AccueilBase de connaissances › RGPD vs AVG
RGPD

RGPD vs AVG : est-ce la même loi ? La différence expliquée

RGPD vs AVG : la même loi européenne sous deux noms

Le RGPD et l'AVG sont la même loi. AVG est simplement le nom néerlandais du RGPD, le règlement européen 2016/679. Que vous lisiez RGPD, AVG ou en anglais GDPR, il s'agit exactement des mêmes règles. Pour la destruction des données personnelles, cela signifie une chose : dans toute l'Union européenne s'appliquent les mêmes obligations de limitation de la conservation, de destruction démontrable et de contrat de sous-traitance.

Beaucoup de dirigeants pensent que le RGPD et l'AVG sont deux règles distinctes auxquelles ils doivent se conformer séparément. C'est un malentendu qui coûte du temps et de l'argent. Vous lisez ci-dessous pourquoi deux noms existent, où se situe l'ajout néerlandais et ce que la loi exige concrètement de vous quand vous faites détruire des données personnelles.

L'AVG est-il la même chose que le RGPD ?

Oui, l'AVG est la même chose que le RGPD. Ce ne sont pas deux lois côte à côte mais une seule loi sous deux noms. RGPD signifie Règlement Général sur la Protection des Données, le nom français. AVG signifie Algemene Verordening Gegevensbescherming, la version néerlandaise de ce même texte. La référence juridique est le Règlement (UE) 2016/679. Celui qui respecte l'AVG respecte automatiquement le RGPD, car c'est littéralement le même document avec les mêmes articles et la même numérotation.

Pourquoi existe-t-il deux noms ?

La raison est simple. L'Union européenne publie sa législation dans toutes les langues officielles. Chaque version linguistique a la même valeur juridique. La version française s'appelle RGPD, la version néerlandaise s'appelle AVG, la version anglaise GDPR. Aucune n'est un dérivé ou un résumé de l'autre, elles sont équivalentes. Comme une grande partie de la littérature professionnelle et des logiciels sont en anglais, le terme GDPR circule aussi en France. Pendant ce temps, les Pays-Bas utilisent partout le mot AVG. Les gens emploient donc plusieurs noms pour le même règlement, ce qui explique la confusion. Ce n'est pas une variante plus stricte ou plus souple, ce sont simplement des étiquettes différentes sur exactement la même bouteille.

RGPD, AVG et GDPR dans un tableau

La façon la plus simple de le retenir est un aperçu des noms par langue. Chaque colonne contient la même loi.

NomLangue ou régionCe que c'est
RGPDFrançais et espagnolRèglement Général sur la Protection des Données, le nom français
AVGNéerlandaisAlgemene Verordening Gegevensbescherming, la même loi aux Pays-Bas et en Belgique
GDPRAnglais, à l'échelle de l'UEGeneral Data Protection Regulation, le nom anglais
DSGVOAllemandDatenschutz-Grundverordnung, la même loi
Règlement 2016/679OfficielLa référence juridique, identique dans toutes les langues
UAVGPays-BasLoi d'application néerlandaise, complément national des dispositions ouvertes

Seule la dernière ligne n'est pas un synonyme. La UAVG est une loi néerlandaise distincte qui complète le règlement sur quelques points. Plus de détails ci-dessous.

Un règlement, les mêmes obligations

Comme le RGPD et l'AVG sont le même texte, les obligations sont partout les mêmes. L'article 5 sur la limitation de la conservation, l'article 17 sur le droit à l'effacement, l'article 28 sur le contrat de sous-traitance et l'article 32 sur les mesures appropriées portent les mêmes numéros et le même contenu dans toute l'UE. Une entreprise à Amsterdam, un cabinet à Paris et une clinique à Madrid travaillent donc avec des règles identiques. C'était précisément l'intention du législateur. Un marché unique mérite un seul ensemble de règles de protection des données. Pour qui détruit des données personnelles, c'est appréciable, car les exigences ne changent pas dès que vous franchissez une frontière. Vous lisez les mêmes articles, simplement dans une autre langue.

Le petit ajout néerlandais : la UAVG

Le règlement laisse aux États membres une marge sur quelques éléments. Les Pays-Bas ont rempli cette marge avec leur loi d'application du RGPD, en néerlandais la UAVG. Elle couvre des sujets comme l'usage du numéro de service citoyen, l'âge de consentement des enfants et les missions de l'autorité de protection des données. La UAVG ne modifie pas le RGPD lui-même, elle règle seulement les détails nationaux que le règlement laisse ouverts. Pour la destruction des données, la UAVG change peu de choses en pratique, les règles principales viennent directement du règlement.

Un règlement, pas une directive

Le mot règlement est important ici. Un règlement européen s'applique directement dans chaque État membre, sans qu'un pays doive d'abord transposer le texte dans sa propre législation. Une directive fonctionne autrement, chaque pays doit la traduire en lois nationales, ce qui crée des différences. Le prédécesseur du RGPD était une directive de 1995. C'est justement pourquoi les règles de protection des données différaient autrefois selon les pays. Le RGPD a délibérément choisi la forme d'un règlement, pour que les règles soient partout identiques. Cela facilite le travail transfrontalier et explique pourquoi une traduction néerlandaise ne pouvait pas devenir une loi propre et divergente. La traduction devait contenir mot pour mot les mêmes obligations que l'original anglais.

Qu'est-ce que cela signifie pour la destruction des données ?

Pour la destruction des données personnelles, la conclusion est rassurante. Vous n'avez pas à respecter deux systèmes, seulement le RGPD, qui est l'AVG. Quel que soit le nom utilisé par votre client, votre fournisseur ou votre éditeur de logiciel, les exigences restent les mêmes. Vous ne gardez pas les données plus longtemps que nécessaire, vous les détruisez ensuite de façon sûre et vous pouvez montrer que cela a eu lieu. Ce principe est indépendant du nom courant dans votre secteur. Un prestataire informatique dit souvent GDPR, un comptable dit RGPD, mais la liste de contrôle qu'ils vous présentent est la même. Ce que cela signifie au quotidien pour les PME figure dans la destruction de documents RGPD pour les PME.

Limitation de la conservation : ne pas garder plus longtemps que nécessaire

Le cœur pour la destruction se trouve à l'article 5, le principe de limitation de la conservation. Les données personnelles ne peuvent pas être gardées plus longtemps que nécessaire pour la finalité pour laquelle elles ont été collectées. Dès que cette finalité est atteinte et qu'aucune obligation légale de conservation ne subsiste, les données doivent partir. Garder par précaution n'est pas une raison valable. Ce principe est identique que vous lisiez un document GDPR en anglais ou l'AVG en néerlandais. La consigne est partout la même : ranger à temps.

D'abord le délai de conservation, puis la destruction

La limitation de la conservation ne veut pas dire tout jeter d'un coup. Certains documents doivent justement être conservés, comme la comptabilité gardée sept ans pour le fisc. Ce n'est qu'une fois le délai passé que vous pouvez et devez détruire. Le RGPD lui-même ne nomme aucun délai fixe, ceux-ci viennent d'autres lois par catégorie de données. Vérifiez donc d'abord par type de dossier quel est le délai, puis planifiez la destruction. Un aperçu pratique des délais courants figure dans l'aide-mémoire des délais de conservation RGPD.

La destruction démontrable sous le RGPD

Le RGPD demande non seulement de détruire, mais de pouvoir le montrer. Cela découle du principe de responsabilité de l'article 5.2. Vous devez pouvoir montrer que vous respectez les règles, donc aussi que les anciennes données ont été rangées proprement. La preuve est généralement un certificat de destruction, complété par une mention dans votre registre des traitements. Comment rendre cela concluant figure dans la destruction démontrable pour le RGPD. Cette exigence aussi est la même dans toute l'UE.

Le contrat de sous-traitance en cas d'externalisation

Si vous externalisez la destruction, l'article 28 impose un contrat de sous-traitance. Jusqu'au moment du broyage, les données sont encore lisibles, donc le destructeur traite des données personnelles pour votre compte. Le contrat couvre notamment les mesures de sécurité, la confidentialité et le sort des données après coup. Demandez le contrat avant le début de la première mission, pas après. Sans document signé, vous êtes vous-même en infraction. Un partenaire de destruction qui connaît la loi a un contrat type prêt.

Des mesures appropriées jusqu'à la destruction

L'article 32 exige des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Ce devoir de soin ne s'arrête pas à la poubelle, mais seulement lorsque le document est physiquement illisible. Un carton plein de dossiers laissé sans surveillance des jours dans le couloir n'y répond pas. Un enlèvement scellé et une chaîne fermée de l'enlèvement à la destruction si. Vous protégez ainsi les données jusqu'au dernier moment. La norme DIN 66399 définit la finesse du broyage, avec le P-5 pour les numéros d'identification et les données particulières.

Le certificat comme preuve dans toutes les langues de l'UE

Le certificat de destruction est votre preuve la plus importante, quel que soit le nom de la loi dans votre pays. Il indique la date, la quantité et le niveau DIN appliqué. Pour les supports de données, les numéros de série y figurent aussi. Lors d'un contrôle ou d'une question d'un client, vous montrez aussitôt ce qui s'est passé. Comme les règles sont identiques à l'échelle de l'UE, un tel certificat compte aussi bien devant une autorité néerlandaise qu'étrangère. Ce qui doit précisément y figurer est dans le certificat de destruction expliqué.

Fuite de données : les mêmes 72 heures dans toute l'Europe

L'obligation de notification en cas de fuite de données est partout la même. Une fuite grave se signale dans les 72 heures à l'autorité de contrôle, aux Pays-Bas l'autorité de protection des données. Que vous parliez d'une violation GDPR ou d'une fuite AVG, c'est la même obligation avec le même délai. Du papier qui finit non broyé dans la rue est tout autant une fuite de données qu'une base piratée. Si vous pouvez montrer que les données étaient déjà détruites, cela réduit le dommage. Le plan complet figure dans notifier une fuite de données en 72 heures.

Cela vaut-il aussi hors des Pays-Bas ?

Oui. Si vous travaillez avec des clients ou des établissements dans d'autres pays de l'UE, les mêmes règles s'y appliquent sous un autre nom. En France et en Espagne, la loi s'appelle RGPD, en Allemagne DSGVO, mais les obligations de conservation et de destruction sont identiques. Un certificat de destruction valable aux Pays-Bas répond donc aussi aux exigences ailleurs dans l'UE. Pour une entreprise qui travaille au-delà des frontières, c'est un grand avantage. Vous n'avez pas à mettre en place une procédure de destruction par pays, une seule méthode couvre toute l'Union. Un client étranger qui demande une preuve accepte le même certificat. La langue du document importe peu, c'est le contenu qui compte.

Idées reçues fréquentes sur le RGPD et l'AVG

La confusion autour des deux noms entraîne régulièrement des erreurs. Voici les plus courantes.

  • Deux lois distinctes. Certaines entreprises pensent devoir respecter séparément le RGPD et l'AVG. C'est la même loi, donc c'est un double travail inutile.
  • Le GDPR est plus strict. Une idée tenace veut que le GDPR anglais pèse plus lourd que le RGPD ou l'AVG. Le texte est identique, donc la rigueur aussi.
  • L'AVG ne vaut qu'aux Pays-Bas. L'AVG est l'édition néerlandaise d'un règlement à l'échelle de l'UE. Hors des Pays-Bas, cette même loi porte seulement un autre nom.
  • Le RGPD fixe un délai de conservation. La loi ne nomme aucun nombre d'années mais exige la limitation de la conservation. Les délais concrets viennent d'autres lois.

Qui distingue ces points évite qu'un fournisseur ou un client lui impose des exigences injustifiées. Vous pouvez expliquer calmement que RGPD et AVG signifient la même chose.

En bref : ce que la loi exige de vous

Que vous parliez de RGPD, d'AVG ou de GDPR, pour le rangement des données personnelles tout se résume à quatre étapes.

  1. Déterminez le délai de conservation par catégorie de données et tenez-vous-y.
  2. Détruisez après échéance au bon niveau DIN, le P-5 pour les numéros d'identification et les données particulières.
  3. Établissez un contrat de sous-traitance si vous externalisez la destruction.
  4. Conservez le certificat au moins 5 ans comme preuve dans votre dossier RGPD.

Ces quatre étapes valent dans toute l'Union européenne, quel que soit le nom de la loi dans un pays. Une seule méthode suffit donc, même si vous travaillez au-delà des frontières.

Faire détruire en conformité RGPD avec certificat ?

Indiquez ce que vous avez et vous obtenez un prix fixe à l'avance. Nous l'enlevons scellé dans un rayon de 20 km autour d'Amsterdam sans frais de déplacement, le détruisons au bon niveau DIN et vous recevez un certificat comme preuve pour votre dossier RGPD. Possible partout via des tournées groupées.

Demander un devis

Questions fréquentes

Le RGPD et l'AVG sont-ils la même loi ?

Oui. AVG est simplement le nom néerlandais du RGPD, le règlement européen 2016/679. C'est une seule et même loi, avec les mêmes articles et les mêmes obligations.

Quelle est la différence entre le RGPD et l'AVG ?

Il n'y a aucune différence de fond. RGPD est le nom français et espagnol, AVG le nom néerlandais, GDPR le nom anglais, DSGVO le nom allemand. Le texte et les obligations sont identiques dans toute l'UE.

Qu'est-ce que la UAVG ?

La UAVG est la loi néerlandaise d'application du RGPD. Elle ne modifie pas le RGPD mais complète les détails nationaux que le règlement laisse ouverts.

Le RGPD fixe-t-il un délai de conservation pour la destruction ?

Le RGPD ne nomme aucun délai fixe mais exige la limitation de la conservation. Vous ne gardez pas les données plus longtemps que nécessaire puis vous les détruisez de manière démontrable, de la même façon dans toute l'UE.

Dois-je respecter à la fois le RGPD et l'AVG ?

Non, c'est un double emploi. C'est la même loi. Qui respecte l'AVG respecte automatiquement le RGPD, car c'est littéralement le même texte.

Conclusion

Le RGPD et l'AVG ne sont pas deux lois mais une seule, sous un nom français et un nom néerlandais pour le même règlement européen. En anglais, cette même loi s'appelle GDPR, en allemand DSGVO. Le seul ajout réellement néerlandais est la UAVG, qui ne fait que compléter les points ouverts. Pour la destruction des données personnelles, cela signifie que vous pouvez vous concentrer sur un seul ensemble de règles. Ne gardez pas plus longtemps que nécessaire, détruisez ensuite au bon niveau et conservez le certificat comme preuve. Vous êtes ainsi conforme dans toute l'UE, sous quelque nom que la loi se présente.

À lire aussi le pilier détruire des documents confidentiels et les articles liés sur déchiquetage ou incinération, prévenir la fraude à l'identité et trier les déchets papier confidentiels.


Faire détruire des données en conformité RGPD ? Demandez un devis via desnipperaar.nl. Vous recevez un prix fixe à l'avance et un certificat comme preuve pour votre dossier RGPD.