs modèles.

3. Notifications de violations, analyses d'impact et cookies : les simplifications opérationnelles

En plus de ces deux sujets de fond, le Digital Omnibus proposait également de revoir trois grandes obligations qui rythment le quotidien des responsables de traitement.

Obligation #1 : les notifications de violations de données. Aujourd'hui, lorsqu'une entreprise subit une violation de données personnelles (fuite, piratage, accès non autorisé...), elle doit la notifier à son autorité de contrôle (la CNIL en France) dans un délai de 72 heures, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. En pratique, ce seuil bas conduit les entreprises à notifier un très grand nombre d'incidents, y compris mineurs, par précaution. Le Digital Omnibus proposait deux changements :

• Relever le seuil de notification : seules les violations susceptibles d'engendrer un risque élevé auraient dû être signalées à l'autorité de contrôle ;
• Allonger le délai de 72 à 96 heures et créer un portail unique de signalement, commun au RGPD, à la directive NIS2 sur la cybersécurité et au règlement DORA sur la résilience opérationnelle numérique du secteur financier.

Obligation #2 : les analyses d'impact (DPIA). Le RGPD impose aux organisations de réaliser une analyse d'impact relative à la protection des données avant tout traitement susceptible d'engendrer un risque élevé pour les personnes :

• Le problème : comme expliqué plus haut, chaque autorité nationale a publié sa propre liste de traitements soumis à cette obligation, avec des critères qui varient d'un pays à l'autre ;
• La proposition Omnibus: confier au Comité européen de la protection des données la rédaction d'une liste unique à l'échelle de l'UE, accompagnée d'un template et d'une méthodologie harmonisés.

Obligation #3 : les règles sur les cookies et le suivi en ligne. Aujourd'hui, la collecte de données via les cookies est encadrée par un texte différent du RGPD : la directive ePrivacy, adoptée en 2002. Cette coexistence entre deux textes crée des doublons et des incohérences. Le Digital Omnibus proposait d'intégrer les règles sur les cookies directement dans le RGPD, avec plusieurs mesures visant à simplifier l'expérience utilisateur : obligation d'un mécanisme de refus aussi simple que celui d'acceptation (en un clic), interdiction de redemander le consentement pendant 6 mois après un refus, et possibilité de paramétrer ses préférences directement dans le navigateur, les sites web devant alors respecter ce choix.

Acte 3, la réponse du CEPD : rejet des modifications et « victoire » de la doctrine Helsinki (février 2026)

Le 11 février 2026, le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont publié un avis conjoint sur le Digital Omnibus. Le texte reconnaît l'objectif de simplification poursuivi par la Commission, mais rejette ou critique plusieurs de ses propositions.

Sur la redéfinition de la « donnée personnelle »

La position est catégorique. Le Contrôleur européen Wojciech Wiewiórowski a demandé aux co-législateurs (le Parlement européen et le Conseil de l'UE) de ne pas adopter cette modification, au motif qu'elle réduirait la portée du concept de donnée personnelle et s'écarterait de la jurisprudence de la CJUE.

Le Comité a par ailleurs jugé qu'il n'appartenait pas à la Commission de décider, par acte d'exécution, quelles données pseudonymisées cessent d'être personnelles : c'est précisément le travail de doctrine que le Comité mène lui-même au travers de ses guidelines sur la pseudonymisation, en cours de finalisation depuis janvier 2025.

Sur l'intérêt légitime pour l'IA

Le Comité a estimé qu'un nouvel article dans le RGPD n'était pas nécessaire, puisque son propre avis 28/2024 reconnaissait déjà cette possibilité sous conditions. L’ajout d’une disposition législative dédiée risquait, selon lui, de créer un faux sentiment de sécurité juridique, en laissant penser que le test de mise en balance au cas par cas devenait facultatif.

Concernant les simplifications opérationnelles

Le Comité et le Contrôleur ont accueilli favorablement certaines simplifications opérationnelles, en particulier le relèvement du seuil de notification des violations de données et l'allongement du délai à 96 heures, qu'ils jugent de nature à alléger la charge administrative sans affecter la protection des personnes.

💡 La confirmation du Conseil de l’UE (20 février 2026)

Quelques jours plus tard, un texte de compromis du Conseil de l'UE, daté du 20 février 2026, a été rendu public par la presse spécialisée (Euractiv et Politico, notamment). Le signal envoyé est limpide : la redéfinition de « donnée personnelle » a été intégralement retirée du projet. À la place, le texte du Conseil renvoie explicitement aux guidelines du Comité sur la pseudonymisation pour encadrer l'interprétation de ce concept. Les États membres ont ainsi validé, dans les faits, la position défendue par le Comité depuis Helsinki : clarifier le RGPD par la doctrine plutôt que par la réécriture législative.

Acte 4, le programme de travail 2026-2027 du CEPD : ce qui arrive concrètement pour les entreprises

Le Comité européen de la protection des données a adopté son programme de travail pour 2026-2027 le 11 février dernier, dans la continuité de la Déclaration d'Helsinki et de l'avis conjoint sur le Digital Omnibus. L’objectif est d’aider les entreprises à deux niveaux :

• Leur fournir des outils pratiques et prêts à l'emploi pour faciliter la conformité au quotidien ;
• Publier des guidelines pour trancher sur plusieurs sujets encore flous ou disputés.

1. Les outils pratiques : templates, checklists, FAQ et guides

Le Comité a annoncé le développement de 5 templates, ou modèles prêts à remplir, couvrant les obligations les plus courantes du RGPD :

• L'évaluation de l'intérêt légitime : le test de mise en balance décrit dans l'Acte 2 ;
• Le registre des traitements : le document dans lequel chaque organisation doit lister l'ensemble des traitements de données personnelles qu'elle opère ;
• La politique de confidentialité : le texte qui informe les personnes concernées de la manière dont leurs données sont collectées et utilisées ;
• La notification de violation de données à l'autorité de contrôle ;
• L'analyse d'impact relative à la protection des données (DPIA).

Ces templates s'ajoutent aux checklists, aux FAQ et aux guides pas à pas déjà promis dans la Déclaration d'Helsinki, qui ciblent en priorité les PME. Aucun de ces outils n'a encore été publié en version finale à la date de rédaction de cet article (février 2026).

💡 Le template à surveiller en priorité : l'analyse d'impact (DPIA)

Parmi les 5 templates annoncés, celui consacré à l'analyse d'impact est probablement le plus attendu par les DPO et responsables conformité. C'est aujourd'hui l'obligation qui génère le plus de disparités d'un État membre à l'autre. Un template harmonisé, accompagné d'une liste unique et d'une méthodologie commune à l'échelle de l'UE, réduirait considérablement le temps passé à croiser les référentiels nationaux. Pour les PME, qui n'ont souvent ni DPO dédié ni budget pour un cabinet de conseil, l'impact serait important.

2. Les guidelines en préparation : ce que le Comité va trancher sur le fond

Les templates aident à exécuter des obligations déjà connues. Les guidelines, elles, vont fixer l'interprétation officielle du Comité sur des sujets où les entreprises manquent encore de visibilité. Parmi ceux annoncés dans le programme de travail 2026-2027, quatre méritent une attention particulière. Synthèse :

Point #1 : la pseudonymisation. Le Comité a adopté une première version de ses guidelines en janvier 2025, soumise à consultation publique, puis a organisé en décembre 2025 un événement avec les parties prenantes pour intégrer les enseignements de l'arrêt SRB (décrit dans l'Acte 2). La version finale, attendue courant 2026, déterminera dans quelles conditions une donnée pseudonymisée cesse d'être considérée comme « personnelle » pour l'entité qui la reçoit.

Point #2 : l'intérêt légitime. Des draft guidelines ont été publiées en octobre 2024, après un arrêt de la CJUE confirmant que les intérêts commerciaux pouvaient constituer un intérêt légitime au sens du RGPD. La version finale précisera les conditions du test de mise en balance et fournira des exemples par secteur (marketing direct, sécurité informatique, etc.). Combinée au template d'évaluation annoncé plus haut, cette guideline constituera le cadre de référence pour toute entreprise qui invoque l'intérêt légitime, y compris dans le contexte de l'IA.

Point #3 : les données des enfants. Le Comité prépare des guidelines dédiées à la collecte et au traitement des données de mineurs. Le sujet est sensible parce que le RGPD impose des conditions renforcées (consentement parental, information adaptée à l'âge...) sans en préciser toutes les modalités pratiques, ce qui laisse les plateformes numériques et les éditeurs d'applications dans une zone d'incertitude.

Point #4 : les modèles « consent or pay ». De plus en plus de médias en ligne et de plateformes proposent à leurs utilisateurs un choix binaire :

• Accepter le suivi publicitaire ;
• Ou payer un abonnement pour y échapper.

La licéité de ce modèle au regard du RGPD fait débat depuis plusieurs années. Les guidelines du Comité trancheront sur les conditions dans lesquelles ce type d'alternative peut être proposé sans que le consentement soit considéré comme « forcé » (et donc invalide au sens du règlement).

Pendant ce temps, la CNIL ne baisse pas la garde sur les sanctions pour manquement au RGPD

Pendant que le débat institutionnel se joue entre la Commission, le Comité et le Conseil, la CNIL poursuit ses contrôles sur le terrain.

Le début de l'année 2026 a été marqué par plusieurs décisions lourdes qui rappellent que la simplification annoncée ne signifie pas un relâchement du contrôle. Le dénominateur commun de ces sanctions : des défauts de sécurisation des données personnelles, c'est-à-dire des manquements à l'article 32 du RGPD.

• Free et Free Mobile (13 janvier 2026) : amendes de 27 et 15 millions d'euros (soit 42 millions au total). En octobre 2024, un attaquant s'est infiltré dans le système d'information du groupe et a accédé aux données de 24 millions de contrats d'abonnés, dont des IBAN. La CNIL a relevé des manquements aux principes de sécurité les plus élémentaires et une information insuffisante des personnes concernées après la violation ;
• France Travail (22 janvier 2026) : amende de 5 millions d'euros. Des attaquants ont exploité des techniques d'ingénierie sociale pour usurper des comptes de conseillers Cap Emploi et accéder aux données (noms, numéros de sécurité sociale, adresses...) de l'ensemble des personnes inscrites au cours des 20 dernières années, soit environ 36 millions de demandeurs d'emploi ;
• Transmission de données à un réseau social (30 décembre 2025) : amende de 3,5 millions d'euros à l'encontre d'une société qui avait partagé les données de son programme de fidélité avec un réseau social à des fins publicitaires, sans base légale valide.

En parallèle de ces sanctions individuelles, la CNIL a publié en février 2026 les conclusions d'une action coordonnée européenne sur le droit à l'effacement, pilotée par le Comité européen de la protection des données. Six organismes ont été contrôlés sur place en France. Le constat : le droit à l'effacement est globalement reconnu par les organisations, mais sa mise en œuvre opérationnelle reste fragile. Les difficultés portent notamment sur :

• L'absence de procédures internes formalisées ;
• La suppression effective des données dans les sauvegardes ;
• L'arbitrage entre le droit à l'effacement et d'autres obligations légales de conservation.

Deux mises en demeure ont déjà été prononcées, les autres procédures sont en cours.

💡 2025 en un chiffre : près de 487 millions d'euros d'amendes prononcées par la CNIL

L'année 2025 a constitué un record pour la CNIL en matière de sanctions, avec un montant cumulé de 486,8 millions d'euros. Parmi les décisions les plus marquantes : 325 millions d'euros contre Google (septembre 2025) pour des publicités insérées sans consentement dans Gmail et des cookies déposés sans accord lors de la création de comptes, et 150 millions d'euros contre Shein (septembre 2025) pour des manquements similaires liés aux cookies.

Centralisez la conformité RGPD de vos tiers avec Provigis

Le RGPD ne s'arrête pas aux frontières de votre organisation. Le règlement impose aux donneurs d'ordres de s'assurer que leurs fournisseurs, prestataires et sous-traitants qui traitent des données personnelles pour leur compte respectent eux aussi ses exigences : contrats encadrant les traitements, mesures de sécurité vérifiables, capacité à notifier une violation, possibilité d'audit...

Et comme le montre cet article de synthèse, le cadre continue d'évoluer (nouvelles guidelines, templates en préparation, sanctions record…). Le RGPD s'ajoute par ailleurs aux autres obligations de conformité tiers qui pèsent sur les donneurs d'ordres :

• Obligation de vigilance;
• Loi Sapin II;
• Exigences QHSE;
• Reporting RSE...

Pour les directions achats, juridiques et conformité, le défi est de suivre la documentation de dizaines ou centaines de tiers en continu, sans que ça ne devienne un travail à temps plein.

Depuis 2009, Provigis accompagne les grandes entreprises dans le pilotage de la conformité de leurs tiers. En tant que Tiers de Collecte Probatoire (TCP), nous intervenons comme tiers de confiance entre les donneurs d'ordres et leurs partenaires commerciaux. Dans le cadre du RGPD, notre plateforme digitale permet notamment de :

• Collecter les documents de conformité de vos tiers (attestations, certifications, contrats de sous-traitance intégrant les clauses RGPD) et vérifier leur authenticité via des API gouvernementales (URSSAF, Infogreffe, INSEE) ;
• Diffuser des questionnaires RGPD mutualisés auprès de vos fournisseurs : chaque tiers le remplit une seule fois et le met à jour périodiquement. Vous obtenez un premier niveau d'évaluation de ses pratiques en matière de protection des données personnelles ;
• Suivre les échéances documentaires grâce à des alertes automatiques en cas d'expiration imminente, pour éviter les trous de conformité entre deux renouvellements ;
• Conserver, pour chaque document collecté, une piste d'audit horodatée et juridiquement opposable, mobilisable en cas de contrôle CNIL ou d'audit interne.

Vous souhaitez centraliser la conformité de vos tiers (RGPD, obligation de vigilance, QHSE, RSE, Sapin II...) et sécuriser vos relations fournisseurs tout en maîtrisant vos charges opérationnelles ? Réservez votre démo personnalisée !