RGPD en 2025 : six ans après, où en est-on vraiment ?

par · 3 mai 2025

Entré en application en mai 2018, le Règlement Général sur la Protection des Données (RGPD) fête ses 7 ans. Présenté comme une révolution à son lancement, il est aujourd’hui une évidence juridique… mais pas toujours une réalité opérationnelle. Que reste-t-il du RGPD en 2025 ? Et surtout : à quoi sert-il encore ?

1. Un cadre juridique désormais solide (et copié dans le monde entier)

Depuis 2018, le RGPD a servi de modèle pour de nombreuses législations :

• Le Brésill’Indele Canada ou encore certains États américains ont élaboré des lois très similaires.

• En Europe, il reste le socle incontesté pour toutes les questions liées à la donnée personnelle.

• Les jurisprudences de la CJUE ont consolidé son interprétation, en précisant des points flous (comme la notion d’intérêt légitime ou le rôle du DPO).

En 2025, le RGPD n’est plus un texte nouveau. Il est stable, connu des professionnels… et de plus en plus reconnu par les utilisateurs eux-mêmes.

2. Une application toujours à deux vitesses

Si le texte est clair, son application reste contrastée :

• Les grands groupes internationaux ont intégré le RGPD dans leurs process. Cela fait partie de leur conformité globale.

• Les TPE et PME, en revanche, restent à la peine. Beaucoup confondent encore conformité et pose de bannière cookies.

• Les startups adoptent une stratégie d’“attente-tolérance” : elles avancent, puis régularisent si besoin, souvent à la suite d’une levée de fonds ou d’un audit client.

Résultat : sur le papier, tout le monde est au courant. Dans les faits, peu de structures sont pleinement conformes.

3. Les cookies : toujours le sujet qui fâche

C’est l’aspect le plus visible (et souvent le plus mal compris) du RGPD : la gestion des cookies et traceurs.

• En 2025, les bandeaux cookies sont toujours omniprésents, mais pas nécessairement conformes.

• Beaucoup de sites continuent de forcer le consentement ou de rendre le refus plus difficile que l’acceptation (ce qui est illégal).

• Le recours aux CMP (Consent Management Platforms) s’est professionnalisé, mais peu sont réellement audités par les éditeurs.

En somme : le grand public voit du RGPD partout, mais ce qu’il voit est souvent la partie la moins bien faite.

4. Ce que le RGPD a réellement changé

Malgré ses imperfections, le RGPD a profondément transformé l’écosystème numérique :

• Les entreprises documentent beaucoup plus leurs traitements de données.

• Le droit d’accès et le droit à l’effacement sont pris au sérieux dans la majorité des grandes entreprises.

• La notion de données minimales est mieux intégrée dans les projets tech.

Il a aussi eu un effet culturel : on ne peut plus parler de “base de données client” sans évoquer ses obligations. La donnée n’est plus un objet neutre.

5. Ce qui reste compliqué (et le sera toujours)

Certains aspects du RGPD posent encore, en 2025, de réelles difficultés pratiques :

• Le registre des traitements est trop complexe pour les petites structures. Il est souvent bâclé ou ignoré.

• L’analyse d’impact (PIA) est peu maîtrisée, sauf dans les grandes entreprises ou les organismes publics.

• La gestion des sous-traitants reste floue : peu de contrats précisent les rôles et responsabilités réelles.

Enfin, certains termes comme “intérêt légitime” ou “consentement explicite” donnent lieu à des interprétations divergentes, même entre juristes.

6. Les sanctions : un levier encore timide, mais réel

• Depuis 2018, la CNIL a infligé des centaines de sanctions, parfois très médiatisées (Google, Amazon, Clearview).

• Mais en 2025, ce sont surtout des sanctions locales qui progressent : mairies, petites entreprises, associations.

• Le rôle de l’EDPB (le comité européen de la protection des données) s’est renforcé, avec plus de coordination entre les autorités nationales.

La peur du gendarme joue, mais c’est surtout la réputation qui pousse les entreprises à se conformer.

7. Ce que le RGPD a permis (au-delà des données)

Le RGPD a généré des effets indirects notables :

• Une professionnalisation des métiers autour de la conformité : DPO, consultants RGPD, juristes data.

• L’amélioration de la qualité des données : collecter moins, mais mieux.

• Une prise de conscience globale sur le pouvoir de la donnée personnelle.

Il a aussi influencé la conception logicielle : anonymisation, pseudonymisation, gestion granulaire des droits sont désormais intégrées dès la conception (privacy by design).

8. Les limites du RGPD : ce qu’il ne peut pas faire

Malgré sa portée, le RGPD ne peut pas tout régler :

• Il ne freine pas réellement les grands modèles de surveillance économique (ex : GAFAM, data brokers).

• Il peine à encadrer les usages émergents de l’intelligence artificielle, sauf à la marge.

• Il est souvent invisible pour l’utilisateur final : l’impact concret est difficile à percevoir sans litige ou demande.

Le RGPD n’est pas une baguette magique. Il encadre, mais il ne réinvente pas l’économie numérique.

9. Les tendances en 2025 : vers un RGPD 2.0 ?

• L’Union Européenne prépare des ajustements, pour clarifier certains points ou mieux encadrer l’IA (en lien avec l’AI Act).

• Le RGPD est désormais lié à d’autres réglementations : DSA (Digital Services Act), DMA (Digital Markets Act), etc.

• On observe une montée des actions collectives en matière de données, notamment via des associations ou plateformes citoyennes.

L’avenir n’est pas à un nouveau texte, mais à une meilleure articulation entre les textes existants.

Ce que ça veut dire pour vous (vraiment)

• Si vous êtes utilisateur : vous êtes mieux protégé qu’avant, mais cela suppose que vous exerciez vos droits. Le RGPD n’est pas automatique.

• Si vous êtes responsable de site web : une conformité de façade ne suffit plus. Mieux vaut faire simple, mais propre.

• Si vous êtes une PME : documentez l’essentiel, externalisez ce que vous ne maîtrisez pas, ne vous cachez pas derrière la complexité.

• Si vous êtes un acteur public ou associatif : vous êtes de plus en plus visés par des contrôles. Ne négligez pas la mise à jour de vos documents.

Le RGPD est un marathon, pas un sprint.

Conclusion : une loi qui a tenu bon, mais qui doit encore prouver son utilité sociale

En 2025, le RGPD n’est ni une révolution ratée, ni une réussite éclatante. C’est un cadre juridique solide, qui a posé des principes utiles, mais dont l’application concrète reste laborieuse.

Il a professionnalisé l’approche des données, modifié la culture du numérique, et posé des limites. Mais son efficacité dépend encore trop du contexte, de la bonne volonté des acteurs et du rapport de force entre utilisateurs et plateformes.

Pour les années à venir, l’enjeu ne sera pas d’ajouter des couches réglementaires, mais de renforcer les capacités de contrôle, d’éducation et de mise en œuvre concrète.

En somme : il ne manque plus au RGPD que ce que toute bonne loi demande pour être utile : du courage, du temps, et des moyens.

Un doute sur la conformité de votre site ou de votre collecte ? Ce n’est pas une option : c’est une responsabilité. Mais ce n’est pas non plus une fatalité. Faites simple, faites clair.

Si cet article "RGPD en 2025 : six ans après, où en est-on vraiment ?" vous a aidé, si vous avez des questions ou des améliorations à proposer, n'hésitez pas à me laisser un commentaire en bas de page !
Charlie Stram,
Développeur web freelance

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *