Article 1 RGPD : objet et objectifs du règlement

L’article 1 du RGPD passe pour une formalité d’ouverture. C’est une erreur. Il fixe le double objectif du règlement — protéger les personnes physiques et garantir la libre circulation des données — et impose au juge comme à l’autorité de contrôle un raisonnement d’équilibre que toute la jurisprudence ultérieure de la CJUE a consacré. Mal compris, il transforme le RGPD en cadre prohibitif. Bien manié, il fournit l’argument téléologique qui sécurise une décision de traitement, justifie un transfert ou défend un intérêt légitime. Dans mon expérience de conseil, c’est l’article que les avocats invoquent le plus tard et qui change le plus souvent l’issue d’un dossier.

Texte de l’article 1 et architecture

L’article 1 du RGPD compte trois paragraphes brefs mais structurants. Le paragraphe 1 énonce que le règlement « établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Le paragraphe 2 précise que le règlement « protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ». Le paragraphe 3 ferme le triptyque en posant que « la libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ».

Lue à plat, la disposition paraît déclarative. En réalité, ces trois alinéas dessinent le centre de gravité de tout le règlement. L’article 1 doit se lire en parallèle de l’article 2 RGPD sur le champ d’application matériel et de l’article 3 RGPD sur le champ d’application territorial : l’article 1 dit pourquoi, l’article 2 dit ce qui est régulé, l’article 3 dit où. Les trois forment le socle interprétatif de l’ensemble du texte.

Article 1(1) — la double finalité du règlement

Le paragraphe 1 fixe l’objet du règlement en deux temps. D’une part, des règles substantielles de protection des personnes physiques à l’égard du traitement de leurs données. D’autre part, des règles relatives à la libre circulation de ces mêmes données. Cette double finalité n’est pas une concession diplomatique : elle traduit la base juridique du règlement, l’article 16 TFUE, qui combine protection des données et marché intérieur.

La conséquence pratique est immédiate. Le RGPD n’est pas un règlement de prohibition. Le considérant 4 le rappelle expressément : « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité » et « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Toute décision de l’autorité de contrôle, du juge ou du responsable de traitement doit donc procéder à une mise en balance et non à un refus de principe.

C’est ce raisonnement que la CJUE C-507/17 Google (déréférencement mondial) du 24 septembre 2019 a appliqué pour limiter géographiquement l’effet du droit au déréférencement. C’est aussi ce raisonnement qu’a déployé la CJUE C-136/17 GC e.a. du 24 septembre 2019 en imposant un test de mise en balance entre la vie privée et le droit du public à l’information. La double finalité de l’article 1(1) sert donc directement de fondement au standard de proportionnalité que les autorités appliquent en aval.

Article 1(2) — la protection des droits fondamentaux

Le paragraphe 2 explicite la nature des intérêts protégés. Il ne s’agit pas seulement d’une protection technique des données, mais d’une protection des « libertés et droits fondamentaux des personnes physiques ». Le règlement consacre en particulier le droit à la protection des données à caractère personnel — un droit autonome consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne, distinct du droit au respect de la vie privée (article 7 de la Charte).

Cette autonomie a une portée concrète. La CJUE C-465/00 Österreichischer Rundfunk du 20 mai 2003 avait déjà reconnu que la collecte et la communication de données salariales nominatives constituaient une ingérence dans la vie privée au sens de l’article 8 de la CEDH. La CJUE C-92/09 Schecke et Eifert du 9 novembre 2010 a invalidé partiellement la publication des bénéficiaires d’aides agricoles pour violation des articles 7 et 8 de la Charte. La CJUE C-293/12 Digital Rights Ireland du 8 avril 2014 a invalidé la directive 2006/24/CE sur la conservation des données, jugée disproportionnée à l’aune de ces mêmes articles.

L’article 1(2) introduit donc dans le RGPD le standard de la Charte. Cette articulation est devenue le point d’ancrage de toute la jurisprudence Schrems : la CJUE C-362/14 Schrems I du 6 octobre 2015 et la CJUE C-311/18 Schrems II du 16 juillet 2020 ont invalidé successivement le Safe Harbor et le Privacy Shield au motif que le droit américain n’offrait pas une équivalence essentielle de protection des droits fondamentaux. C’est l’article 1(2) — relayé par les considérants 1, 2 et 4 — qui fournit la norme de référence pour ce contrôle d’équivalence. Toute la mécanique du chapitre V sur les transferts internationaux de données en découle directement.

Articulation Charte / CEDH / Constitution

Le standard de l’article 1(2) doit se lire en niveaux concentriques. Au cœur, le droit à la protection des données reconnu par l’article 8 de la Charte et le droit au respect de la vie privée reconnu par l’article 7 de la Charte. En périphérie, le droit au respect de la vie privée et familiale garanti par l’article 8 de la CEDH, dont la CJUE rappelle régulièrement qu’il constitue un standard minimal (article 52(3) de la Charte). En droit interne, la jurisprudence du Conseil constitutionnel rattache la protection des données à la liberté individuelle garantie par l’article 2 de la Déclaration de 1789 et reconnaît au droit à la vie privée une valeur constitutionnelle (Cons. const. n° 2012-652 DC du 22 mars 2012, n° 2018-765 DC du 12 juin 2018 sur la loi LIL).

Le responsable de traitement français doit donc, lorsqu’il invoque l’article 1, mobiliser ce système à trois étages : standard CEDH minimal, standard Charte applicable, standard constitutionnel additionnel le cas échéant. C’est ce que vérifient en pratique la CNIL dans ses sanctions et le Conseil d’État dans son contrôle juridictionnel.

Article 1(3) — la libre circulation intra-UE

Le paragraphe 3 contient l’une des innovations les plus structurantes du règlement par rapport à la directive 95/46/CE qu’il abroge : la libre circulation des données à caractère personnel au sein de l’Union ne peut être ni limitée ni interdite pour des motifs liés à la protection des données. La règle est de marché intérieur : un État membre ne peut imposer à un responsable établi dans un autre État membre des contraintes supplémentaires à celles du règlement, dès lors que ces contraintes auraient pour effet d’entraver le flux intra-UE des données.

La portée de cette disposition est triple. D’abord, elle interdit les exigences nationales de localisation des données au sein de l’UE — sous réserve des régimes sectoriels comme SecNumCloud pour les données les plus sensibles. Ensuite, elle interdit toute interprétation nationale de l’article 6 ou de l’article 9 qui aurait pour effet de bloquer un traitement licite dans un autre État membre. Enfin, elle fonde le mécanisme de guichet unique (one-stop-shop) prévu aux articles 56 et 60 à 65 du RGPD, qui désigne une autorité chef de file pour les traitements transfrontaliers.

La CJUE C-645/19 Facebook Ireland du 15 juin 2021 a précisé l’articulation entre la libre circulation et la compétence des autorités nationales : une autorité de contrôle non chef de file conserve un pouvoir d’action limité (notamment en cas d’urgence ou de violation locale flagrante), sans pouvoir remettre en cause le principe de libre circulation. Le règlement (UE) 2024/1689 (AI Act) intègre la même logique pour les systèmes d’IA, et le règlement (UE) 2018/1807 sur la libre circulation des données non personnelles prolonge ce principe pour les données non couvertes par le RGPD.

La valeur interprétative de l’article 1

L’article 1 n’a pas seulement une valeur déclarative. Il a une valeur d’interprétation que la CJUE applique systématiquement comme guide téléologique de l’ensemble du règlement.

La CJUE C-131/12 Google Spain du 13 mai 2014 avait déjà appliqué cette méthode sous la directive 95/46/CE en faisant prévaloir la finalité de protection des droits fondamentaux pour fonder le droit au déréférencement. La même méthode a été reconduite sous le RGPD, en particulier dans la CJUE C-460/20 TU et RE du 8 décembre 2022 sur la précision exigée pour qu’une demande de déréférencement soit recevable.

Plus récemment, la CJUE C-252/21 Meta Platforms du 4 juillet 2023 a fait expressément référence à l’article 1 et à la double finalité du règlement pour articuler le RGPD avec le droit de la concurrence : une autorité de concurrence peut, dans le cadre d’un abus de position dominante, examiner la conformité d’un traitement de données au RGPD. La CJUE C-634/21 SCHUFA du 7 décembre 2023 a rappelé que l’interprétation des bases légales de l’article 6 doit s’opérer « à la lumière des objectifs poursuivis par le règlement », et la CJUE C-340/21 NAP du 14 décembre 2023 a fondé sur la finalité protectrice de l’article 1 le renversement de la charge de la preuve sécurité au titre de l’article 32 RGPD.

Dans la pratique, l’article 1 est donc l’argument interprétatif que mobilise toute argumentation de conformité dès lors qu’elle vise à justifier un équilibre — accès, déréférencement, intérêt légitime, transfert, conservation. C’est l’angle d’attaque que les meilleurs juristes utilisent en premier, et non en dernier, dans leurs mémoires.

Articulation avec les considérants 1 à 13

Le contenu opérationnel de l’article 1 est éclairé par les premiers considérants du règlement. Le considérant 1 rappelle que la protection des données est un droit fondamental consacré par l’article 8 de la Charte. Le considérant 2 énonce que les principes et règles « devraient pleinement respecter les libertés et droits fondamentaux ». Le considérant 4, cité plus haut, pose le caractère relatif du droit et l’exigence de mise en balance. Les considérants 6 à 9 justifient la nécessité d’un règlement directement applicable. Le considérant 10 justifie le degré d’harmonisation. Le considérant 13 explique pourquoi un règlement plutôt qu’une directive a été choisi.

Cette grappe de considérants doit être citée en argumentation juridique aux côtés de l’article 1. La CNIL le fait elle-même dans ses délibérations (par exemple CNIL SAN-2024-001 Hubside.Store du 4 avril 2024, 525 000 €) et dans ses guides. C’est ce que rappelle l’article 24 sur l’accountability : le responsable doit pouvoir démontrer la prise en compte des finalités du règlement et non seulement le respect formel de ses obligations.

Place de l’article 1 dans l’architecture du RGPD

L’article 1 ouvre le chapitre I « Dispositions générales » qui comprend également l’article 2 sur le champ d’application matériel, l’article 3 sur le champ d’application territorial et l’article 4 sur les définitions. Les quatre dispositions forment le bloc d’entrée du règlement et conditionnent l’application de tout le reste.

L’articulation interne est précise. L’article 1 fixe la finalité et la méthode d’interprétation. L’article 2 trace le périmètre matériel. L’article 3 trace le périmètre territorial. L’article 4 fournit les définitions communes. Toute analyse de conformité doit commencer par traverser ces quatre articles dans l’ordre. Sauter cette étape — comme on le voit dans la majorité des registres mal tenus — conduit à des qualifications erronées en aval.

Plan opérationnel — six chantiers pour maîtriser l’article 1

Chantier 1 — mise en balance documentée. Chaque fois qu’une décision implique une restriction des droits des personnes ou une activité à risque, documenter la mise en balance avec la finalité protectrice de l’article 1(2). C’est l’argument téléologique attendu par la CNIL et le juge.

Chantier 2 — argumentation Charte. Lorsqu’une analyse RGPD se complique, mobiliser explicitement la Charte (articles 7 et 8) et la CEDH (article 8) pour situer le niveau de protection. C’est ce que fait la CJUE et c’est l’angle qui résiste le mieux en contentieux.

Chantier 3 — libre circulation et localisation. Vérifier qu’aucune politique interne ne contrevient à l’article 1(3) en imposant de facto une localisation intra-UE sans base juridique sectorielle (SecNumCloud, données de santé, données sensibles ministérielles).

Chantier 4 — interaction avec l’autorité chef de file. Pour les traitements transfrontaliers, formaliser la qualification de l’établissement principal au sens de l’article 4(16) et activer le mécanisme du guichet unique. C’est une conséquence directe de la libre circulation posée par l’article 1(3).

Chantier 5 — interprétation téléologique en argumentation. Construire les mémoires de défense (et les positions auprès de la CNIL) à partir de l’article 1, et non à partir des seuls articles 5, 6 ou 32. L’argument finaliste pondère systématiquement les analyses littérales.

Chantier 6 — articulation avec les régulations sectorielles. Le RGPD ne s’applique pas seul. Il cohabite avec l’AI Act, le Data Act, le DSA, ePrivacy, NIS2, DORA, et avec les régulations nationales. La double finalité de l’article 1 fournit la grille de lecture pour articuler ces cadres sans contradiction.

Ce qu’il faut retenir

• L’article 1 RGPD pose une double finalité : protection des libertés et droits fondamentaux des personnes physiques et libre circulation des données à caractère personnel au sein de l’Union.
• Le droit à la protection des données n’est pas un droit absolu (considérant 4) : toute analyse de conformité passe par une mise en balance avec d’autres droits et intérêts légitimes.
• L’article 1(2) intègre la Charte des droits fondamentaux (articles 7 et 8) comme standard de référence et constitue le point d’ancrage de toute la jurisprudence Schrems sur les transferts.
• L’article 1(3) interdit les restrictions intra-UE et fonde le mécanisme du guichet unique des articles 56 et 60-65.
• L’article 1 est un guide d’interprétation téléologique utilisé par la CJUE (C-131/12 Google Spain, C-460/20 TU et RE, C-252/21 Meta Platforms, C-634/21 SCHUFA, C-340/21 NAP) — un argument à mobiliser tôt et non tard dans toute argumentation juridique.

FAQ

À quoi sert concrètement l’article 1 du RGPD si les obligations sont définies dans les articles suivants ?

L’article 1 fixe l’objet du règlement et fournit la clé d’interprétation téléologique. Lorsqu’une obligation est ambiguë ou lorsqu’une mise en balance s’impose (intérêt légitime, déréférencement, transfert, conservation), la CJUE et la CNIL renvoient systématiquement à la double finalité de l’article 1 pour trancher. C’est l’argument qui pondère toutes les analyses littérales en aval.

L’article 1(3) interdit-il toute exigence de localisation des données ?

Non, mais il interdit qu’une telle exigence soit fondée sur des motifs de protection des données. La localisation reste possible sur des bases juridiques sectorielles : qualification SecNumCloud de l’ANSSI pour les données les plus sensibles, hébergement de données de santé (HDS) en France, contraintes de sécurité nationale. Hors de ces cas, imposer une localisation intra-UE pour un traitement courant heurte l’article 1(3).

Pourquoi le RGPD invoque-t-il la Charte des droits fondamentaux et non la CEDH ?

Parce que le règlement est un acte du droit de l’Union et que son standard de référence est l’article 8 de la Charte, qui consacre un droit autonome à la protection des données. La CEDH, via son article 8, fournit un standard minimum (article 52(3) de la Charte) mais le niveau de protection de l’Union peut être plus élevé. C’est cette articulation que la CJUE a précisée dans Schrems I (C-362/14) et Schrems II (C-311/18).

Un responsable peut-il invoquer l’article 1 pour s’opposer à une sanction CNIL ?

L’article 1 n’est pas une cause d’exonération autonome. En revanche, il fournit un argument téléologique majeur lorsqu’il s’agit de contester une lecture trop restrictive d’une obligation par la CNIL. Le Conseil d’État, dans son contrôle des sanctions, vérifie la proportionnalité au regard des finalités du règlement. Mobiliser l’article 1 et le considérant 4 dans le mémoire en défense est donc une bonne pratique constante.

L’article 1 a-t-il changé depuis l’entrée en vigueur du RGPD en 2018 ?

Non, le texte n’a fait l’objet d’aucune modification depuis l’entrée en vigueur du règlement le 25 mai 2018. Mais son interprétation s’est considérablement enrichie. La CJUE a précisé la portée de la double finalité dans une vingtaine d’arrêts structurants depuis 2018 — notamment Schrems II, La Quadrature du Net, Meta Platforms, SCHUFA, NAP. Le texte est stable, sa jurisprudence ne l’est pas.

---

Vous souhaitez maîtriser l’interprétation téléologique du RGPD et sécuriser vos analyses de conformité ? Inscrivez-vous à la newsletter de donneespersonnelles.fr pour recevoir chaque semaine décryptages d’actualité, jurisprudence commentée et guides pratiques rédigés par Thiébaut Devergranne, docteur en droit privé et fondateur de Legiscope.