Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 23 avril 2026
Accueil/RGPD/Article 5 RGPD : les 7 principes à connaître
RGPD

Article 5 RGPD : les 7 principes à connaître

Article 5 du RGPD : les 7 principes fondamentaux du traitement expliqués, illustrés et accompagnés d'exemples concrets de sanctions CNIL.

Par Thiebaut DevergrannePublie le 22 avril 2026Mis a jour le 22 avril 202614 min de lecture
Sommaire
  1. Ce que dit l’article 5 du RGPD
  2. Principe 1 : licéité, loyauté et transparence (Art. 5(1)(a))
  3. Principe 2 : limitation des finalités (Art. 5(1)(b))
  4. Principe 3 : minimisation des données (Art. 5(1)©)
  5. Principe 4 : exactitude (Art. 5(1)(d))
  6. Principe 5 : limitation de la conservation (Art. 5(1)(e))
  7. Principe 6 : intégrité et confidentialité (Art. 5(1)(f))
  8. Principe 7 : accountability (Art. 5(2))
  9. Comment appliquer l’article 5 en pratique
  10. Sanctions et jurisprudence sur l’article 5
  11. Ce qu’il faut retenir
  12. FAQ

L’Art. 5 du RGPD tient en moins d’une page, mais il condense toute la philosophie du règlement. Dans la quasi-totalité des délibérations de sanction rendues par la CNIL depuis 2018, au moins un manquement à l’Art. 5 est relevé. Quand je forme des DPO ou que j’audite une entreprise, je commence toujours par cet article : si les sept principes qu’il porte ne sont pas compris, aucune mise en conformité durable n’est possible.

Ce que dit l’article 5 du RGPD

L’Art. 5(1) énumère six principes que tout traitement de données à caractère personnel doit respecter : licéité-loyauté-transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation et intégrité-confidentialité. L’Art. 5(2) ajoute un septième principe, transversal : l’accountability — la responsabilité de démontrer le respect des six autres.

Cette architecture n’est pas décorative. Chaque autre disposition du RGPD — consentement, droits des personnes, base légale, sécurité, registre — découle directement d’un de ces principes. Comprendre l’Art. 5, c’est posséder la clé de lecture du texte entier.

Les sanctions prévues sont les plus lourdes du règlement : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)(a)). C’est le même plafond que pour une violation de base légale ou de transfert international. Le législateur européen a placé ces principes au sommet de la hiérarchie des obligations.

Principe 1 : licéité, loyauté et transparence (Art. 5(1)(a))

Un traitement doit être « licite, loyal et transparent au regard de la personne concernée ». Trois exigences distinctes mais indissociables.

La licéité renvoie à l’Art. 6 : tout traitement doit reposer sur l’une des six bases légales limitativement énumérées — consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime. Pas de base légale valable, pas de traitement. En 2023, la CNIL a sanctionné Criteo à hauteur de 40 millions d’euros (délibération SAN-2023-009) pour avoir traité des données sans consentement valable — un manquement à la licéité au sens strict.

La loyauté est moins connue mais tout aussi redoutable. Elle impose que le traitement corresponde à ce que la personne peut raisonnablement attendre. Collecter des données sous prétexte d’un jeu-concours pour les revendre à des partenaires marketing non identifiés, c’est un traitement déloyal même si une case pré-cochée laisse penser qu’un consentement a été donné. La CJUE a rappelé cette exigence dans l’arrêt Meta Platforms du 4 juillet 2023 (C-252/21).

La transparence est opérationnalisée par les Art. 12, 13 et 14 : information claire, accessible, en langage simple. Dans mon expérience, c’est souvent par là que commence la défaillance — une politique de confidentialité illisible de quinze pages ne satisfait pas à l’exigence de transparence, et la CNIL en tient compte dès qu’elle examine un dossier.

Principe 2 : limitation des finalités (Art. 5(1)(b))

Les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».

Ce principe pose deux règles. D’abord, la finalité doit être définie avant la collecte, pas après. Collecter des données « au cas où elles serviraient plus tard » est une pratique courante mais illégale. La finalité doit être explicite, c’est-à-dire non seulement déterminée dans l’esprit du responsable mais expressément formulée dans la documentation du traitement et dans l’information donnée à la personne.

Ensuite, le changement de finalité est encadré. Si vous avez collecté l’adresse email de vos clients pour leur livrer vos produits, vous ne pouvez pas l’utiliser pour du marketing ciblé sans repasser par une base légale — généralement un consentement distinct (Art. 6(4)). La CNIL a sanctionné plusieurs acteurs sur ce fondement, notamment dans le secteur de la prospection commerciale.

La notion de « compatibilité » des finalités ultérieures s’apprécie au regard de cinq critères définis par l’Art. 6(4) : lien avec la finalité initiale, contexte de la collecte, nature des données, conséquences pour la personne, existence de garanties appropriées. Dans la pratique, je recommande d’appliquer un réflexe simple : si le nouvel usage n’était pas prévisible pour la personne au moment où elle a confié ses données, il faut une nouvelle base légale.

Principe 3 : minimisation des données (Art. 5(1)©)

Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités ». C’est le principe de minimisation, probablement le plus puissant du règlement en pratique.

La minimisation fonctionne comme un filtre binaire : chaque donnée collectée doit pouvoir être justifiée par une nécessité démontrable au regard de la finalité. Si vous pouvez atteindre la finalité sans cette donnée, vous n’avez pas le droit de la collecter. C’est exactement l’inverse du réflexe commercial qui consiste à collecter « un maximum de données au cas où ».

Dans les audits que je conduis, la minimisation est le premier levier d’économie juridique et opérationnelle. Un formulaire de contact qui demande civilité, téléphone, profession et date de naissance pour répondre à une demande de devis viole presque systématiquement ce principe. La CNIL l’a rappelé dans son référentiel sur la gestion commerciale et dans de nombreuses délibérations.

Le principe de minimisation s’articule avec celui de privacy by design inscrit à l’Art. 25. Concevoir un système qui collecte moins de données par défaut, c’est appliquer l’Art. 5(1)© dès l’architecture — la meilleure protection contre un manquement ultérieur.

Principe 4 : exactitude (Art. 5(1)(d))

Les données doivent être « exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes soient effacées ou rectifiées sans tarder ».

Ce principe paraît trivial mais il produit des contentieux lourds. Il fonde directement le droit de rectification (Art. 16), mais il crée aussi une obligation active de vérification et de mise à jour pour le responsable de traitement. Une base de données de prospection contenant 40 % d’adresses périmées n’est pas seulement inefficace : elle est juridiquement non conforme.

L’exactitude est particulièrement sensible dans trois contextes. Dans le recrutement, une donnée erronée peut conduire à une discrimination ; c’est pourquoi la CNIL, dans son guide RH, impose la vérification des données issues de sources tierces. Dans les décisions automatisées (Art. 22), une donnée inexacte peut générer une décision défavorable injustifiée — refus de crédit, blacklisting assurantiel. Dans la gestion RH, les données d’évaluation doivent refléter la situation réelle du salarié et non des éléments périmés.

En pratique, appliquer ce principe suppose de documenter qui met à jour quelles données, à quelle fréquence, et selon quelle procédure. C’est typiquement un champ du registre des activités de traitement.

Principe 5 : limitation de la conservation (Art. 5(1)(e))

Les données doivent être « conservées sous une forme permettant l’identification des personnes pendant une durée n’excédant pas celle nécessaire au regard des finalités ».

La durée de conservation est l’un des points de contrôle favoris de la CNIL. L’argument « on garde tout au cas où » n’est jamais recevable. Chaque traitement doit avoir une durée de conservation déterminée, justifiée par la finalité ou par une obligation légale — la prescription commerciale (5 ans), la prescription comptable (10 ans), le délai de recours prud’homal (5 ans), etc.

La distinction entre trois périodes successives est fondamentale :

La base active correspond à la durée pendant laquelle la donnée est utilisée pour la finalité principale (par exemple, la durée de la relation contractuelle pour un client).

L’archivage intermédiaire prolonge la conservation pour répondre à une finalité secondaire (contentieux, preuve, obligation de conservation spécifique). Les données sont alors placées en accès restreint.

L’archivage définitif est réservé aux archives publiques à valeur historique, scientifique ou statistique — cas marginal pour une entreprise privée.

Au-delà de la dernière durée applicable, les données doivent être supprimées ou anonymisées. L’anonymisation au sens du RGPD est exigeante : une simple pseudonymisation ne suffit pas, car elle permet encore la réidentification.

La CNIL sanctionne régulièrement les entreprises qui conservent des données au-delà de leur utilité — par exemple 32 millions d’euros contre Amazon France Logistique en 2023 (SAN-2023-021), partiellement pour conservation excessive de données salariés de géolocalisation.

Principe 6 : intégrité et confidentialité (Art. 5(1)(f))

Les données doivent être traitées « de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle ».

C’est le principe général qui fonde l’Art. 32 du RGPD sur la sécurité du traitement. Il impose au responsable de traitement une obligation de moyens renforcée : adopter des mesures techniques et organisationnelles appropriées au risque.

« Appropriées » est l’adjectif-clé. Il n’existe pas de liste universelle de mesures obligatoires — les exigences varient selon le volume, la nature des données (donnée ordinaire vs donnée sensible), le niveau de risque pour les personnes et l’état de l’art. Le chiffrement, la pseudonymisation, le contrôle d’accès et la journalisation sont explicitement cités par l’Art. 32(1) comme exemples.

Ayant travaillé 6 ans à la DCSSI (devenue ANSSI), je constate que la majorité des incidents sanctionnés par la CNIL sont dus à des manquements élémentaires et non à des attaques sophistiquées : comptes génériques partagés, absence d’authentification forte, sauvegardes non chiffrées, mots de passe en clair dans une base de données. L’Art. 5(1)(f) impose précisément d’éviter ces défaillances basiques.

Principe 7 : accountability (Art. 5(2))

« Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté. »

L’accountability — parfois traduit par « responsabilité » — est le septième principe, de nature différente : il ne décrit pas un attribut du traitement mais une obligation de démonstration. Il s’agit du pivot du RGPD par rapport à l’ancienne loi Informatique et Libertés. Avant 2018, c’était à la CNIL de prouver un manquement. Depuis le RGPD, c’est au responsable de traitement de démontrer sa conformité.

Cette inversion de la charge probatoire emporte trois conséquences pratiques.

D’abord, documenter devient juridique. Le registre des traitements, les analyses d’impact (AIPD), les procédures internes ne sont pas des formalités administratives : ce sont des preuves. En cas de contrôle, la CNIL demande la documentation. Son absence ou sa faiblesse conduit quasi-automatiquement à un constat de manquement à l’Art. 5(2).

Ensuite, la gouvernance doit être visible. Désignation d’un DPO documentée, politiques internes signées, formations tracées, choix des sous-traitants justifiés par contrat Art. 28. La conformité ne peut pas être tacite.

Enfin, la preuve se construit en continu. Une documentation figée en 2018 et jamais mise à jour est plus préjudiciable qu’une documentation absente : elle révèle une gouvernance défaillante. L’accountability impose une dynamique permanente de revue, d’audit et de mise à jour.

Dans les dossiers que je traite, l’accountability est ce qui distingue les entreprises capables d’absorber un contrôle CNIL sans casse de celles qui s’y exposent. C’est exactement le travail que Legiscope automatise — registre vivant, preuves horodatées, tableaux de bord de conformité prêts pour une demande d’autorité de contrôle.

Comment appliquer l’article 5 en pratique

L’Art. 5 n’est pas une obligation distincte à côté des autres — c’est le fil rouge qui traverse l’ensemble du RGPD. Chaque projet traitant des données personnelles doit être examiné au crible des sept principes. Je recommande de raisonner traitement par traitement, en vérifiant pour chacun :

La finalité est-elle clairement définie et explicitement communiquée ? La base légale est-elle valablement établie et documentée ? Les données collectées sont-elles strictement nécessaires ? L’information donnée à la personne est-elle claire et accessible ? La durée de conservation est-elle déterminée et respectée ? Les mesures de sécurité sont-elles proportionnées au risque ? La documentation permet-elle de démontrer à tout moment la conformité ?

Cette grille d’analyse — je la fais intégrer dans tous les registres que je conçois — transforme l’Art. 5 en outil opérationnel et non en déclaration de principe. C’est aussi la structure de base d’une AIPD bien conduite.

Sanctions et jurisprudence sur l’article 5

L’Art. 83(5)(a) place les manquements à l’Art. 5 dans la catégorie la plus sévère : amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Quelques décisions structurantes à connaître :

La CNIL a sanctionné Google à 50 millions d’euros en 2019 (SAN-2019-001) pour manque de transparence et défaut de base légale — manquement aux principes de licéité et de transparence. La sanction a été confirmée par le Conseil d’État.

La CNIL a sanctionné Clearview AI à 20 millions d’euros en 2022 (SAN-2022-019) pour collecte déloyale (aspiration massive de photos depuis le web public sans information des personnes) — manquement au principe de loyauté.

La CJUE a précisé dans son arrêt Meta Platforms du 4 juillet 2023 (C-252/21) que le principe de loyauté s’apprécie au regard des attentes raisonnables de l’utilisateur moyen, pas au regard d’une lecture experte des conditions générales.

Au-delà des amendes, il faut mesurer le risque réputationnel : ces décisions sont publiées, commentées, et servent de précédent à toutes les autorités de contrôle européennes via le mécanisme de coopération du chapitre VII du RGPD.

Ce qu’il faut retenir

  • L’Art. 5 RGPD énonce 7 principes : licéité-loyauté-transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité-confidentialité et accountability.
  • Les six premiers principes (Art. 5(1)) décrivent ce que doit être un traitement ; le septième (Art. 5(2)) impose de démontrer le respect des six premiers.
  • Les sanctions pour manquement à l’Art. 5 relèvent du plafond maximal : 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
  • L’accountability a inversé la charge de la preuve : documenter n’est plus optionnel, c’est juridiquement obligatoire.
  • La minimisation et la limitation de la conservation sont les deux principes les plus contrôlés par la CNIL lors de ses investigations ; ils doivent être systématiquement présents dans le registre des traitements.

FAQ

Combien y a-t-il de principes dans l’article 5 du RGPD ?

L’Art. 5 énumère 7 principes : six principes substantiels à l’Art. 5(1) (licéité-loyauté-transparence comptent pour un principe composé, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité-confidentialité) et un principe transversal à l’Art. 5(2) : l’accountability.

Quelle est la différence entre l’article 5 et l’article 6 du RGPD ?

L’Art. 5 pose les principes généraux applicables à tout traitement. L’Art. 6 concerne spécifiquement les bases légales — l’une des composantes du principe de licéité de l’Art. 5(1)(a). On peut respecter l’Art. 6 (base légale valable) et quand même violer l’Art. 5 (par exemple collecter trop de données ou les conserver trop longtemps).

Qu’est-ce que le principe d’accountability concrètement ?

L’accountability impose au responsable de traitement de démontrer à tout moment que son traitement respecte le RGPD. En pratique, cela implique de tenir un registre des traitements, de conduire des AIPD pour les traitements à risque, de formaliser ses politiques internes, de documenter les décisions prises et de conserver une piste d’audit. Sans documentation, la conformité est présumée inexistante.

Que se passe-t-il si mon entreprise viole un principe de l’article 5 ?

Les manquements à l’Art. 5 relèvent de l’échelon supérieur de sanctions (Art. 83(5)(a) RGPD) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, la somme la plus élevée étant retenue. S’y ajoutent les droits des personnes concernées (action indemnitaire au titre de l’Art. 82) et le risque réputationnel de la publication de la décision.

Comment prouver que mon entreprise respecte l’article 5 ?

La preuve se construit par la documentation : registre des traitements à jour, analyses d’impact, politiques internes signées, contrats de sous-traitance (Art. 28), procédures de gestion des droits des personnes, procédures de notification de violation, traces de formation des équipes, et revue régulière de ces éléments. C’est typiquement ce travail que les logiciels de conformité comme Legiscope automatisent.

Articles lies

RGPD

Article 7 RGPD : les 4 conditions du consentement

23 avril 2026 · 13 min
RGPD

RGPD et télétravail : obligations de l'employeur

22 avril 2026 · 13 min
RGPD

Microsoft Teams et RGPD : guide de conformité 2026

20 avril 2026 · 12 min