RGPD en 2026 : vos droits numériques expliqués simplement
Le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis 2018, mais il continue d’évoluer. En 2026, plusieurs évolutions réglementaires et jurisprudentielles ont renforcé les droits des citoyens européens en matière de données personnelles. Cette FAQ répond aux questions les plus fréquentes pour vous aider à comprendre et exercer vos droits. Pour un panorama complet, consultez aussi notre FAQ sur la vie privée et les droits RGPD.
Protégez votre navigation — Extension gratuite
Quels sont les droits fondamentaux du RGPD toujours en vigueur en 2026 ?
Le RGPD accorde aux résidents européens un ensemble de droits sur leurs données personnelles qui restent le socle de la protection numérique en 2026 :
- Droit d’accès (article 15) : vous pouvez demander à toute entreprise de vous communiquer l’ensemble des données qu’elle détient sur vous, ainsi que la finalité de leur traitement.
- Droit de rectification (article 16) : si des données vous concernant sont inexactes ou incomplètes, vous pouvez exiger leur correction.
- Droit à l’effacement (article 17) : aussi appelé “droit à l’oubli”, il vous permet de demander la suppression de vos données lorsqu’elles ne sont plus nécessaires au regard de la finalité initiale.
- Droit à la portabilité (article 20) : vous pouvez récupérer vos données dans un format structuré et lisible par machine pour les transférer à un autre service.
- Droit d’opposition (article 21) : vous pouvez refuser le traitement de vos données à des fins de marketing direct ou de profilage.
- Droit à la limitation du traitement (article 18) : vous pouvez demander le gel du traitement de vos données dans certaines situations, par exemple pendant la vérification de leur exactitude.
Ces droits s’appliquent à toute organisation qui traite des données de résidents européens, quel que soit son pays d’implantation.
Qu’est-ce qui a changé concrètement pour le RGPD en 2025-2026 ?
Plusieurs évolutions majeures ont marqué la période récente et renforcé la protection des citoyens :
Le Digital Services Act (DSA) et le Digital Markets Act (DMA), pleinement appliqués depuis 2024, complètent le RGPD en imposant de nouvelles obligations aux grandes plateformes numériques. Les “gatekeepers” (Google, Meta, Apple, Amazon, Microsoft, etc.) doivent désormais offrir une transparence accrue sur l’utilisation des données et permettre une interopérabilité entre services.
La jurisprudence de la CJUE (Cour de Justice de l’Union Européenne) a clarifié plusieurs points importants. Les arrêts récents ont notamment précisé que le simple “intérêt légitime” d’une entreprise ne suffit pas pour justifier un profilage publicitaire sans consentement explicite.
Les amendes record prononcées par les autorités de protection des données ont eu un effet dissuasif. En 2025, plusieurs entreprises ont écopé de sanctions dépassant le milliard d’euros pour non-respect du RGPD, envoyant un signal fort à l’ensemble du secteur.
Enfin, l’AI Act européen, entré en application progressive depuis 2025, introduit des obligations spécifiques pour les systèmes d’intelligence artificielle qui traitent des données personnelles, renforçant le droit des individus à comprendre comment leurs données sont utilisées par les algorithmes.
Comment le consentement aux cookies a-t-il évolué ?
Le paysage du consentement aux cookies a considérablement évolué en 2026. La CNIL et ses homologues européens ont durci leurs exigences :
Le refus doit être aussi simple que l’acceptation. Les interfaces qui proposent un gros bouton “Tout accepter” et un petit lien “Gérer les préférences” sont désormais considérées comme non conformes. Les bannières doivent présenter les options de refus et d’acceptation de manière équivalente.
Les cookie walls (interdire l’accès au contenu sans accepter les cookies) sont très encadrés. Ces règles s’appliquent aussi sur mobile : si vous cherchez un smartphone respectueux de vos droits, consultez ce guide pour choisir un smartphone en 2026. La CNIL a précisé qu’un cookie wall n’est acceptable que si une alternative réelle est proposée (par exemple, un abonnement payant à un prix raisonnable).
Le consentement par catégorie est devenu la norme. Les utilisateurs doivent pouvoir choisir précisément quels types de cookies ils acceptent : fonctionnels, analytiques, publicitaires, réseaux sociaux. Le consentement global (“tout ou rien”) n’est plus suffisant.
Protégez votre navigation — Extension gratuite
Quels sont les recours si une entreprise ne respecte pas mes droits RGPD ?
Vous disposez de plusieurs voies de recours en cas de non-respect de vos droits :
Le contact direct avec l’entreprise est la première étape. Adressez votre demande au Délégué à la Protection des Données (DPO) de l’organisme par email ou courrier. L’entreprise a un mois pour répondre (prolongeable de deux mois pour les demandes complexes).
La réclamation auprès de la CNIL est le recours le plus courant si l’entreprise ne répond pas ou refuse votre demande. Vous pouvez déposer une plainte en ligne sur le site de la CNIL (cnil.fr). La procédure est gratuite et la CNIL peut engager des poursuites contre l’organisme fautif.
L’action en justice est possible devant le tribunal judiciaire. Vous pouvez demander des dommages et intérêts si vous avez subi un préjudice du fait du non-respect du RGPD. Depuis 2020, les actions de groupe (class actions) sont possibles en France via des associations agréées comme NOYB ou La Quadrature du Net.
Le signalement transfrontalier : si l’entreprise est basée dans un autre pays de l’UE, la CNIL transmettra votre plainte à l’autorité compétente via le mécanisme de coopération européen.
La portabilité des données fonctionne-t-elle vraiment en pratique ?
Le droit à la portabilité est l’un des droits les moins utilisés du RGPD, principalement parce que son application pratique reste imparfaite. Voici l’état des lieux en 2026 :
Les grandes plateformes proposent désormais des outils d’export relativement fonctionnels. Google Takeout, le téléchargement des données Facebook/Instagram, et l’export Twitter/X permettent de récupérer ses données dans des formats standards (JSON, CSV, HTML). Le DMA a accéléré cette tendance en imposant l’interopérabilité aux gatekeepers.
Les formats restent hétérogènes. Même si vous pouvez exporter vos données de la plateforme A, les importer dans la plateforme B reste souvent compliqué. Il n’existe pas encore de standard universel pour la portabilité des données sociales, des playlists musicales ou des historiques d’achat.
Les délais de traitement se sont améliorés. La plupart des grandes entreprises traitent les demandes d’export en quelques heures à quelques jours, contre plusieurs semaines il y a quelques années.
En pratique, la portabilité fonctionne surtout pour les données structurées (contacts, emails, photos, fichiers) et reste difficile pour les données comportementales (recommandations, préférences algorithmiques).
Comment l’intelligence artificielle est-elle encadrée par rapport à mes données ?
L’entrée en application progressive de l’AI Act européen en 2025-2026 a créé un cadre spécifique pour l’utilisation des données personnelles par les systèmes d’IA :
Le droit à l’explication a été renforcé. Lorsqu’une décision automatisée vous affecte (refus de crédit, modération de contenu, score de risque), vous avez le droit de demander une explication compréhensible du raisonnement de l’algorithme. L’entreprise doit être capable de vous fournir les principaux critères qui ont conduit à la décision.
Le consentement pour l’entraînement est devenu un sujet majeur. Les entreprises qui utilisent vos données pour entraîner des modèles d’IA doivent désormais vous en informer clairement et vous offrir un droit d’opposition effectif. Plusieurs grandes entreprises tech ont été sanctionnées pour avoir entraîné leurs IA sur des données personnelles sans consentement adéquat.
La transparence algorithmique s’impose progressivement. Les plateformes de recommandation (réseaux sociaux, streaming, e-commerce) doivent expliquer les paramètres principaux de leurs algorithmes et offrir la possibilité de désactiver la personnalisation.
L’interdiction de certaines pratiques est désormais effective. L’AI Act interdit notamment la reconnaissance faciale en temps réel dans l’espace public (sauf exceptions très encadrées), le scoring social à la chinoise, et la manipulation subliminale via l’IA.
Quels conseils pratiques pour exercer ses droits au quotidien ?
Voici les bonnes pratiques à adopter pour faire valoir vos droits RGPD au quotidien :
Utilisez les outils de gestion de la vie privée intégrés aux navigateurs. Firefox, Brave et Safari intègrent des protections contre le pistage. Combinez-les avec une extension de blocage des traqueurs pour une protection renforcée. Notre guide complet pour protéger votre vie privée sur internet détaille toutes les mesures à adopter.
Lisez les politiques de confidentialité de manière ciblée. Concentrez-vous sur trois sections : quelles données sont collectées, à qui elles sont partagées, et comment exercer vos droits. Ignorez le reste du jargon juridique.
Faites un audit régulier de vos comptes. Tous les six mois, passez en revue les applications et services auxquels vous avez accordé des permissions. Révoquez l’accès de ceux que vous n’utilisez plus.
Conservez une trace de vos demandes. Lorsque vous exercez un droit RGPD, faites-le par écrit (email ou formulaire en ligne) et conservez une copie. En cas de litige, cette preuve sera indispensable. Pensez aussi à supprimer vos traces numériques régulièrement pour limiter les données exploitables.
Signalez les violations. Si une entreprise ne respecte pas vos droits ou si vous constatez une pratique douteuse, signalez-la à la CNIL. Chaque signalement contribue à faire respecter le règlement pour tous.