Article 99 RGPD : entrée en vigueur et application
Article 99 RGPD : entré en vigueur le 24 mai 2016, applicable depuis le 25 mai 2018. Pourquoi deux dates, et ce que la période transitoire change.
- Ce que dit l’article 99 du RGPD
- Deux dates, pas une : entrée en vigueur le 24 mai 2016
- Application au 25 mai 2018 : la vraie date qui vous concerne
- Le considérant 171 : le sort des traitements déjà en cours
- « Directement applicable » : la différence avec une directive
- Conséquences pratiques de la date d’application
- Ce qu’il faut retenir
- FAQ
On vous demande souvent « depuis quand le RGPD s’applique-t-il ? », et la réponse spontanée — 25 mai 2018 — est à la fois juste et incomplète. Le règlement comporte en réalité deux dates, séparées de deux ans, et confondre les deux peut vous coûter cher : sur une prescription qui court, sur la date à laquelle un traitement aurait dû être conforme, ou sur la portée d’une clause contractuelle. Tout cela se joue dans le dernier article du texte, l’article 99, que personne ne lit et qui règle pourtant la question la plus pratique de toutes : à partir de quand ?
Ce que dit l’article 99 du RGPD
L’Art. 99 RGPD s’intitule « Entrée en vigueur et application » et clôt le règlement en deux paragraphes :
« 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
- Il est applicable à partir du 25 mai 2018.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre. »
Trois informations s’y trouvent, et chacune a des conséquences concrètes : une date d’entrée en vigueur, une date d’application, et le rappel de l’effet direct du règlement.
Deux dates, pas une : entrée en vigueur le 24 mai 2016
Le RGPD (règlement (UE) 2016/679) a été publié au Journal officiel de l’Union européenne le 4 mai 2016. En application de l’Art. 99(1), il est entré en vigueur le vingtième jour suivant, soit le 24 mai 2016.
Entrer en vigueur ne signifie pas « s’appliquer aux entreprises ». À partir du 24 mai 2016, le texte existe, il est définitif, il ne peut plus être modifié par le processus législatif ordinaire — mais ses obligations ne sont pas encore exigibles des responsables de traitement. Cette date marque le point de départ d’une période transitoire de deux ans. C’est aussi à compter d’elle que se calculent certains délais internes au règlement : par exemple, les clauses de gel des règles préexistantes dans certains régimes spéciaux se réfèrent au droit en vigueur « au 24 mai 2016 ».
Application au 25 mai 2018 : la vraie date qui vous concerne
L’Art. 99(2) fixe l’applicabilité au 25 mai 2018. C’est la date qui compte pour les organisations : depuis ce jour, tous les traitements de données personnelles doivent respecter le RGPD, et la CNIL comme les autres autorités de contrôle peuvent sanctionner les manquements.
Pourquoi deux ans d’écart ? Parce que le législateur européen a voulu laisser aux États, aux autorités de contrôle et aux entreprises le temps de se préparer : adopter les textes nationaux d’adaptation, réorganiser les autorités, désigner les délégués à la protection des données, constituer les registres, revoir les contrats de sous-traitance. Ce délai n’était pas une faveur mais une nécessité opérationnelle, vu l’ampleur du changement par rapport à la directive de 1995.
Une précision qui surprend encore beaucoup de praticiens : il n’y a pas eu de période de tolérance après le 25 mai 2018. Contrairement à une idée répandue, le règlement n’accordait pas deux ans supplémentaires « de grâce » à compter de l’application. Le délai de mise en conformité était la période 2016-2018. À partir du 25 mai 2018, un traitement non conforme était sanctionnable, point. La confusion vient souvent du considérant 171, qui organise un autre mécanisme.
Le considérant 171 : le sort des traitements déjà en cours
Le considérant 171 précise que les traitements déjà engagés à la date d’application devaient être mis en conformité dans un délai de deux ans après l’entrée en vigueur — c’est-à-dire, là encore, pour le 25 mai 2018. Il ajoute une règle utile : lorsqu’un traitement reposait sur un consentement recueilli sous l’empire de la directive 95/46/CE, il n’est pas nécessaire de redemander le consentement si la manière dont il a été donné est conforme aux conditions du RGPD. Inutile, donc, de relancer toute sa base de contacts si le consentement initial était déjà libre, spécifique, éclairé et univoque.
Ce point se combine directement avec l’article 94 du RGPD, qui abroge la directive 95/46/CE tout en organisant la continuité des références juridiques. L’un dit quand l’ancien droit disparaît, l’autre comment la transition s’opère sans tout réécrire.
« Directement applicable » : la différence avec une directive
La dernière phrase de l’Art. 99 — « obligatoire dans tous ses éléments et directement applicable dans tout État membre » — n’est pas une formule de style. Elle traduit la nature même du règlement par opposition à la directive qu’il remplace.
Une directive, comme l’ancienne directive 95/46/CE, devait être transposée en droit national pour produire ses effets : chaque État votait sa propre loi, d’où des divergences importantes d’un pays à l’autre. Un règlement, lui, s’applique tel quel, sans transposition, dans les 27 États membres. C’est ce qui explique l’objectif d’harmonisation du RGPD, et c’est pourquoi vos obligations sont en principe les mêmes que votre établissement soit à Paris, à Berlin ou à Lisbonne.
Ce caractère directement applicable n’a pas pour autant supprimé toute intervention nationale. Le règlement laisse une cinquantaine de « marges de manœuvre » aux États (âge du consentement des mineurs, données de santé, données génétiques, etc.). En France, ces marges ont été intégrées par la loi n° 2018-493 du 20 juin 2018, puis par l’ordonnance n° 2018-1125 du 12 décembre 2018 qui a réécrit la loi Informatique et Libertés. Le RGPD et la LIL refondue se lisent donc ensemble : le règlement pose le socle, la loi nationale précise les options ouvertes.
Conséquences pratiques de la date d’application
Savoir distinguer le 24 mai 2016 du 25 mai 2018 n’est pas un exercice d’érudition. Cela a des effets très concrets :
- Calcul des prescriptions et de l’antériorité d’un manquement. Pour apprécier si un traitement était fautif, l’autorité de contrôle se place après le 25 mai 2018 ; un manquement antérieur relevait de l’ancienne loi de 1978 dans sa version d’alors.
- Datation des documents de conformité. Un registre des traitements ou une analyse d’impact daté d’avant mai 2018 n’est pas « faux », mais il appelle une relecture pour vérifier qu’il a bien été aligné sur le règlement.
- Clauses contractuelles renvoyant à une date. Un contrat qui mentionne « l’entrée en vigueur du RGPD » est ambigu : entend-il le 24 mai 2016 ou l’applicabilité du 25 mai 2018 ? Dans mon expérience de conseil, ce flou est source de litiges sur le point de départ d’obligations de mise en conformité entre un responsable de traitement et son prestataire.
- Pédagogie interne. Rappeler à vos équipes qu’il n’y a jamais eu de tolérance post-2018 évite l’illusion d’un sursis et justifie la priorité donnée aux chantiers de conformité.
Pour replacer ces dates dans la trajectoire complète du texte, de la proposition de 2012 à l’adoption de 2016, vous pouvez consulter notre article sur l’histoire du RGPD. Et pour mesurer ce que l’applicabilité a changé en matière répressive, voyez notre analyse des sanctions RGPD et amendes de la CNIL, qui n’ont commencé à tomber sur le fondement du règlement qu’après le 25 mai 2018.
Ce qu’il faut retenir
- L’Art. 99 RGPD fixe deux dates : l’entrée en vigueur le 24 mai 2016 (vingtième jour après la publication au JOUE du 4 mai 2016) et l’application le 25 mai 2018.
- La période 2016-2018 était le délai de mise en conformité. Il n’y a pas eu de tolérance supplémentaire après le 25 mai 2018 : depuis cette date, tout traitement non conforme est sanctionnable.
- Le considérant 171 dispense de recueillir un nouveau consentement si le consentement obtenu sous la directive 95/46/CE respectait déjà les conditions du RGPD.
- Le RGPD est directement applicable : aucune transposition n’est nécessaire, à la différence d’une directive. La France a néanmoins activé ses marges de manœuvre via la loi du 20 juin 2018 et l’ordonnance du 12 décembre 2018.
- En pratique, bien distinguer les deux dates évite les erreurs sur les prescriptions, la datation des documents de conformité et l’interprétation des clauses contractuelles.
FAQ
Quelle est la date d’entrée en vigueur du RGPD ?
Le RGPD est entré en vigueur le 24 mai 2016, soit le vingtième jour suivant sa publication au Journal officiel de l’Union européenne le 4 mai 2016 (Art. 99(1)). Attention : c’est une date différente de celle de son application.
Quelle est la différence entre entrée en vigueur et application du RGPD ?
L’entrée en vigueur (24 mai 2016) marque l’existence définitive du texte et le début de la période transitoire. L’application (25 mai 2018) est la date à partir de laquelle les obligations sont exigibles et les manquements sanctionnables. Les deux dates sont séparées de deux ans pour laisser le temps de se mettre en conformité.
Y a-t-il eu une période de tolérance après le 25 mai 2018 ?
Non. Le délai de mise en conformité était la période 2016-2018. Depuis le 25 mai 2018, un traitement non conforme peut être sanctionné par la CNIL, sans sursis supplémentaire. La confusion vient souvent du considérant 171, qui ne fait que confirmer cette même échéance pour les traitements déjà en cours.
Le RGPD doit-il être transposé dans une loi française ?
Non, le RGPD est directement applicable dans tous les États membres (Art. 99 in fine), sans transposition. La France a toutefois adapté son droit aux marges de manœuvre ouvertes par le règlement, via la loi du 20 juin 2018 et l’ordonnance du 12 décembre 2018 qui ont refondu la loi Informatique et Libertés.
Vous voulez suivre l’actualité de la conformité sans y passer vos journées ? Recevez nos analyses RGPD chaque semaine : décryptages d’articles, décisions de la CNIL et points pratiques, directement dans votre boîte mail.