Guide juridique RGPD - FG Avocat

Guide juridique RGPD

Les Guides du droit du numérique

Comprendre le RGPD

Guide pratique pour les organisations

Par Me Fatima Ghilassene — Avocate en droit du numérique

Sommaire

Avant-propos

Depuis son entrée en application le 25 mai 2018, le Règlement général sur la protection des données (RGPD) s’est imposé comme le texte de référence en matière de protection des données personnelles au sein de l’Union européenne. Souvent perçu comme une réglementation complexe, le RGPD est pourtant bien davantage qu’un ensemble d’obligations administratives. Il traduit une évolution profonde de la manière dont les organisations doivent concevoir la collecte, l’utilisation et la gouvernance des données personnelles. Dans un contexte marqué par le développement de l’intelligence artificielle, de la cybersécurité, des plateformes numériques et de l’économie des données, la protection des données personnelles est devenue un enjeu stratégique, juridique, économique et réputationnel. Le RGPD ne se limite pas à imposer des contraintes. Il constitue également un cadre de confiance entre les organisations, leurs collaborateurs, leurs partenaires et les personnes dont elles traitent les données. Comprendre cette logique est aujourd’hui indispensable pour toute organisation engagée dans sa transformation numérique. Ce guide a pour objectif de proposer une lecture claire, structurée et pédagogique du RGPD afin d’aider les organisations à mieux comprendre ses principes, ses obligations et les enjeux qui lui sont associés.

Sommaire

Partie I — Comprendre le RGPD

1.Pourquoi un règlement européen sur la protection des données ? 2.Les objectifs du RGPD 3.À qui s’applique le RGPD ? 4.Les notions fondamentales

Partie II — Les principes fondamentaux

5.Les sept principes du traitement des données 6.Le principe d’accountability 7.La protection des données dès la conception

Partie III — Les obligations des organisations

8.Cartographier les traitements 9.Informer les personnes 10.Encadrer les sous-traitants 11.Garantir la sécurité 12.Gérer les violations de données 13.Réaliser une analyse d’impact 14.Désigner un DPO 15.Encadrer les transferts internationaux

Partie IV — Les droits des personnes

Tous les droits expliqués.

Partie V — Les contrôles de la CNIL

Comment s’y préparer ?

Partie VI — RGPD et réglementation européenne

Les interactions avec :

  • AI Act
  • Data Act
  • Data Governance Act
  • NIS2
  • DORA
  • ePrivacy

Partie VII — Les erreurs fréquentes

Les principaux risques observés.

Partie VIII — Construire une démarche de conformité

Méthodologie.

30 questions.

Glossaire

40 notions.

PARTIE I Comprendre le RGPD Chapitre 1 Pourquoi un règlement européen sur la protection des données ?

La donnée personnelle est devenue une ressource stratégique

Les organisations n’ont jamais traité autant de données personnelles. Chaque interaction numérique génère des informations susceptibles d’identifier directement ou indirectement une personne : création d’un compte utilisateur, commande en ligne, candidature à un emploi, abonnement à une newsletter, utilisation d’une application mobile ou simple navigation sur un site internet. Ces données représentent aujourd’hui un actif essentiel pour de nombreuses organisations. Elles permettent d’améliorer les services, de personnaliser les relations avec les clients, d’optimiser les processus internes ou encore de développer de nouveaux modèles économiques. Cette évolution s’est toutefois accompagnée d’une augmentation des risques : collecte excessive d’informations, manque de transparence, réutilisation non maîtrisée des données, profilage, violations de sécurité ou transferts internationaux insuffisamment encadrés. Le développement de l’économie numérique a ainsi conduit à repenser les règles applicables afin de mieux protéger les personnes.

Une réglementation devenue insuffisante

Avant l’entrée en vigueur du RGPD, la protection des données personnelles reposait principalement sur la directive 95/46/CE. Cette directive avait permis une première harmonisation européenne mais présentait plusieurs limites. Chaque État membre l’avait transposée dans son droit national avec certaines différences, créant un niveau de protection variable et des difficultés pour les organisations opérant dans plusieurs pays. Par ailleurs, les usages numériques avaient profondément évolué depuis 1995. Les réseaux sociaux, le cloud computing, les smartphones, les objets connectés, les plateformes numériques et, plus récemment, l’intelligence artificielle n’existaient pas ou n’étaient qu’à leurs débuts. Le cadre juridique devait donc être adapté à une nouvelle réalité technologique.

Une ambition européenne

Adopté en 2016 et applicable depuis le 25 mai 2018, le RGPD poursuit une double ambition. La première consiste à renforcer la protection des personnes physiques à l’égard du traitement de leurs données personnelles. La seconde vise à harmoniser les règles applicables au sein de l’Union européenne afin de favoriser la libre circulation des données tout en garantissant un niveau élevé de protection. Cette logique explique pourquoi le RGPD est un règlement européen et non une directive. Contrairement à une directive, un règlement est directement applicable dans l’ensemble des États membres sans nécessiter de transposition nationale. Il contribue ainsi à créer un cadre juridique commun pour les organisations opérant sur le marché européen.

Un texte au cœur de la transformation numérique

Le RGPD ne constitue pas une réglementation isolée. Il s’inscrit dans un ensemble plus large de textes européens destinés à organiser les usages du numérique. Il entretient notamment des liens étroits avec :

  • le règlement sur l’intelligence artificielle (AI Act) ;
  • le Digital Services Act ;
  • le Digital Markets Act ;
  • le Data Act ;
  • le Data Governance Act ;
  • la directive NIS2 ;
  • le règlement DORA.

Ensemble, ces textes participent à la construction d’un véritable droit européen du numérique, dans lequel la protection des données personnelles occupe une place centrale.

Une approche fondée sur la responsabilité

L’une des principales innovations du RGPD réside dans son changement de philosophie. Le texte ne repose plus uniquement sur un contrôle préalable exercé par les autorités. Il responsabilise directement les organisations. Celles-ci doivent être en mesure de démontrer, à tout moment, que leurs traitements respectent les exigences du règlement. Cette logique, connue sous le nom d’accountability, irrigue l’ensemble du RGPD et transforme durablement la manière dont les organisations conçoivent leurs traitements de données. Elle marque le passage d’une logique de formalités administratives à une véritable culture de conformité et de gouvernance.

Pourquoi ce guide ?

Le RGPD est souvent présenté comme une succession d’obligations techniques ou administratives. Une telle approche ne permet pas d’en comprendre la logique. L’objectif de ce guide est différent. Il vise à expliquer le RGPD comme un cadre de gouvernance des données, permettant aux organisations de concilier innovation, sécurité juridique et respect des droits fondamentaux. Cette perspective est particulièrement importante dans un environnement marqué par le développement de l’intelligence artificielle, des plateformes numériques et des nouveaux usages des données.

Points clés à retenir

À l’issue de ce premier chapitre, plusieurs idées essentielles peuvent être retenues :

  • le RGPD répond à l’évolution profonde des usages numériques et de l’économie des données

;

  • il poursuit un double objectif : protéger les personnes et harmoniser les règles au sein de l’Union européenne ;
  • il s’inscrit dans un ensemble plus large de réglementations européennes du numérique ;
  • il introduit une logique de responsabilité des organisations fondée sur l’accountability ;
  • il constitue aujourd’hui un élément central de la gouvernance des données et, plus largement, de la responsabilité numérique.

Chapitre suivant : Les objectifs du RGPD et les principes qui fondent la protection des ➡ données personnelles. Parfait. Nous conservons donc l’objectif initial : un guide premium, structuré comme un ouvrage de référence, mais lisible sur le web.

Chapitre 2 — Les objectifs du RGPD

Le RGPD : bien plus qu’une réglementation sur les données personnelles

Le Règlement général sur la protection des données (RGPD) est souvent présenté comme un texte imposant aux organisations de nouvelles obligations en matière de collecte et d’utilisation des données personnelles. Cette perception, bien qu’exacte en partie, est incomplète. Le RGPD poursuit une ambition plus large. Il vise à établir un cadre juridique permettant de concilier le développement de l’économie numérique, la libre circulation des données au sein de l’Union européenne et la protection des droits et libertés fondamentaux des personnes physiques. Autrement dit, le RGPD ne cherche pas à empêcher les traitements de données. Il organise les conditions dans lesquelles ceux-ci peuvent être réalisés de manière licite, loyale et responsable.

Renforcer la protection des personnes

Le premier objectif du RGPD est de garantir un niveau élevé de protection des personnes physiques. Les données personnelles permettent aujourd’hui de connaître, de suivre, de profiler ou d’influencer les comportements des individus. Leur traitement peut avoir des conséquences importantes sur la vie privée, l’accès à l’emploi, au crédit, aux soins, aux assurances ou encore aux services publics. Le règlement reconnaît ainsi aux personnes concernées un ensemble de droits destinés à leur permettre de conserver une maîtrise sur l’utilisation de leurs données. Cette protection ne se limite pas à préserver la confidentialité des informations. Elle participe plus largement à la protection de droits fondamentaux tels que le respect de la vie privée, la liberté d’expression, le droit à la non-discrimination ou encore le droit à un recours effectif.

Favoriser la confiance dans l’économie numérique

Le développement des services numériques repose sur la circulation des données. Sans confiance, les utilisateurs hésitent à communiquer leurs informations personnelles, les entreprises rencontrent des difficultés à développer leurs activités et les échanges numériques perdent en efficacité. Le RGPD poursuit donc un objectif économique essentiel : instaurer un climat de confiance entre les organisations et les personnes dont elles traitent les données. Une organisation capable de démontrer qu’elle respecte les exigences du règlement renforce non seulement sa conformité juridique, mais également sa réputation, sa crédibilité et la qualité de sa relation avec ses clients, partenaires et collaborateurs. La protection des données constitue ainsi un véritable facteur de confiance et, dans de nombreux secteurs, un avantage concurrentiel.

Harmoniser les règles au sein de l’Union européenne

Avant l’entrée en application du RGPD, les règles relatives à la protection des données variaient selon les États membres de l’Union européenne. Cette diversité créait une insécurité juridique pour les organisations exerçant leurs activités dans plusieurs pays et entraînait des niveaux de protection inégaux pour les personnes concernées. Le choix d’un règlement directement applicable dans l’ensemble des États membres répond à une volonté d’harmonisation. Les organisations bénéficient désormais d’un cadre juridique commun, tandis que les citoyens disposent d’un niveau élevé et relativement uniforme de protection sur l’ensemble du territoire de l’Union européenne.

Responsabiliser les organisations

Le RGPD marque une évolution importante dans la manière d’appréhender la conformité. Le règlement ne repose plus principalement sur des formalités administratives préalables auprès des autorités de contrôle. Il confie aux organisations la responsabilité de démontrer qu’elles respectent les exigences qui leur sont applicables. Cette logique, souvent désignée sous le terme d’accountability, irrigue l’ensemble du texte. Les organisations doivent notamment être en mesure :

  • d’identifier les traitements qu’elles mettent en œuvre ;
  • d’évaluer les risques qu’ils présentent ;
  • d’adopter des mesures techniques et organisationnelles adaptées ;
  • de documenter leurs choix ;
  • de démontrer leur conformité en cas de contrôle.

La conformité devient ainsi une démarche permanente de gouvernance plutôt qu’un exercice ponctuel.

Accompagner les évolutions technologiques

Le RGPD a été adopté dans un contexte de transformation rapide des usages numériques. Cloud computing, objets connectés, plateformes numériques, intelligence artificielle ou encore traitement massif des données soulèvent des questions nouvelles quant à la protection des personnes. Le règlement a été conçu pour être suffisamment souple afin de demeurer applicable malgré l’évolution constante des technologies. Cette approche fondée sur des principes permet au RGPD de conserver sa pertinence face à des innovations qui n’existaient parfois pas encore lors de son adoption.

Un pilier du droit européen du numérique

Le RGPD constitue aujourd’hui l’un des principaux fondements du droit européen du numérique. Il s’articule avec d’autres textes européens qui poursuivent des objectifs complémentaires, notamment en matière d’intelligence artificielle, de cybersécurité, de gouvernance des données ou de régulation des plateformes numériques. Ensemble, ces réglementations traduisent une ambition commune : permettre le développement des technologies numériques tout en garantissant la protection des personnes et le respect des valeurs fondamentales de l’Union européenne.

Les objectifs du RGPD en résumé

Le RGPD poursuit cinq objectifs principaux :

  • protéger les droits et libertés des personnes physiques ;
  • instaurer un climat de confiance dans l’économie numérique ;
  • harmoniser les règles applicables au sein de l’Union européenne ;
  • responsabiliser les organisations dans la gestion de leurs traitements de données ;
  • accompagner le développement des technologies numériques dans un cadre juridique sécurisé.

Ces objectifs permettent de comprendre que le RGPD ne constitue pas seulement une réglementation relative aux données personnelles. Il s’inscrit dans une vision plus large d’un numérique responsable, conciliant innovation, sécurité juridique et protection des droits fondamentaux.

À retenir

Le RGPD ne doit pas être envisagé comme une contrainte administrative supplémentaire. Il constitue un cadre de gouvernance destiné à renforcer la confiance dans les usages numériques. Pour les organisations, la conformité ne se résume pas au respect d’obligations juridiques : elle participe à la maîtrise des risques, à la qualité des relations avec les parties prenantes et à la pérennité des projets numériques. Cette approche explique pourquoi le RGPD demeure aujourd’hui la pierre angulaire de la protection des données personnelles en Europe et l’un des fondements du droit européen du numérique.

PARTIE I — Comprendre le RGPD Chapitre 3 — À qui s’applique le RGPD ?

Le Règlement général sur la protection des données (RGPD) a un champ d’application particulièrement large. Contrairement à une idée répandue, il ne concerne pas uniquement les grandes entreprises du numérique ou les plateformes internationales. Toute organisation qui traite des données personnelles dans le cadre de ses activités est susceptible d’être concernée, quelle que soit sa taille, son secteur d’activité ou son statut juridique. Comprendre le champ d’application du RGPD constitue donc une étape essentielle pour déterminer les obligations qui en découlent.

Un règlement applicable à de nombreuses organisations

Le RGPD s’applique à toute personne physique ou morale, autorité publique, service ou organisme qui met en œuvre un traitement de données personnelles. Sont notamment concernés :

  • les entreprises, quelle que soit leur taille ;
  • les associations ;
  • les collectivités territoriales ;
  • les établissements publics ;
  • les professions libérales ;
  • les établissements de santé ;
  • les établissements d’enseignement ;
  • les organismes de recherche.

Autrement dit, la question n’est pas de savoir si une organisation est publique ou privée, commerciale ou non, mais si elle traite des données personnelles dans le cadre de son activité. Dans la pratique, cette condition est remplie par la très grande majorité des organisations.

Qu’est-ce qu’un traitement de données ?

Le RGPD définit le traitement de manière particulièrement large. Il s’agit de toute opération réalisée sur des données personnelles, qu’elle soit automatisée ou non. Un traitement peut notamment consister à :

  • collecter des données ;
  • enregistrer des informations ;
  • organiser ou structurer un fichier ;
  • conserver des données ;
  • consulter un dossier ;
  • modifier des informations ;
  • transmettre des données à un partenaire ;
  • diffuser des informations ;
  • supprimer ou détruire des données.

Cette définition couvre aussi bien un logiciel métier sophistiqué qu’un simple tableau Excel contenant les coordonnées de clients ou de collaborateurs.

Qu’est-ce qu’une donnée personnelle ?

Le RGPD protège les données à caractère personnel, c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable. Certaines données permettent d’identifier directement une personne, par exemple :

  • son nom ;
  • son prénom ;
  • son adresse électronique nominative ;
  • son numéro de téléphone ;
  • son numéro de sécurité sociale.

D’autres permettent une identification indirecte lorsqu’elles sont croisées avec d’autres informations. Il peut notamment s’agir :

  • d’un identifiant interne ;
  • d’une adresse IP ;
  • d’un identifiant de connexion ;
  • d’un numéro de client ;
  • de données de géolocalisation ;
  • d’un identifiant publicitaire.

La notion de donnée personnelle doit donc être interprétée largement. À l’inverse, les informations totalement anonymisées, qui ne permettent plus d’identifier une personne, ne relèvent plus du RGPD.

Les traitements automatisés et non automatisés

Le RGPD ne s’applique pas uniquement aux traitements informatiques. Il concerne également certains traitements réalisés sur support papier. Ainsi, un dossier papier organisé selon des critères permettant de retrouver facilement les informations relatives à une personne peut relever du règlement. En revanche, des notes manuscrites isolées ou des documents non structurés peuvent, selon les circonstances, échapper à son champ d’application. Aujourd’hui, la quasi-totalité des traitements réalisés par les organisations sont toutefois informatisés.

Un champ d’application territorial étendu

L’une des principales innovations du RGPD réside dans son application au-delà des frontières de l’Union européenne. Le règlement s’applique notamment :

  • aux organisations établies dans un État membre de l’Union européenne lorsqu’elles traitent des données personnelles dans le cadre de leurs activités ;
  • aux organisations situées en dehors de l’Union européenne lorsqu’elles proposent des biens ou des services à des personnes se trouvant sur le territoire européen ;
  • aux organisations qui suivent le comportement de personnes situées dans l’Union européenne, notamment à des fins de profilage ou de publicité ciblée.

Cette portée extraterritoriale contribue à garantir un niveau élevé de protection des personnes, quel que soit le lieu d’établissement de l’organisation.

Les traitements exclus du RGPD

Le règlement ne s’applique pas à tous les traitements de données. Certaines situations sont expressément exclues. Il s’agit notamment :

  • des traitements réalisés par une personne physique dans le cadre d’activités exclusivement personnelles ou domestiques ;
  • de certains traitements relevant de la sécurité nationale ;
  • de traitements effectués dans des domaines particuliers régis par des règles spécifiques.

Ces exclusions demeurent toutefois limitées. Dans le doute, une organisation a généralement intérêt à raisonner comme si le RGPD était applicable.

Les responsables de traitement et les sous-traitants

Le RGPD distingue deux acteurs principaux.

Le responsable de traitement

Le responsable de traitement est la personne ou l’organisation qui détermine les finalités et les moyens essentiels du traitement. Autrement dit, il décide :

  • pourquoi les données sont collectées ;
  • quelles données sont utilisées ;
  • combien de temps elles sont conservées ;
  • dans quel objectif elles sont traitées.

Par exemple, une entreprise qui gère les données de ses salariés ou de ses clients agit en principe comme responsable de traitement.

Le sous-traitant

Le sous-traitant traite des données personnelles pour le compte du responsable de traitement. Il intervient conformément aux instructions qui lui sont données. Il peut notamment s’agir :

  • d’un hébergeur cloud ;
  • d’un prestataire informatique ;
  • d’un éditeur de logiciel SaaS ;
  • d’un cabinet chargé de la paie ;
  • d’un prestataire de maintenance.

Le RGPD impose des obligations spécifiques aux sous-traitants, qui sont aujourd’hui directement responsables de certaines exigences du règlement.

Une responsabilité partagée

Dans de nombreux projets numériques, plusieurs acteurs interviennent simultanément. Le responsable de traitement conserve la responsabilité principale de la conformité. Le sous-traitant doit, quant à lui, mettre en œuvre les garanties nécessaires pour assurer la sécurité et la confidentialité des données qui lui sont confiées. La relation entre ces deux acteurs doit être organisée par un contrat répondant aux exigences du RGPD.

Pourquoi cette distinction est-elle importante ?

Identifier correctement les différents acteurs constitue l’une des premières étapes d’une démarche de conformité. Une qualification erronée peut entraîner :

  • des obligations inadaptées ;
  • une mauvaise répartition des responsabilités ;
  • des difficultés en cas de contrôle ou de contentieux.

Avant toute analyse juridique, une organisation doit donc cartographier les traitements qu’elle met en œuvre et identifier précisément le rôle de chacun des intervenants.

À retenir

Le champ d’application du RGPD est volontairement très large. La plupart des organisations traitent quotidiennement des données personnelles et sont donc concernées par le règlement. La première étape d’une démarche de conformité consiste à répondre à trois questions simples :

  • Quelles données personnelles sont traitées ?
  • Dans quel objectif ces traitements sont-ils réalisés ?
  • Qui en détermine les finalités et les moyens ?

Les réponses à ces questions permettront ensuite d’identifier les obligations applicables et de mettre en place une gouvernance des données adaptée à l’activité de l’organisation. Chapitre suivant : Les notions fondamentales du RGPD : données personnelles, ➡ traitement, responsable de traitement, sous-traitant, destinataire et personne concernée.

PARTIE I — Comprendre le RGPD Chapitre 4 — Les notions fondamentales du RGPD

Avant d’aborder les obligations imposées par le Règlement général sur la protection des données (RGPD), il est indispensable de maîtriser les principales notions sur lesquelles il repose. Ces définitions ne relèvent pas d’un simple vocabulaire juridique. Elles déterminent le champ d’application du règlement, les responsabilités de chacun et les mesures de conformité à mettre en œuvre. Une bonne compréhension de ces concepts constitue le socle de toute démarche de protection des données personnelles.

La donnée à caractère personnel

Le RGPD définit la donnée à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition est volontairement large. Une personne est identifiée lorsqu’elle peut être reconnue directement, par exemple grâce à son nom ou à son numéro de sécurité sociale. Elle est identifiable lorsqu’elle peut être reconnue indirectement à partir d’un ou plusieurs éléments, même si son nom n’apparaît pas immédiatement. Il peut s’agir notamment :

  • d’une adresse électronique nominative ;
  • d’un numéro de téléphone ;
  • d’une photographie ;
  • d’une adresse IP ;
  • d’un identifiant client ;
  • d’une plaque d’immatriculation ;
  • de données de géolocalisation ;
  • d’un identifiant de connexion.

L’identification peut également résulter du rapprochement de plusieurs informations qui, prises isolément, ne permettent pas d’identifier une personne mais qui, combinées, rendent cette identification possible. La notion de donnée personnelle évolue donc avec les technologies et les possibilités de recoupement des informations.

Les catégories particulières de données

Certaines données présentent des risques plus importants pour les droits et libertés des personnes. Le RGPD leur accorde une protection renforcée. Il s’agit notamment des données révélant :

  • l’origine raciale ou ethnique ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’appartenance syndicale ;
  • les données génétiques ;
  • les données biométriques utilisées à des fins d’identification ;
  • les données concernant la santé ;
  • les données relatives à la vie sexuelle ou à l’orientation sexuelle.

Le traitement de ces données est en principe interdit, sauf dans les cas expressément prévus par le règlement. Les organisations doivent donc être particulièrement vigilantes lorsqu’elles sont amenées à traiter de telles informations.

Le traitement de données

Le RGPD retient une définition très large du traitement. Constitue un traitement toute opération ou tout ensemble d’opérations effectuées sur des données personnelles, qu’elles soient réalisées de manière automatisée ou non. Par exemple :

  • collecter des données via un formulaire ;
  • enregistrer des informations dans un logiciel ;
  • classer un dossier ;
  • consulter un fichier ;
  • modifier une base de données ;
  • transmettre des informations à un prestataire ;
  • archiver des documents ;
  • supprimer des données.

Dans la pratique, une organisation met généralement en œuvre plusieurs dizaines, voire plusieurs centaines de traitements distincts. La conformité au RGPD suppose donc d’identifier précisément chacun d’entre eux.

La personne concernée

La personne concernée est la personne physique à laquelle les données se rapportent. Selon l’activité de l’organisation, il peut s’agir notamment :

  • d’un client ;
  • d’un salarié ;
  • d’un candidat à un recrutement ;
  • d’un fournisseur personne physique ;
  • d’un étudiant ;
  • d’un patient ;
  • d’un usager d’un service public ;
  • d’un visiteur d’un site internet.

Le RGPD reconnaît à cette personne un ensemble de droits destinés à lui permettre de conserver la maîtrise de ses données personnelles. Ces droits seront étudiés dans une partie spécifique de ce guide.

Le responsable de traitement

Le responsable de traitement est l’acteur central du RGPD. Il s’agit de la personne physique ou morale qui détermine les finalités et les moyens essentiels du traitement. Autrement dit, il décide :

  • pourquoi les données sont collectées ;
  • quelles données sont nécessaires ;
  • qui peut y accéder ;
  • combien de temps elles sont conservées ;
  • dans quelles conditions elles sont utilisées.

Le responsable de traitement assume la responsabilité principale de la conformité. Il doit être en mesure de démontrer que les traitements respectent les exigences du règlement. Dans de nombreuses organisations, cette qualité appartient à la personne morale elle-même et non à son dirigeant à titre personnel.

Le sous-traitant

Le sous-traitant traite des données personnelles pour le compte du responsable de traitement. Il agit conformément aux instructions qui lui sont données. Il peut notamment s’agir :

  • d’un hébergeur informatique ;
  • d’un prestataire cloud ;
  • d’un éditeur de logiciel ;
  • d’un cabinet de paie ;
  • d’un prestataire de maintenance ;
  • d’un centre d’appels.

Depuis l’entrée en application du RGPD, le sous-traitant est soumis à des obligations directes. Il ne peut plus être considéré comme un simple exécutant technique. Il doit notamment garantir la sécurité des traitements qui lui sont confiés et coopérer avec le responsable de traitement.

Les destinataires

Le destinataire est toute personne physique ou morale à laquelle des données personnelles sont communiquées. Il peut s’agir :

  • d’un partenaire ;
  • d’un prestataire ;
  • d’une administration ;
  • d’une autorité judiciaire ;
  • d’un organisme public.

En revanche, les personnes qui accèdent aux données dans le cadre de leurs fonctions au sein de l’organisation ne sont pas considérées comme des destinataires au sens du RGPD. Cette distinction est importante lorsqu’il s’agit d’informer les personnes concernées ou de documenter les traitements.

Le consentement

Le consentement constitue l’une des bases juridiques permettant de traiter des données personnelles. Pour être valable, il doit être :

  • libre ;
  • spécifique ;
  • éclairé ;
  • univoque.

La personne doit pouvoir retirer son consentement aussi facilement qu’elle l’a donné. Contrairement à une idée largement répandue, le consentement n’est pas la règle générale. De nombreux traitements reposent sur d’autres bases juridiques, telles que l’exécution d’un contrat, le respect d’une obligation légale ou l’intérêt légitime. Choisir une base juridique adaptée constitue une étape essentielle de la conformité.

La pseudonymisation et l’anonymisation

Le RGPD distingue deux techniques souvent confondues.

La pseudonymisation

La pseudonymisation consiste à remplacer certains éléments permettant d’identifier une personne par un identifiant ou un code. La réidentification demeure toutefois possible à l’aide d’informations complémentaires. Les données pseudonymisées restent donc des données personnelles soumises au RGPD.

L’anonymisation

L’anonymisation consiste à rendre définitivement impossible l’identification de la personne. Lorsque cette anonymisation est réellement irréversible, les données ne relèvent plus du champ d’application du RGPD. En pratique, une anonymisation complète est souvent plus difficile à obtenir qu’il n’y paraît, notamment en raison des possibilités de recoupement des données.

Pourquoi ces notions sont-elles essentielles ?

La conformité au RGPD repose avant tout sur une qualification juridique correcte. Avant même d’identifier les obligations applicables, une organisation doit être capable de répondre à plusieurs questions fondamentales :

  • Les informations traitées constituent-elles des données personnelles ?
  • Qui est responsable du traitement ?
  • Existe-t-il un ou plusieurs sous-traitants ?
  • Qui reçoit les données ?
  • Quelle est la finalité poursuivie ?
  • Sur quelle base juridique repose le traitement ?

Une erreur de qualification peut entraîner une mauvaise appréciation des obligations applicables et fragiliser l’ensemble de la démarche de conformité.

À retenir

Les notions définies par le RGPD ne sont pas de simples définitions théoriques. Elles structurent l’ensemble du règlement et conditionnent la mise en œuvre des obligations qui seront étudiées dans les chapitres suivants. Toute organisation souhaitant développer une démarche de conformité efficace doit commencer par identifier précisément :

  • les données qu’elle traite ;
  • les traitements qu’elle met en œuvre ;
  • les acteurs impliqués ;
  • les responsabilités de chacun.

Cette étape constitue le point de départ d’une gouvernance des données efficace et durable. ➡ Chapitre suivant : Les principes fondamentaux du RGPD : le socle de toute démarche de conformité.

PARTIE II — Les principes fondamentaux du RGPD Chapitre 5 — Les principes fondamentaux du RGPD : le socle de toute démarche de conformité

Les obligations prévues par le Règlement général sur la protection des données (RGPD) reposent sur un ensemble de principes fondamentaux. Énoncés à l’article 5 du règlement, ils constituent le cœur de la protection des données personnelles. Ces principes ne sont pas de simples déclarations d’intention. Ils s’imposent à tout traitement de données personnelles et servent de référence aux autorités de contrôle, aux juridictions et aux organisations lorsqu’elles évaluent la conformité d’un traitement. Toute démarche de conformité doit donc commencer par leur compréhension.

Une logique fondée sur des principes

Le RGPD n’a pas vocation à réglementer chaque situation particulière. Face à la diversité des traitements et à l’évolution rapide des technologies, le législateur européen a privilégié une approche fondée sur des principes généraux. Cette méthode présente plusieurs avantages. Elle permet au règlement :

  • de s’adapter aux évolutions technologiques ;
  • d’être applicable à des organisations de toutes tailles ;
  • de couvrir des secteurs d’activité très différents ;
  • de demeurer pertinent malgré les innovations futures.

Les organisations doivent ainsi traduire ces principes dans leurs pratiques quotidiennes.

Le principe de licéité

Tout traitement de données personnelles doit reposer sur une base juridique prévue par le RGPD. Une organisation ne peut pas collecter ou utiliser des données simplement parce qu’elles lui sont utiles. Elle doit être en mesure de justifier juridiquement chaque traitement. Les principales bases juridiques sont :

  • le consentement ;
  • l’exécution d’un contrat ;
  • le respect d’une obligation légale ;
  • la sauvegarde des intérêts vitaux ;
  • l’exécution d’une mission d’intérêt public ;
  • l’intérêt légitime.

Le choix de la base juridique doit intervenir avant la mise en œuvre du traitement. Il conditionne ensuite les droits des personnes concernées et les obligations de l’organisation.

Le principe de loyauté

La collecte des données doit être réalisée de manière loyale. Les personnes ne doivent pas être trompées sur la manière dont leurs données seront utilisées. Ce principe implique notamment :

  • l’absence de collecte dissimulée ;
  • l’absence de finalités cachées ;
  • une information sincère des personnes concernées.

La loyauté participe directement à la relation de confiance entre l’organisation et les personnes dont elle traite les données.

Le principe de transparence

Les personnes doivent comprendre facilement :

  • quelles données sont collectées ;
  • pourquoi elles le sont ;
  • combien de temps elles seront conservées ;
  • avec qui elles pourront être partagées ;
  • quels sont leurs droits.

Cette information doit être rédigée dans un langage clair, accessible et compréhensible. La transparence ne se limite pas à publier une politique de confidentialité. Elle suppose que les personnes puissent réellement comprendre les traitements réalisés.

Le principe de limitation des finalités

Les données personnelles doivent être collectées pour des objectifs déterminés, explicites et légitimes. Une organisation ne peut pas réutiliser librement les données pour de nouvelles finalités incompatibles avec celles annoncées lors de leur collecte. Par exemple, une adresse électronique collectée pour assurer le suivi d’une commande ne peut pas être utilisée automatiquement pour des campagnes de prospection commerciale si aucune base juridique ne le permet. Définir clairement les finalités constitue donc l’une des premières étapes d’une démarche de conformité.

Le principe de minimisation des données

Le RGPD impose de ne collecter que les données strictement nécessaires au regard de la finalité poursuivie. Ce principe conduit les organisations à s’interroger avant toute collecte :

  • Cette donnée est-elle réellement utile ?
  • Existe-t-il une solution moins intrusive ?
  • Toutes les informations demandées sont-elles indispensables ?

La minimisation contribue à réduire les risques pour les personnes et limite les conséquences d’une éventuelle violation de données.

Le principe d’exactitude

Les données personnelles doivent être exactes et, lorsque cela est nécessaire, tenues à jour. Des informations inexactes peuvent avoir des conséquences importantes pour les personnes concernées. Les organisations doivent donc mettre en place des procédures permettant :

  • de corriger les erreurs ;
  • d’actualiser les informations ;
  • de supprimer les données devenues inexactes.

Ce principe revêt une importance particulière dans les traitements automatisés et les systèmes d’intelligence artificielle, où des données erronées peuvent conduire à des décisions inadaptées.

Le principe de limitation de la conservation

Les données personnelles ne peuvent être conservées indéfiniment. Le RGPD impose qu’elles soient conservées uniquement pendant la durée nécessaire à la réalisation de la finalité poursuivie. Une fois cette finalité atteinte, les données doivent :

  • être supprimées ;
  • être anonymisées ;
  • ou être archivées lorsqu’un texte le prévoit.

Chaque organisation doit définir une politique de conservation adaptée à ses traitements. Cette politique constitue un élément essentiel de sa conformité.

Le principe d’intégrité et de confidentialité

Le responsable de traitement doit garantir un niveau de sécurité adapté aux risques présentés par les traitements. Cette obligation implique la mise en œuvre de mesures techniques et organisationnelles destinées à prévenir :

  • les accès non autorisés ;
  • les pertes de données ;
  • les destructions accidentelles ;
  • les altérations ;
  • les divulgations illicites.

La sécurité ne relève donc pas uniquement des équipes informatiques. Elle constitue une responsabilité partagée au sein de l’organisation.

Une approche globale

Ces principes ne doivent pas être appréhendés isolément. Ils se complètent et se renforcent mutuellement. Par exemple :

  • une collecte excessive de données est contraire au principe de minimisation ;
  • une durée de conservation excessive méconnaît le principe de limitation de la conservation ;
  • une information incomplète remet en cause la transparence ;
  • une sécurité insuffisante compromet l’intégrité et la confidentialité des données.

La conformité suppose donc une approche globale des traitements.

Des principes au cœur de la gouvernance des données

Les principes du RGPD ne concernent pas uniquement les juristes ou les délégués à la protection des données. Ils doivent être intégrés dans l’ensemble des projets de l’organisation. Qu’il s’agisse de développer un nouveau service numérique, de déployer une solution d’intelligence artificielle, de mettre en place un logiciel métier ou de lancer une campagne de communication, ces principes doivent être pris en compte dès la conception du projet. Ils participent ainsi à une véritable gouvernance des données fondée sur l’anticipation des risques plutôt que sur leur correction a posteriori.

À retenir

Les principes fondamentaux du RGPD constituent le socle de toute démarche de conformité. Ils imposent que les traitements de données personnelles soient :

  • licites ;
  • loyaux ;
  • transparents ;
  • limités à des finalités déterminées ;
  • proportionnés ;
  • exacts ;
  • conservés pendant une durée limitée ;
  • sécurisés.

Ces exigences ne doivent pas être perçues comme des contraintes indépendantes, mais comme les composantes d’une même démarche de gouvernance des données, destinée à protéger les personnes tout en permettant aux organisations de développer leurs activités dans un cadre juridique de confiance. Chapitre suivant : L’accountability : démontrer sa conformité et intégrer la protection des ➡ données dans la gouvernance de l’organisation.

PARTIE II — Les principes fondamentaux du RGPD Chapitre 6 — L’accountability : une nouvelle approche de la conformité

L’une des principales innovations du Règlement général sur la protection des données (RGPD) réside dans le principe d’accountability, généralement traduit par « responsabilité » ou « responsabilisation ». Ce principe marque une évolution profonde de la manière dont les organisations doivent appréhender la protection des données personnelles. La conformité ne repose plus sur l’accomplissement de formalités administratives. Elle implique désormais une démarche continue de gouvernance, de prévention des risques et de démonstration de la conformité.

Une logique fondée sur la responsabilité

Avant l’entrée en application du RGPD, les organisations étaient souvent tenues d’effectuer des déclarations ou des demandes d’autorisation auprès des autorités de contrôle. Le RGPD a profondément modifié cette approche. Les formalités préalables ont été largement supprimées au profit d’une responsabilisation des acteurs. Le responsable de traitement doit désormais être en mesure de démontrer, à tout moment, que les traitements qu’il met en œuvre respectent les exigences du règlement. La conformité ne se présume pas : elle se prouve.

Démontrer la conformité

L’accountability ne signifie pas seulement respecter les règles. Elle impose de pouvoir justifier les décisions prises et les mesures mises en œuvre. Une organisation doit notamment être capable d’expliquer :

  • quelles données personnelles elle traite ;
  • dans quel objectif ces données sont utilisées ;
  • sur quelle base juridique repose chaque traitement ;
  • quels risques ont été identifiés ;
  • quelles mesures ont été adoptées pour les limiter ;
  • comment les droits des personnes sont garantis.

Cette documentation constitue un élément essentiel en cas de contrôle de l’autorité de protection des données ou de contentieux.

Une démarche de gouvernance

L’accountability dépasse largement le cadre juridique. Elle suppose que la protection des données soit intégrée dans le fonctionnement quotidien de l’organisation. Cette démarche implique notamment :

  • une répartition claire des responsabilités ;
  • des procédures internes documentées ;
  • une sensibilisation des collaborateurs ;
  • une implication de la direction ;
  • une révision régulière des pratiques.

La conformité ne peut reposer exclusivement sur le délégué à la protection des données (DPO) ou sur le service juridique. Elle concerne l’ensemble de l’organisation.

Documenter les traitements

L’un des aspects les plus concrets de l’accountability consiste à conserver une documentation démontrant la conformité. Cette documentation peut comprendre notamment :

  • le registre des activités de traitement ;
  • les politiques internes de protection des données ;
  • les contrats avec les sous-traitants ;
  • les procédures de gestion des violations de données ;
  • les analyses d’impact relatives à la protection des données (AIPD) ;
  • les preuves de recueil du consentement lorsque celui-ci constitue la base juridique du traitement ;
  • les actions de sensibilisation et de formation des collaborateurs.

L’objectif n’est pas d’accumuler des documents, mais de disposer d’éléments permettant d’expliquer et de justifier les choix de l’organisation.

Une approche fondée sur les risques

Le RGPD n’impose pas les mêmes exigences à toutes les organisations. Les mesures attendues doivent être adaptées :

  • à la nature des traitements ;
  • aux données concernées ;
  • au volume des informations traitées ;
  • aux risques pour les droits et libertés des personnes.

Par exemple, une petite association gérant un fichier limité de ses adhérents ne sera pas confrontée aux mêmes exigences qu’un établissement de santé ou qu’une plateforme numérique traitant des millions de données personnelles. L’accountability invite donc les organisations à adopter une approche proportionnée.

Intégrer la protection des données dans les projets

La conformité ne doit pas intervenir une fois le projet terminé. Elle doit être prise en compte dès sa conception. Avant de mettre en œuvre un nouveau traitement, une organisation devrait notamment se poser plusieurs questions :

  • Les données envisagées sont-elles réellement nécessaires ?
  • La finalité est-elle clairement définie ?
  • Existe-t-il une base juridique appropriée ?
  • Les personnes seront-elles correctement informées ?
  • Les mesures de sécurité sont-elles adaptées ?
  • Les durées de conservation sont-elles déterminées ?

Cette réflexion en amont permet de prévenir les risques plutôt que de les corriger après la mise en œuvre du projet.

Une démarche évolutive

La conformité au RGPD n’est jamais définitivement acquise. Les traitements évoluent, les technologies se développent, les organisations se transforment et les risques changent. Une démarche d’accountability suppose donc une amélioration continue. Il est recommandé de réévaluer régulièrement :

  • les traitements existants ;
  • les mesures de sécurité ;
  • les politiques internes ;
  • les contrats avec les sous-traitants ;
  • les procédures de gestion des incidents.

Cette révision périodique contribue à maintenir un niveau de conformité adapté aux évolutions de l’organisation.

Un facteur de confiance

L’accountability ne doit pas être perçue uniquement comme une obligation réglementaire. Elle constitue également un outil de gouvernance et un facteur de confiance. Une organisation capable de démontrer qu’elle maîtrise ses traitements de données renforce :

  • la confiance de ses clients ;
  • la confiance de ses collaborateurs ;
  • la confiance de ses partenaires ;
  • sa crédibilité auprès des autorités de contrôle.

À l’inverse, une absence de documentation ou une mauvaise connaissance des traitements constitue souvent un révélateur de fragilités organisationnelles.

Une culture de la responsabilité

Au-delà des obligations juridiques, l’accountability traduit une évolution culturelle. Elle invite les organisations à intégrer durablement la protection des données dans leurs processus de décision. Cette culture repose sur plusieurs principes :

  • anticiper plutôt que subir ;
  • documenter plutôt qu’affirmer ;
  • prévenir plutôt que corriger ;
  • améliorer plutôt que se limiter à une conformité ponctuelle.

Cette approche est aujourd’hui au cœur de la gouvernance des données et s’inscrit plus largement dans une démarche de responsabilité numérique.

À retenir

L’accountability constitue l’un des principes les plus structurants du RGPD. Il impose aux organisations non seulement de respecter les règles relatives à la protection des données personnelles, mais également de pouvoir démontrer leur conformité à tout moment. Cette responsabilité se traduit par une gouvernance documentée, une approche fondée sur les risques, l’intégration de la protection des données dans les projets et une amélioration continue des pratiques. Plus qu’une obligation juridique, l’accountability constitue un véritable levier de confiance, de maîtrise des risques et de gouvernance des données au sein des organisations. ➡ Chapitre suivant : La protection des données dès la conception et par défaut (Privacy by Design et Privacy by Default).

PARTIE II — Les principes fondamentaux du RGPD Chapitre 7 — La protection des données dès la conception et par défaut (Privacy by Design et Privacy by Default)

L’une des innovations majeures du Règlement général sur la protection des données (RGPD) consiste à intégrer la protection des données personnelles dès la conception des traitements, et non une fois le projet achevé. Cette approche, connue sous les expressions anglaises Privacy by Design et Privacy by Default, traduit un changement profond de méthode. La conformité ne doit plus être envisagée comme une étape finale ou une simple vérification juridique. Elle doit accompagner l’ensemble du cycle de vie d’un projet. Qu’il s’agisse de développer un nouveau logiciel, de lancer un service en ligne, de déployer une solution d’intelligence artificielle ou de mettre en place un nouvel outil interne, la protection des données doit être prise en compte dès les premières phases de conception.

Intégrer la protection des données dès la conception

Le principe de Privacy by Design impose aux organisations d’intégrer les exigences du RGPD dès la définition d’un projet. Cette réflexion préalable permet d’identifier les risques liés au traitement des données personnelles avant leur mise en œuvre et d’adopter les mesures nécessaires pour les prévenir. Concrètement, avant le lancement d’un projet, plusieurs questions doivent être posées :

  • Quelles données personnelles seront collectées ?
  • Pourquoi ces données sont-elles nécessaires ?
  • Existe-t-il une solution moins intrusive ?
  • Quels risques ce traitement présente-t-il pour les personnes concernées ?
  • Quelles mesures techniques et organisationnelles permettront de réduire ces risques ?

L’objectif est de faire de la protection des données un critère de conception, au même titre que la sécurité, les performances ou les coûts.

La protection des données par défaut

Le principe de Privacy by Default complète cette démarche. Il impose que les paramètres par défaut d’un service ou d’une application assurent le niveau de protection le plus élevé possible. Autrement dit, une organisation ne doit pas demander aux utilisateurs de modifier eux-mêmes les réglages afin de protéger leurs données personnelles. Par défaut :

  • seules les données strictement nécessaires doivent être collectées ;
  • les données ne doivent être accessibles qu’aux personnes habilitées ;
  • les fonctionnalités les plus intrusives doivent être désactivées tant qu’elles ne sont pas nécessaires ;
  • les durées de conservation doivent être limitées au strict nécessaire.

Ce principe renforce la maîtrise des personnes sur leurs données et limite les risques liés à des configurations inadaptées.

Une démarche transversale

La mise en œuvre de ces principes ne relève pas uniquement du service juridique ou du délégué à la protection des données. Elle implique une collaboration entre plusieurs acteurs :

  • les directions métiers ;
  • les équipes informatiques ;
  • les développeurs ;
  • les responsables de la sécurité des systèmes d’information ;
  • les chefs de projet ;
  • les responsables de la conformité.

La protection des données devient ainsi une responsabilité partagée au sein de l’organisation.

Des mesures adaptées aux risques

Le RGPD n’impose pas une liste de mesures techniques précises. Il exige que les mesures retenues soient adaptées :

  • à la nature du traitement ;
  • au volume des données concernées ;
  • aux risques pour les droits et libertés des personnes ;
  • à l’état des connaissances techniques ;
  • aux coûts de mise en œuvre.

Les organisations disposent ainsi d’une certaine souplesse, à condition de pouvoir justifier les choix effectués.

Quelques exemples de mise en œuvre

L’application du Privacy by Design peut conduire une organisation à :

  • limiter le nombre de données collectées dans un formulaire ;
  • prévoir des mécanismes de pseudonymisation lorsque cela est possible ;
  • intégrer une gestion des habilitations dès la conception d’un logiciel ;
  • prévoir des journaux de traçabilité permettant de détecter les accès non autorisés ;
  • définir des durées de conservation automatisées ;
  • intégrer des fonctionnalités facilitant l’exercice des droits des personnes.

De même, le Privacy by Default peut se traduire par :

  • un profil utilisateur configuré avec le niveau de confidentialité le plus protecteur ;
  • des cases de consentement non précochées ;
  • un partage des données désactivé par défaut ;
  • une limitation automatique des accès aux seules personnes autorisées.

Un enjeu majeur pour les projets numériques

Ces principes prennent une importance particulière dans les projets de transformation numérique. Le recours au cloud, aux objets connectés, aux plateformes collaboratives ou aux systèmes d’intelligence artificielle conduit souvent les organisations à traiter des volumes importants de données personnelles. Intégrer les exigences du RGPD dès la conception permet :

  • de réduire les risques juridiques ;
  • de limiter les coûts liés à des modifications tardives ;
  • d’améliorer la sécurité des traitements ;
  • de renforcer la confiance des utilisateurs.

À l’inverse, une prise en compte tardive de ces questions conduit fréquemment à des adaptations complexes, voire à la remise en cause du projet.

Une approche au service de l’innovation

Contrairement à une idée reçue, le Privacy by Design ne constitue pas un frein à l’innovation. Il favorise au contraire le développement de solutions numériques plus robustes, plus transparentes et plus respectueuses des droits des personnes. Cette approche encourage les organisations à anticiper les conséquences de leurs choix technologiques et à intégrer les exigences juridiques dès les premières phases de conception. Elle participe ainsi à une innovation responsable, conciliant développement technologique, maîtrise des risques et protection des droits fondamentaux.

À retenir

Les principes de Privacy by Design et de Privacy by Default invitent les organisations à intégrer la protection des données personnelles au cœur de leurs projets numériques. La conformité au RGPD ne consiste pas à corriger un traitement une fois qu’il est mis en œuvre. Elle suppose d’anticiper les risques, de concevoir des traitements respectueux des droits des personnes et de retenir, par défaut, les solutions les plus protectrices. Cette démarche constitue aujourd’hui un élément essentiel de la gouvernance des données et un facteur de confiance pour les utilisateurs, les partenaires et les autorités de contrôle. Partie suivante : Les obligations des organisations – de la cartographie des traitements à ➡ la gestion des violations de données personnelles.

PARTIE III — Les obligations des organisations Chapitre 8 — Cartographier les traitements :

le point de départ de toute démarche de conformité

La conformité au RGPD ne commence ni par la rédaction d’une politique de confidentialité, ni par la désignation d’un délégué à la protection des données (DPO). Elle commence par une question simple : Quels traitements de données personnelles notre organisation met-elle réellement en œuvre ? Pour répondre à cette question, toute organisation doit réaliser une cartographie de ses traitements. Cette étape constitue le fondement de toute démarche de conformité. Il est en effet impossible de protéger ce que l’on ne connaît pas.

Pourquoi cartographier les traitements ?

Dans la plupart des organisations, les données personnelles circulent entre différents services, applications et prestataires. Elles sont utilisées pour gérer les ressources humaines, la relation client, les achats, la comptabilité, la communication, les outils collaboratifs ou encore les systèmes de sécurité. Ces traitements sont souvent mis en place progressivement, sans vision d’ensemble. La cartographie permet de retrouver cette vision globale. Elle offre une photographie précise des traitements réalisés au sein de l’organisation et constitue la base de toutes les autres obligations prévues par le RGPD.

Une étape indispensable

La cartographie permet notamment :

  • d’identifier les traitements existants ;
  • de déterminer les finalités poursuivies ;
  • de vérifier que chaque traitement repose sur une base juridique appropriée ;
  • d’identifier les données réellement nécessaires ;
  • de connaître les destinataires des données ;
  • d’évaluer les risques pour les personnes concernées ;
  • de déterminer les durées de conservation ;
  • d’identifier les sous-traitants impliqués.

Sans cette vision d’ensemble, il devient difficile d’apprécier le niveau de conformité de l’organisation.

Une démarche transversale

La cartographie ne peut pas être réalisée uniquement par le service juridique. Elle suppose la participation de l’ensemble des directions concernées. Parmi les services généralement impliqués figurent notamment :

  • les ressources humaines ;
  • la direction informatique ;
  • les services commerciaux ;
  • le marketing ;
  • la comptabilité ;
  • les achats ;
  • les directions opérationnelles ;
  • les responsables métiers.

Chaque service est souvent le mieux placé pour décrire les traitements qu’il met en œuvre au quotidien.

Quelles informations recenser ?

Pour chaque traitement, plusieurs informations doivent être identifiées.

L’objectif du traitement

Pourquoi les données sont-elles collectées ? Exemples :

  • gestion des salariés ;
  • recrutement ;
  • gestion des clients ;
  • facturation ;
  • prospection commerciale ;
  • vidéosurveillance ;
  • gestion des fournisseurs.

La finalité doit être précise et légitime.

Les données traitées

Il convient ensuite d’identifier les catégories de données utilisées. Par exemple :

  • identité ;
  • coordonnées ;
  • données professionnelles ;
  • données financières ;
  • données de connexion ;
  • images ;
  • données de localisation.

Cette étape permet notamment de vérifier le respect du principe de minimisation.

Les personnes concernées

Chaque traitement concerne une ou plusieurs catégories de personnes. Il peut s’agir :

  • des salariés ;
  • des candidats ;
  • des clients ;
  • des prospects ;
  • des fournisseurs ;
  • des usagers ;
  • des partenaires.

La base juridique

Chaque traitement doit reposer sur une base juridique prévue par le RGPD. Il convient donc d’identifier celle qui justifie le traitement. Cette analyse sera approfondie dans un chapitre spécifique du guide.

Les destinataires

Il est également nécessaire d’identifier les personnes ou organismes susceptibles d’accéder aux données. Il peut s’agir :

  • des services internes ;
  • des sous-traitants ;
  • des partenaires ;
  • des administrations ;
  • des autorités compétentes.

Les transferts internationaux

Les données sont-elles transférées hors de l’Union européenne ? Cette question est particulièrement importante lorsque l’organisation utilise :

  • des solutions cloud ;
  • des plateformes collaboratives ;
  • des prestataires internationaux ;
  • des services d’intelligence artificielle.

Les durées de conservation

Chaque traitement doit être associé à une durée de conservation adaptée à sa finalité. Une conservation indéfinie est rarement compatible avec le RGPD.

Les mesures de sécurité

Enfin, il convient d’identifier les principales mesures destinées à protéger les données. Par exemple :

  • gestion des habilitations ;
  • authentification ;
  • chiffrement ;
  • sauvegardes ;
  • journalisation ;
  • politique de mots de passe.

Une photographie évolutive

La cartographie ne constitue pas un document figé. Les traitements évoluent constamment. Une organisation recrute. Elle développe de nouveaux services. Elle change de logiciel. Elle fait appel à un nouveau prestataire. Elle déploie une solution d’intelligence artificielle. Chaque évolution doit conduire à mettre à jour la cartographie afin qu’elle demeure fidèle à la réalité.

La cartographie comme outil de gouvernance

Au-delà de la conformité réglementaire, la cartographie constitue un véritable outil de pilotage. Elle permet notamment :

  • de mieux connaître les flux de données ;
  • de rationaliser les traitements existants ;
  • d’identifier les traitements devenus inutiles ;
  • de renforcer la sécurité des systèmes d’information ;
  • de préparer les analyses d’impact ;
  • de faciliter les contrôles internes.

Elle contribue ainsi à une meilleure gouvernance des données au sein de l’organisation.

Les erreurs les plus fréquentes

Plusieurs difficultés sont régulièrement observées lors de la réalisation d’une cartographie. Parmi les plus courantes figurent :

  • limiter l’analyse aux seuls traitements informatiques ;
  • oublier certains services ou certaines filiales ;
  • ne pas associer les responsables métiers ;
  • confondre traitement et logiciel ;
  • recenser les applications sans analyser les finalités ;
  • ne jamais mettre la cartographie à jour.

Ces erreurs réduisent fortement l’utilité de l’exercice et peuvent fragiliser la démarche de conformité.

À retenir

La cartographie des traitements constitue le point de départ de toute démarche de conformité au RGPD. Elle permet à une organisation de connaître précisément les traitements qu’elle met en œuvre, d’identifier les risques associés et de disposer d’une vision globale de ses flux de données. Bien plus qu’une obligation documentaire, elle constitue un outil de gouvernance qui facilite la maîtrise des risques, la transparence et la protection des droits des personnes. ➡ Chapitre suivant : Le registre des activités de traitement : une obligation documentaire au service de la gouvernance des données.

PARTIE III — Les obligations des organisations Chapitre 9 — Le registre des activités de traitement : un outil de gouvernance avant d’être une obligation documentaire

Le registre des activités de traitement est souvent perçu comme l’un des documents emblématiques du RGPD. Pour de nombreuses organisations, il symbolise même la conformité. Cette perception est pourtant réductrice. Le registre n’est pas une fin en soi. Il constitue avant tout un outil de gouvernance, permettant de recenser, d’organiser et de documenter les traitements de données personnelles mis en œuvre au sein de l’organisation. Correctement élaboré et régulièrement mis à jour, il devient un véritable tableau de bord de la gouvernance des données.

Qu’est-ce que le registre des activités de traitement ?

Le registre est un document qui recense les traitements de données personnelles réalisés par une organisation. Il permet de disposer, dans un document unique, d’une vision structurée des traitements mis en œuvre et de leurs principales caractéristiques. Le registre répond à plusieurs objectifs :

  • démontrer la conformité de l’organisation ;
  • faciliter la gestion des traitements ;
  • identifier les risques ;
  • préparer les contrôles de l’autorité de protection des données ;
  • assurer une meilleure coordination entre les différents services.

Il constitue l’une des principales manifestations du principe d’accountability.

Une obligation prévue par le RGPD

L’article 30 du RGPD impose, dans de nombreuses situations, la tenue d’un registre des activités de traitement. Cette obligation concerne notamment :

  • les organismes publics ;
  • les organisations employant au moins 250 salariés ;
  • mais également les organisations de plus petite taille lorsque les traitements qu’elles réalisent sont susceptibles d’engendrer un risque pour les droits et libertés des personnes, ne sont pas occasionnels ou portent sur des catégories particulières de données.

En pratique, la plupart des organisations ont intérêt à tenir un registre, même lorsqu’elles estiment ne pas y être légalement tenues. Il constitue en effet un outil indispensable pour piloter la conformité.

Que contient un registre ?

Le registre ne se limite pas à une simple liste de traitements. Pour chacun d’eux, plusieurs informations doivent être documentées. On retrouve notamment :

  • le nom du responsable de traitement ;
  • les finalités poursuivies ;
  • les catégories de personnes concernées ;
  • les catégories de données traitées ;
  • les destinataires des données ;
  • les éventuels transferts hors de l’Union européenne ;
  • les durées de conservation ;
  • une description générale des mesures de sécurité mises en œuvre.

Ces informations permettent d’avoir une vision d’ensemble des traitements réalisés.

Un document vivant

Le registre ne doit pas être élaboré une seule fois puis archivé. Il doit évoluer en même temps que l’organisation. Chaque nouveau traitement doit conduire à une mise à jour. Il en va de même lorsqu’un traitement est supprimé, modifié ou externalisé. Par exemple :

  • mise en place d’un nouvel outil RH ;
  • changement de logiciel CRM ;
  • recours à un nouveau prestataire cloud ;
  • lancement d’une application mobile ;
  • déploiement d’un système d’intelligence artificielle.

Le registre doit refléter la réalité des traitements. Un registre obsolète présente peu d’intérêt et peut même fragiliser l’organisation en cas de contrôle.

Un outil de dialogue entre les services

Le registre ne concerne pas uniquement les juristes ou le délégué à la protection des données. Il favorise les échanges entre les différentes fonctions de l’organisation. Sa construction mobilise généralement :

  • les responsables métiers ;
  • les ressources humaines ;
  • les équipes informatiques ;
  • la direction des systèmes d’information ;
  • les responsables de la sécurité ;
  • les achats ;
  • la direction juridique ;
  • le DPO lorsqu’il existe.

Cette approche collaborative contribue à diffuser une culture de la protection des données au sein de l’organisation.

Un support pour les autres obligations du RGPD

Le registre facilite la mise en œuvre de nombreuses autres obligations prévues par le règlement. Il permet notamment :

  • d’identifier les traitements nécessitant une analyse d’impact (AIPD) ;
  • de vérifier la pertinence des durées de conservation ;
  • d’identifier les sous-traitants impliqués ;
  • de préparer les informations destinées aux personnes concernées ;
  • de faciliter l’exercice des droits des personnes ;
  • d’identifier les traitements nécessitant des mesures de sécurité renforcées.

Il constitue ainsi un document de référence pour l’ensemble de la démarche de conformité.

Un document utile en cas de contrôle

En cas de contrôle par l’autorité de protection des données, le registre figure parmi les premiers documents susceptibles d’être demandés. Il permet à l’autorité d’apprécier :

  • la connaissance qu’a l’organisation de ses traitements ;
  • le niveau de maturité de sa gouvernance des données ;
  • la cohérence de sa démarche de conformité.

À l’inverse, un registre incomplet ou manifestement éloigné de la réalité peut révéler des difficultés plus profondes dans l’organisation de la conformité.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs erreurs reviennent régulièrement. Certaines organisations :

  • recopient un modèle générique sans l’adapter à leurs activités ;
  • recensent uniquement les logiciels utilisés au lieu des traitements réalisés ;
  • oublient certains services ou certaines filiales ;
  • ne mettent jamais le registre à jour ;
  • décrivent les traitements de manière trop vague ;
  • ne documentent pas les durées de conservation ou les mesures de sécurité.

Le registre perd alors sa fonction première : permettre une compréhension claire des traitements mis en œuvre.

Le registre comme outil de gouvernance

Lorsqu’il est correctement conçu, le registre dépasse largement le cadre de la conformité réglementaire. Il permet à l’organisation :

  • de mieux connaître ses flux de données ;
  • d’identifier les traitements redondants ;
  • d’améliorer la qualité de ses processus ;
  • de préparer les audits internes ;
  • de faciliter les projets numériques ;
  • d’intégrer plus facilement les nouvelles réglementations européennes, notamment en matière d’intelligence artificielle ou de gouvernance des données.

Il devient ainsi un véritable outil d’aide à la décision.

À retenir

Le registre des activités de traitement ne doit pas être considéré comme une simple obligation documentaire. Il constitue la mémoire des traitements de données personnelles de l’organisation et un instrument essentiel de sa gouvernance. Régulièrement mis à jour, partagé avec les services concernés et intégré aux processus de décision, il permet de démontrer la conformité tout en facilitant la maîtrise des risques et le pilotage des traitements. Plus qu’un document administratif, le registre est le reflet de la manière dont une organisation connaît, maîtrise et gouverne les données personnelles qu’elle traite. ➡ Chapitre suivant : Informer les personnes concernées : une exigence de transparence au cœur du RGPD.

PARTIE III — Les obligations des organisations Chapitre 10 — Informer les personnes concernées : une exigence de transparence au cœur du RGPD

La transparence constitue l’un des principes fondamentaux du Règlement général sur la protection des données (RGPD). Les personnes dont les données sont collectées doivent pouvoir comprendre facilement comment et pourquoi leurs informations sont utilisées. Cette obligation d’information dépasse la simple publication d’une politique de confidentialité. Elle participe à l’instauration d’une relation de confiance entre l’organisation et les personnes concernées. Informer de manière claire, complète et accessible est une condition essentielle de la licéité des traitements.

Pourquoi informer les personnes ?

Le traitement de données personnelles implique nécessairement une collecte d’informations relatives à des individus. Ces derniers doivent pouvoir savoir :

  • quelles données sont collectées ;
  • pour quelles finalités ;
  • sur quelle base juridique ;
  • pendant combien de temps elles seront conservées ;
  • avec qui elles pourront être partagées ;
  • quels sont leurs droits ;
  • comment les exercer.

Sans cette information, les personnes ne sont pas en mesure d’exercer un contrôle effectif sur leurs données. L’obligation d’information constitue donc l’une des principales garanties offertes par le RGPD.

Une information claire, compréhensible et accessible

Le RGPD n’impose pas seulement de communiquer certaines informations. Il exige également que celles-ci soient présentées dans un langage :

  • clair ;
  • simple ;
  • compréhensible ;
  • facilement accessible.

Les formulations excessivement juridiques ou techniques doivent être évitées. L’objectif est que toute personne puisse comprendre les traitements réalisés, sans avoir besoin de connaissances particulières en droit ou en informatique. Cette exigence est particulièrement importante lorsque les traitements concernent des personnes vulnérables, notamment les mineurs.

À quel moment faut-il informer ?

L’information doit être délivrée au moment où les données sont collectées. Lorsque les données sont recueillies directement auprès de la personne concernée, celle-ci doit disposer des informations nécessaires avant ou au moment de la collecte. Lorsque les données proviennent d’une autre source, le RGPD prévoit que l’information soit fournie dans un délai raisonnable, sous réserve de certaines exceptions. Dans tous les cas, l’information doit intervenir suffisamment tôt pour permettre à la personne de comprendre les conséquences du traitement.

Quelles informations doivent être communiquées ?

Le contenu de l’information varie selon les circonstances, mais plusieurs éléments sont généralement indispensables. L’organisation doit notamment préciser :

  • son identité et ses coordonnées ;
  • les coordonnées du délégué à la protection des données lorsqu’il en existe un ;
  • les finalités poursuivies ;
  • la base juridique du traitement ;
  • les intérêts légitimes invoqués, le cas échéant ;
  • les destinataires ou catégories de destinataires des données ;
  • l’existence éventuelle de transferts de données hors de l’Union européenne ;
  • les durées de conservation ou les critères permettant de les déterminer ;
  • les droits reconnus aux personnes concernées ;
  • la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente ;
  • le caractère obligatoire ou facultatif des données demandées lorsque cette information est pertinente ;
  • l’existence éventuelle d’une prise de décision automatisée, y compris le profilage, lorsqu’elle produit des effets juridiques ou affecte significativement la personne.

L’information doit être adaptée au traitement concerné. Une politique de confidentialité générique est rarement suffisante.

Adapter l’information au contexte

Tous les traitements ne nécessitent pas les mêmes modalités d’information. Selon les situations, celle-ci peut prendre différentes formes :

  • une politique de confidentialité sur un site internet ;
  • une mention d’information sous un formulaire ;
  • une notice remise aux salariés ;
  • une clause contractuelle ;
  • une information affichée dans les locaux ;
  • une information intégrée dans une application mobile.

L’essentiel est que les personnes puissent accéder facilement aux informations qui les concernent.

Une information évolutive

L’obligation d’information ne s’arrête pas au moment de la collecte. Lorsque les caractéristiques d’un traitement évoluent de manière significative, les personnes concernées doivent en être informées. Par exemple :

  • modification de la finalité du traitement ;
  • changement de prestataire impliquant un nouveau destinataire ;
  • transfert de données vers un pays tiers ;
  • évolution des durées de conservation.

La transparence implique une information actualisée tout au long de la vie du traitement.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs difficultés sont régulièrement constatées. Certaines organisations :

  • utilisent des politiques de confidentialité copiées sur des modèles génériques ;
  • rédigent des informations excessivement longues ou complexes ;
  • omettent certaines finalités ;
  • ne mettent pas leurs mentions d’information à jour ;
  • multiplient les renvois vers d’autres documents, rendant l’information difficilement accessible.

Ces pratiques sont contraires à l’esprit du RGPD, qui privilégie une information réellement compréhensible.

Une obligation qui renforce la confiance

Au-delà de la conformité réglementaire, une information claire constitue un élément de qualité dans la relation avec les utilisateurs, les clients, les salariés ou les partenaires. Elle démontre que l’organisation assume ses responsabilités et traite les données personnelles de manière transparente. Cette transparence contribue à renforcer la confiance et participe plus largement à une gouvernance responsable des données.

À retenir

Informer les personnes concernées est une obligation essentielle du RGPD. Cette information doit être délivrée au bon moment, dans un langage clair et accessible, et permettre à chacun de comprendre les traitements réalisés ainsi que les droits dont il dispose. L’information ne constitue pas une simple formalité documentaire. Elle est l’expression concrète du principe de transparence et participe à la relation de confiance entre les organisations et les personnes dont elles traitent les données. ➡ Chapitre suivant : Choisir une base juridique : sur quel fondement une organisation peut- elle traiter des données personnelles ?

PARTIE III — Les obligations des organisations Chapitre 11 — Choisir une base juridique : sur quel fondement une organisation peut-elle traiter des données personnelles ?

Le RGPD n’interdit pas le traitement des données personnelles. En revanche, il exige que chaque traitement repose sur une base juridique clairement identifiée. Autrement dit, une organisation ne peut pas collecter, utiliser ou conserver des données personnelles au seul motif qu’elles pourraient lui être utiles. Elle doit être en mesure de justifier juridiquement chacun de ses traitements. Le choix de la base juridique constitue l’une des premières décisions à prendre lors de la conception d’un traitement. Il détermine non seulement la licéité du traitement, mais également les droits des personnes concernées et les obligations de l’organisation.

Qu’est-ce qu’une base juridique ?

La base juridique est le fondement qui autorise un traitement de données personnelles. Le RGPD énumère limitativement six bases juridiques. Une organisation doit pouvoir rattacher chaque traitement à l’une d’entre elles. Le choix de cette base ne peut pas être effectué après coup pour justifier un traitement existant. Il doit résulter d’une analyse préalable et être cohérent avec la finalité poursuivie.

Le consentement

Le consentement est probablement la base juridique la plus connue, mais il est aussi l’une des plus mal comprises. Le consentement n’est pas la solution par défaut. Pour être valable, il doit être :

  • libre ;
  • spécifique ;
  • éclairé ;
  • univoque.

La personne doit exprimer une volonté claire d’accepter le traitement. Le silence, l’inaction ou des cases précochées ne constituent pas un consentement valable. Le consentement doit également pouvoir être retiré à tout moment, aussi facilement qu’il a été donné.

Exemples

Le consentement peut notamment être approprié pour :

  • l’envoi d’une newsletter à des particuliers ;
  • l’utilisation de certains cookies non essentiels ;
  • la publication de photographies lorsque aucun autre fondement n’est applicable.

À l’inverse, il est rarement adapté lorsqu’il existe un déséquilibre entre les parties, notamment dans certaines relations de travail.

L’exécution d’un contrat

Une organisation peut traiter des données lorsqu’elles sont nécessaires à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande. Cette base juridique est très fréquente. Elle couvre par exemple :

  • la gestion des commandes ;
  • la livraison de produits ;
  • la fourniture d’un service ;
  • la gestion d’un compte client ;
  • l’établissement d’un devis demandé par un prospect.

En revanche, elle ne permet pas de justifier des traitements qui ne sont pas nécessaires à l’exécution du contrat.

Le respect d’une obligation légale

De nombreuses organisations traitent des données parce qu’un texte législatif ou réglementaire leur impose de le faire. Cette base juridique concerne notamment :

  • la gestion de la paie ;
  • les déclarations sociales ;
  • les obligations comptables ;
  • certaines obligations fiscales ;
  • la lutte contre le blanchiment ;
  • les obligations de conservation prévues par la loi.

Dans ces situations, le traitement ne repose pas sur le consentement mais sur une obligation imposée par le droit.

La sauvegarde des intérêts vitaux

Cette base juridique est exceptionnelle. Elle permet un traitement lorsqu’il est nécessaire pour protéger la vie ou l’intégrité physique d’une personne. Elle peut notamment être utilisée dans certaines situations d’urgence médicale lorsque la personne concernée est dans l’impossibilité de donner son consentement. En pratique, cette base est rarement mobilisée par les entreprises.

L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique

Cette base concerne principalement :

  • les administrations ;
  • les collectivités territoriales ;
  • certains établissements publics ;
  • les organismes chargés d’une mission de service public.

Le traitement est alors justifié par l’exercice d’une mission définie par la loi.

L’intérêt légitime

L’intérêt légitime est souvent la base juridique la plus délicate à mettre en œuvre. Il permet à une organisation de réaliser un traitement lorsqu’il poursuit un intérêt légitime, à condition que celui-ci ne porte pas une atteinte disproportionnée aux droits et libertés des personnes concernées. Cette base suppose une véritable mise en balance. L’organisation doit démontrer :

  • l’existence d’un intérêt légitime ;
  • la nécessité du traitement ;
  • l’absence d’atteinte excessive aux droits des personnes.

Cette analyse doit être documentée.

Exemples

L’intérêt légitime peut notamment être invoqué pour :

  • assurer la sécurité des réseaux informatiques ;
  • prévenir la fraude ;
  • gérer certains contentieux ;
  • réaliser certaines opérations de prospection auprès de professionnels ;
  • sécuriser les locaux.

Chaque situation doit toutefois faire l’objet d’une analyse au cas par cas.

Une base juridique par traitement

Chaque traitement doit être associé à une base juridique clairement identifiée. En revanche, il n’est généralement pas possible de changer de base juridique en cours de route simplement parce qu’une autre serait plus avantageuse. La cohérence est essentielle. Par exemple, une organisation ne peut pas demander le consentement d’une personne si le traitement est en réalité nécessaire à l’exécution d’un contrat. Inversement, elle ne peut pas invoquer l’intérêt légitime lorsque la loi exige le recueil du consentement.

Les conséquences du choix de la base juridique

Le choix de la base juridique produit plusieurs effets. Il influence notamment :

  • les informations devant être communiquées aux personnes concernées ;
  • les droits qu’elles peuvent exercer ;
  • la durée de conservation des données ;
  • les obligations de documentation ;
  • les modalités de preuve de la conformité.

Une erreur de qualification peut donc fragiliser l’ensemble du traitement.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs difficultés reviennent régulièrement. Certaines organisations :

  • demandent systématiquement le consentement alors qu’il n’est pas nécessaire ;
  • utilisent le consentement alors qu’il ne peut pas être librement donné ;
  • invoquent l’intérêt légitime sans réaliser d’analyse préalable ;
  • changent de base juridique après la mise en œuvre du traitement ;
  • ne documentent pas le choix effectué.

Ces erreurs peuvent être relevées lors d’un contrôle et remettre en cause la licéité du traitement.

Une décision structurante

Le choix de la base juridique n’est pas une formalité administrative. Il traduit la manière dont une organisation justifie juridiquement ses traitements. Cette décision doit intervenir dès la conception du projet et être régulièrement réévaluée lorsque les traitements évoluent. Une base juridique correctement identifiée facilite la conformité, renforce la transparence et contribue à instaurer une relation de confiance avec les personnes concernées.

À retenir

Aucun traitement de données personnelles ne peut être mis en œuvre sans base juridique. Le RGPD prévoit six fondements limitatifs, chacun répondant à des situations précises. Le consentement n’est ni la règle générale ni la solution la plus simple. Dans de nombreux cas, le traitement repose sur l’exécution d’un contrat, une obligation légale ou un intérêt légitime. Le choix de la base juridique constitue une décision structurante qui conditionne la licéité du traitement et l’ensemble des obligations qui en découlent. Chapitre suivant : Encadrer les relations avec les sous-traitants : responsabilités, contrats ➡ et obligations partagées.

PARTIE III — Les obligations des organisations Chapitre 12 — Encadrer les relations avec les sous-traitants : responsabilités, contrats et obligations partagées

Le recours à des prestataires est devenu incontournable pour la plupart des organisations. Hébergement cloud, logiciels SaaS, maintenance informatique, solutions RH, services de paie, marketing digital ou encore intelligence artificielle : de nombreux traitements de données personnelles sont aujourd’hui confiés à des tiers. Cette externalisation ne dispense toutefois pas les organisations de leurs responsabilités. Le RGPD impose un encadrement précis des relations entre le responsable de traitement et le sous- traitant afin de garantir que les données personnelles bénéficient d’un niveau de protection équivalent, qu’elles soient traitées en interne ou par un prestataire.

Qui est sous-traitant au sens du RGPD ?

Le sous-traitant est une personne physique ou morale qui traite des données personnelles pour le compte d’un responsable de traitement. Il agit conformément aux instructions de ce dernier et n’utilise pas les données pour ses propres finalités. En pratique, de nombreux prestataires peuvent être qualifiés de sous-traitants, notamment :

  • les fournisseurs de solutions cloud ;
  • les éditeurs de logiciels en mode SaaS ;
  • les prestataires d’hébergement ;
  • les sociétés de maintenance informatique ;
  • les cabinets assurant la gestion de la paie ;
  • les prestataires de marketing ou d’envoi de courriels ;
  • certains fournisseurs de services d’intelligence artificielle.

La qualification ne dépend pas de l’intitulé du contrat mais de la réalité des missions confiées.

Le responsable de traitement demeure responsable

L’externalisation d’un traitement ne transfère pas la responsabilité de la conformité. Le responsable de traitement conserve la maîtrise des finalités et des moyens essentiels du traitement. À ce titre, il lui appartient notamment :

  • de choisir un sous-traitant présentant des garanties suffisantes ;
  • de définir précisément les traitements confiés ;
  • de contrôler le respect des obligations contractuelles ;
  • de vérifier que les mesures de sécurité sont adaptées.

Le recours à un prestataire ne constitue donc pas un moyen de se décharger des obligations prévues par le RGPD.

Choisir un sous-traitant offrant des garanties suffisantes

Avant de confier des données personnelles à un prestataire, une organisation doit s’assurer que celui- ci est en mesure de respecter les exigences du RGPD. Cette évaluation peut porter notamment sur :

  • son niveau de sécurité informatique ;
  • son organisation interne ;
  • ses procédures de gestion des incidents ;
  • ses certifications éventuelles ;
  • son expérience dans le traitement de données personnelles ;
  • les pays dans lesquels les données seront hébergées ou accessibles.

Cette démarche relève pleinement du principe d’accountability.

L’obligation de conclure un contrat

Le RGPD impose que les relations entre le responsable de traitement et le sous-traitant soient formalisées par un contrat ou un autre acte juridique écrit. Ce contrat constitue un élément essentiel de la conformité. Il ne s’agit pas d’une simple formalité administrative mais d’un document qui organise les responsabilités de chaque partie.

Les clauses essentielles du contrat

Le contrat doit notamment préciser :

  • l’objet et la durée du traitement ;
  • la nature des opérations réalisées ;
  • les catégories de données concernées ;
  • les catégories de personnes concernées ;
  • les obligations et les droits du responsable de traitement.

Il doit également prévoir les engagements du sous-traitant. Celui-ci s’engage notamment à :

  • traiter les données uniquement sur instruction du responsable de traitement ;
  • garantir la confidentialité des personnes autorisées à accéder aux données ;
  • mettre en œuvre des mesures de sécurité appropriées ;
  • assister le responsable de traitement dans le respect de certaines obligations du RGPD ;
  • notifier les violations de données dans les meilleurs délais ;
  • supprimer ou restituer les données à l’issue de la prestation, sauf obligation légale contraire ;
  • permettre la réalisation d’audits lorsque cela est prévu.

Ces clauses ne doivent pas être considérées comme de simples modèles contractuels. Elles doivent être adaptées à la nature du traitement et aux risques qu’il présente.

Les sous-traitants ultérieurs

Il est fréquent qu’un sous-traitant fasse lui-même appel à un autre prestataire. On parle alors de sous-traitant ultérieur. Le RGPD encadre cette pratique. Le sous-traitant ne peut pas librement confier les données à un autre prestataire. Selon les modalités prévues au contrat, il doit obtenir une autorisation spécifique ou générale du responsable de traitement. Cette exigence permet à l’organisation de conserver une maîtrise de la chaîne de traitement.

Les transferts de données hors de l’Union européenne

Le choix d’un prestataire implique également de s’interroger sur la localisation des données. De nombreux services numériques reposent sur des infrastructures réparties dans plusieurs pays. Lorsque des données personnelles sont transférées en dehors de l’Union européenne, des garanties complémentaires peuvent être nécessaires. Il est donc essentiel d’identifier :

  • les lieux d’hébergement ;
  • les accès réalisés depuis des pays tiers ;
  • les mécanismes juridiques encadrant ces transferts.

Cette question sera développée dans un chapitre consacré aux transferts internationaux de données.

Le suivi de la relation avec le sous-traitant

La conformité ne s’arrête pas à la signature du contrat. Le responsable de traitement doit suivre l’exécution de la prestation et s’assurer que les engagements contractuels sont effectivement respectés. Ce suivi peut notamment comprendre :

  • des échanges réguliers avec le prestataire ;
  • la mise à jour des contrats ;
  • des questionnaires de conformité ;
  • des audits lorsque cela est justifié ;
  • la vérification des mesures de sécurité ;
  • le contrôle des éventuels sous-traitants ultérieurs.

Cette vigilance est d’autant plus importante lorsque les traitements présentent des risques élevés pour les personnes concernées.

Les erreurs les plus fréquentes

Certaines pratiques demeurent fréquentes malgré les exigences du RGPD. Par exemple :

  • signer les conditions générales du prestataire sans analyser les clauses relatives aux données personnelles ;
  • ignorer le lieu d’hébergement des données ;
  • ne jamais réévaluer les garanties offertes par le prestataire ;
  • multiplier les sous-traitants sans disposer d’une vision d’ensemble ;
  • ne pas prévoir de procédure en cas de violation de données.

Ces situations peuvent fragiliser la conformité de l’organisation et compliquer la gestion d’un incident.

Une relation fondée sur la confiance et la responsabilité

Le recours à des sous-traitants est aujourd’hui indispensable au fonctionnement de nombreuses organisations. Le RGPD ne remet pas en cause cette externalisation. Il impose en revanche qu’elle s’inscrive dans un cadre clair, transparent et sécurisé. Le contrat, la sélection du prestataire et le suivi de la relation constituent autant d’éléments qui permettent de maîtriser les risques et de garantir une protection effective des données personnelles.

À retenir

Le responsable de traitement demeure responsable des traitements qu’il confie à des prestataires. Le choix du sous-traitant, la conclusion d’un contrat conforme au RGPD et le suivi de l’exécution de la prestation constituent des étapes essentielles de la conformité. Dans un environnement où les organisations recourent de plus en plus à des services cloud, à des solutions SaaS et à des outils d’intelligence artificielle, la gestion des sous-traitants est devenue un enjeu majeur de gouvernance des données et de maîtrise des risques. Chapitre suivant : Assurer la sécurité des données personnelles : une obligation ➡ permanente au service de la confiance.

PARTIE III — Les obligations des organisations Chapitre 13 — Assurer la sécurité des données personnelles : une obligation permanente au service de la confiance

La protection des données personnelles ne peut être effective sans un niveau de sécurité adapté. Les cyberattaques, les erreurs humaines, les défaillances techniques ou les actes de malveillance peuvent entraîner la perte, l’altération ou la divulgation de données personnelles, avec des conséquences importantes pour les personnes concernées comme pour les organisations. Le RGPD consacre ainsi la sécurité des traitements comme une obligation fondamentale. Celle-ci ne consiste pas à garantir un risque zéro, mais à mettre en œuvre des mesures appropriées au regard des risques présentés par les traitements. La sécurité des données relève donc d’une démarche continue de prévention, d’adaptation et d’amélioration.

Une obligation fondée sur les risques

Le RGPD n’impose pas une liste uniforme de mesures de sécurité. Les obligations varient selon plusieurs critères :

  • la nature des données traitées ;
  • le volume des traitements ;
  • les finalités poursuivies ;
  • les technologies utilisées ;
  • la vraisemblance et la gravité des risques pour les personnes.

Une PME ne sera pas soumise aux mêmes exigences qu’un établissement hospitalier ou qu’un opérateur de services numériques. Cette approche permet d’adapter les mesures de sécurité à la réalité des traitements.

Les risques à prendre en compte

Une organisation doit identifier les principaux risques susceptibles d’affecter les données personnelles. Il peut notamment s’agir :

  • d’un accès non autorisé ;
  • d’une perte accidentelle de données ;
  • d’une destruction ou d’une altération des informations ;
  • d’un vol d’équipement informatique ;
  • d’une cyberattaque ;
  • d’une erreur de manipulation ;
  • d’un acte de malveillance interne ;
  • d’une indisponibilité des systèmes.

L’objectif est d’anticiper ces risques afin de réduire leur probabilité et leurs conséquences.

Des mesures techniques et organisationnelles

La sécurité ne repose pas uniquement sur des outils informatiques. Le RGPD vise à la fois des mesures techniques et des mesures organisationnelles.

Les mesures techniques

Parmi les principales mesures techniques figurent notamment :

  • la gestion des habilitations ;
  • l’authentification des utilisateurs ;
  • l’utilisation de mots de passe robustes ;
  • l’authentification multifactorielle lorsque cela est approprié ;
  • le chiffrement des données ;
  • la pseudonymisation lorsque cela est possible ;
  • les sauvegardes régulières ;
  • la journalisation des accès ;
  • les mises à jour de sécurité ;
  • la segmentation des réseaux.

Le choix de ces mesures dépend du niveau de risque identifié.

Les mesures organisationnelles

La sécurité repose également sur l’organisation de l’entreprise. Elle suppose notamment :

  • une politique de sécurité des systèmes d’information ;
  • des procédures internes documentées ;
  • une gestion des habilitations ;
  • des règles relatives aux équipements professionnels ;
  • une sensibilisation régulière des collaborateurs ;
  • une gestion des prestataires ;
  • des procédures de gestion des incidents.

Dans de nombreux cas, les erreurs humaines constituent le principal facteur de risque. La formation des équipes est donc un élément essentiel de la sécurité.

La sécurité tout au long du cycle de vie des données

Les mesures de sécurité doivent accompagner les données personnelles à chaque étape de leur traitement. Dès leur collecte, il convient de s’assurer que seules les personnes autorisées peuvent y accéder. Pendant leur utilisation, les accès doivent être limités aux besoins des missions exercées. Lorsqu’elles sont archivées, les données doivent être protégées contre toute consultation ou modification non autorisée. Enfin, lorsqu’elles arrivent au terme de leur durée de conservation, leur suppression doit être réalisée de manière sécurisée. La sécurité n’est donc pas une opération ponctuelle mais un processus continu.

Le rôle des collaborateurs

La sécurité des données personnelles ne relève pas exclusivement des équipes informatiques. Chaque collaborateur participe, à son niveau, à la protection des informations qu’il manipule. Quelques bonnes pratiques contribuent à réduire les risques :

  • verrouiller son poste de travail en cas d’absence ;
  • utiliser des mots de passe robustes et distincts ;
  • signaler rapidement tout incident ou comportement suspect ;
  • vérifier l’identité des destinataires avant d’envoyer des informations sensibles ;
  • rester vigilant face aux tentatives d’hameçonnage (phishing).

Une culture de la sécurité constitue souvent la meilleure protection contre les incidents.

Les prestataires et la sécurité

Les organisations confient fréquemment des données personnelles à des prestataires. Le responsable de traitement doit donc s’assurer que ceux-ci mettent également en œuvre des mesures de sécurité appropriées. Cette vérification peut intervenir :

  • lors du choix du prestataire ;
  • au moment de la négociation du contrat ;
  • tout au long de l’exécution de la prestation.

La sécurité de la chaîne de sous-traitance fait désormais partie intégrante de la conformité au RGPD.

Une articulation avec les autres réglementations

Les exigences du RGPD en matière de sécurité s’inscrivent dans un cadre réglementaire plus large. Selon les secteurs d’activité, les organisations peuvent également être soumises à d’autres textes, notamment :

  • la directive NIS2 ;
  • le règlement DORA ;
  • le Cyber Resilience Act ;
  • les règles applicables aux opérateurs d’importance vitale ou aux opérateurs de services essentiels.

Ces réglementations poursuivent des objectifs complémentaires et renforcent progressivement les exigences de cybersécurité applicables aux organisations.

Les erreurs les plus fréquentes

Certaines insuffisances sont régulièrement observées. Par exemple :

  • considérer que la sécurité relève uniquement du service informatique ;
  • accorder des accès trop larges aux collaborateurs ;
  • conserver des comptes utilisateurs inutilisés ;
  • retarder les mises à jour de sécurité ;
  • ne pas tester les sauvegardes ;
  • négliger la formation des équipes ;
  • ne pas anticiper la gestion des incidents.

Ces situations augmentent le risque de violation de données et peuvent engager la responsabilité de l’organisation.

La sécurité comme facteur de confiance

La sécurité des données personnelles ne constitue pas seulement une obligation réglementaire. Elle participe directement à la confiance accordée par les clients, les salariés, les partenaires et les autorités. Une organisation capable de démontrer qu’elle protège efficacement les données qu’elle traite renforce sa crédibilité et limite les conséquences juridiques, financières et réputationnelles d’un éventuel incident. La sécurité s’inscrit ainsi dans une démarche plus large de gouvernance des données et de responsabilité numérique.

À retenir

Le RGPD impose aux organisations de mettre en œuvre des mesures techniques et organisationnelles adaptées afin de garantir un niveau de sécurité proportionné aux risques présentés par les traitements. Cette obligation ne repose pas sur un modèle unique. Elle suppose une évaluation régulière des risques, une amélioration continue des mesures de protection et une implication de l’ensemble des acteurs de l’organisation. La sécurité des données personnelles constitue aujourd’hui un élément essentiel de la conformité au RGPD, mais également un levier de confiance et de résilience face aux risques numériques. ➡ Chapitre suivant : Gérer les violations de données personnelles : identifier, notifier et limiter les conséquences d’un incident.

PARTIE III — Les obligations des organisations Chapitre 14 — Gérer les violations de données personnelles : anticiper, réagir et limiter les conséquences

Malgré les mesures de sécurité mises en œuvre, aucune organisation n’est totalement à l’abri d’un incident de sécurité. Une erreur humaine, une cyberattaque, une défaillance technique ou un acte de malveillance peuvent entraîner une violation de données personnelles. Le RGPD n’exige pas l’absence totale d’incident. En revanche, il impose aux organisations d’être en mesure de détecter rapidement les violations, d’en évaluer les conséquences, de prendre les mesures nécessaires pour y remédier et, lorsque les conditions sont réunies, de les notifier à l’autorité de contrôle ainsi qu’aux personnes concernées. La gestion des violations de données constitue aujourd’hui un élément essentiel de la gouvernance des risques numériques.

Qu’est-ce qu’une violation de données personnelles ?

Le RGPD définit la violation de données personnelles comme une violation de la sécurité entraînant, de manière accidentelle ou illicite :

  • la destruction des données ;
  • leur perte ;
  • leur altération ;
  • leur divulgation non autorisée ;
  • ou l’accès non autorisé à des données personnelles.

Cette définition est volontairement large. Une violation ne résulte pas nécessairement d’une cyberattaque. Elle peut également être provoquée par une erreur interne ou un incident matériel.

Quelques exemples de violations

Une violation de données peut notamment résulter :

  • d’un ordinateur portable volé contenant des données personnelles ;
  • d’un courriel envoyé par erreur au mauvais destinataire ;
  • d’une base de données accessible publiquement en raison d’une mauvaise configuration ;
  • d’une attaque par rançongiciel (ransomware) ;
  • d’une perte de documents papier contenant des informations confidentielles ;
  • d’un accès abusif aux dossiers de clients ou de salariés ;
  • d’une suppression accidentelle de données sans possibilité de restauration.

Toutes ces situations doivent faire l’objet d’une analyse.

Les trois types de violations

Les violations peuvent affecter trois dimensions essentielles de la sécurité des données.

La confidentialité

La violation concerne un accès ou une divulgation non autorisés. Exemples :

  • piratage d’une base de données ;
  • envoi d’informations à un mauvais destinataire ;
  • consultation de dossiers sans habilitation.

L’intégrité

Les données sont modifiées ou altérées de manière non autorisée. Exemples :

  • modification frauduleuse d’informations ;
  • corruption de fichiers ;
  • altération d’une base de données.

La disponibilité

Les données deviennent indisponibles ou sont perdues. Exemples :

  • suppression accidentelle ;
  • panne informatique ;
  • chiffrement des données par un rançongiciel ;
  • destruction de sauvegardes.

Certaines violations peuvent affecter simultanément plusieurs de ces dimensions.

Réagir rapidement

La rapidité de réaction est déterminante. Dès qu’une violation est détectée, l’organisation doit être en mesure de :

  • identifier les circonstances de l’incident ;
  • sécuriser les systèmes concernés ;
  • limiter la propagation de l’incident ;
  • préserver les éléments utiles à l’analyse ;
  • évaluer les conséquences pour les personnes concernées.

Cette première phase conditionne la suite de la gestion de l’incident.

Évaluer les risques

Toutes les violations ne présentent pas le même niveau de gravité. L’organisation doit apprécier si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes. Cette analyse tient compte notamment :

  • de la nature des données concernées ;
  • du nombre de personnes affectées ;
  • de la facilité d’identification des personnes ;
  • des conséquences possibles (usurpation d’identité, discrimination, perte financière, atteinte à la réputation, etc.) ;
  • des mesures de protection existantes, telles que le chiffrement.

Cette évaluation doit être réalisée sans délai.

La notification à l’autorité de contrôle

Lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes, le responsable de traitement doit notifier l’incident à l’autorité de contrôle compétente. En France, cette autorité est la CNIL. La notification doit intervenir dans les meilleurs délais et, si possible, dans les 72 heures après que le responsable de traitement a eu connaissance de la violation. Lorsque ce délai ne peut être respecté, l’organisation doit être en mesure d’en expliquer les raisons. La notification comprend notamment :

  • la nature de la violation ;
  • les catégories de données concernées ;
  • le nombre approximatif de personnes affectées ;
  • les conséquences probables ;
  • les mesures déjà prises ou envisagées pour limiter les effets de l’incident.

Informer les personnes concernées

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, celles-ci doivent également être informées. Cette information doit être :

  • claire ;
  • compréhensible ;
  • réalisée dans les meilleurs délais.

Elle doit permettre aux personnes concernées de prendre les mesures nécessaires pour limiter les conséquences de l’incident. L’organisation doit notamment expliquer :

  • la nature de la violation ;
  • les risques potentiels ;
  • les mesures déjà mises en œuvre ;
  • les recommandations destinées aux personnes concernées ;
  • les coordonnées d’un point de contact.

Dans certaines situations, cette information peut ne pas être nécessaire, notamment lorsque les données étaient efficacement chiffrées ou que des mesures ultérieures ont supprimé le risque élevé.

Documenter chaque incident

Même lorsqu’une violation ne doit pas être notifiée à la CNIL, elle doit être documentée. L’organisation conserve une trace des incidents afin de pouvoir démontrer sa conformité. Cette documentation peut notamment préciser :

  • la date de l’incident ;
  • les circonstances ;
  • les données concernées ;
  • l’analyse des risques ;
  • les décisions prises ;
  • les mesures correctrices mises en œuvre.

Ce registre des violations participe directement au principe d’accountability.

Tirer les enseignements de l’incident

Une violation constitue également une opportunité d’améliorer les pratiques de l’organisation. Après chaque incident, il est recommandé d’analyser :

  • les causes de la violation ;
  • les éventuelles défaillances organisationnelles ;
  • les insuffisances techniques ;
  • les besoins de formation des collaborateurs ;
  • les mesures permettant d’éviter qu’une situation similaire ne se reproduise.

Cette démarche de retour d’expérience contribue à renforcer durablement la sécurité des traitements.

Anticiper plutôt que subir

Une bonne gestion des violations ne s’improvise pas. Les organisations ont intérêt à définir à l’avance une procédure interne précisant :

  • les personnes à alerter ;
  • les responsabilités de chacun ;
  • les modalités d’analyse des incidents ;
  • les critères de notification ;
  • les actions de communication ;
  • les mesures de remédiation.

Cette préparation permet de réagir plus rapidement lorsqu’un incident survient.

À retenir

Une violation de données personnelles ne traduit pas nécessairement un manquement au RGPD. En revanche, l’absence de réaction appropriée peut engager la responsabilité de l’organisation. Le règlement impose une gestion structurée des incidents : identifier rapidement la violation, en évaluer les risques, mettre en œuvre les mesures correctrices nécessaires, notifier la CNIL lorsque cela est requis et informer les personnes concernées en cas de risque élevé. Au-delà de ces obligations, chaque incident doit être considéré comme une occasion d’améliorer la gouvernance des données, de renforcer les mesures de sécurité et de développer une culture de prévention des risques numériques. ➡ Chapitre suivant : L’analyse d’impact relative à la protection des données (AIPD) : anticiper les risques pour les droits et libertés des personnes.

PARTIE III — Les obligations des organisations Chapitre 15 — L’analyse d’impact relative à la protection des données (AIPD) : anticiper les risques avant qu’ils ne surviennent

Le Règlement général sur la protection des données (RGPD) repose sur une logique de prévention. Plutôt que d’attendre qu’un incident survienne, il invite les organisations à identifier les risques susceptibles de porter atteinte aux droits et libertés des personnes avant la mise en œuvre de certains traitements. C’est l’objet de l’analyse d’impact relative à la protection des données (AIPD), également appelée Data Protection Impact Assessment (DPIA). L’AIPD constitue un outil d’aide à la décision. Elle permet d’évaluer les risques liés à un traitement, de déterminer les mesures permettant de les réduire et, plus largement, d’intégrer la protection des données dans la conception des projets.

Qu’est-ce qu’une AIPD ?

L’AIPD est une analyse structurée destinée à apprécier les conséquences qu’un traitement de données personnelles est susceptible d’avoir sur les droits et libertés des personnes concernées. Elle ne vise pas à apprécier les risques pour l’organisation elle-même, mais bien les risques auxquels sont exposées les personnes dont les données sont traitées. L’objectif est de répondre à une question essentielle : Le traitement envisagé respecte-t-il les droits des personnes et, si ce n’est pas le cas, quelles mesures permettent de réduire les risques à un niveau acceptable ?

Dans quels cas une AIPD est-elle obligatoire ?

Une analyse d’impact est requise lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le RGPD ne dresse pas une liste exhaustive des traitements concernés. Il retient une approche fondée sur les risques. Une AIPD est notamment susceptible d’être nécessaire lorsque le traitement implique :

  • une évaluation ou un profilage des personnes ;
  • une prise de décision automatisée produisant des effets significatifs ;
  • le traitement à grande échelle de catégories particulières de données ;
  • une surveillance systématique de personnes accessibles au public ;
  • l’utilisation de technologies innovantes ;
  • le croisement de plusieurs bases de données ;
  • le traitement de données concernant des personnes vulnérables.

Les autorités de contrôle, notamment la CNIL, publient également des listes de traitements pour lesquels une AIPD est obligatoire ou, au contraire, peut ne pas être nécessaire.

Une démarche à engager dès la conception du projet

L’analyse d’impact ne doit pas être réalisée une fois le traitement mis en œuvre. Elle intervient en amont, au moment où les principales décisions peuvent encore être adaptées. Cette anticipation permet notamment :

  • de modifier certaines fonctionnalités ;
  • de limiter la collecte de données ;
  • de renforcer les mesures de sécurité ;
  • de revoir l’organisation du traitement ;
  • de mieux informer les personnes concernées.

L’AIPD participe ainsi pleinement au principe de Privacy by Design.

Les principales étapes d’une AIPD

Même si la méthode peut varier selon les organisations, une analyse d’impact comporte généralement plusieurs étapes.

Décrire le traitement

La première étape consiste à comprendre précisément le traitement envisagé. L’organisation doit notamment identifier :

  • les finalités poursuivies ;
  • les données collectées ;
  • les personnes concernées ;
  • les destinataires des données ;
  • les technologies utilisées ;
  • les flux de données.

Cette description constitue la base de l’analyse.

Évaluer la nécessité et la proportionnalité

L’organisation doit ensuite s’interroger sur la pertinence du traitement. Plusieurs questions peuvent être posées :

  • Les données collectées sont-elles réellement nécessaires ?
  • Les finalités sont-elles clairement définies ?
  • Existe-t-il une solution moins intrusive ?
  • Les durées de conservation sont-elles justifiées ?
  • Les personnes disposent-elles d’une information suffisante ?

Cette étape permet de vérifier le respect des principes fondamentaux du RGPD.

Identifier les risques

L’analyse porte ensuite sur les conséquences que le traitement pourrait avoir pour les personnes concernées. Les risques peuvent notamment concerner :

  • une atteinte à la vie privée ;
  • une usurpation d’identité ;
  • une discrimination ;
  • une perte financière ;
  • une atteinte à la réputation ;
  • une surveillance excessive ;
  • une limitation injustifiée de certains droits.

L’objectif n’est pas seulement d’identifier les incidents techniques, mais d’apprécier leurs conséquences concrètes pour les personnes.

Déterminer les mesures de protection

Une fois les risques identifiés, l’organisation doit déterminer les mesures permettant de les réduire. Ces mesures peuvent être :

  • techniques ;
  • organisationnelles ;
  • contractuelles ;
  • ou juridiques.

Par exemple :

  • limiter les accès aux données ;
  • mettre en œuvre un chiffrement ;
  • pseudonymiser certaines informations ;
  • réduire les durées de conservation ;
  • renforcer l’information des personnes ;
  • prévoir des contrôles réguliers.

L’objectif est d’abaisser les risques à un niveau acceptable.

Le rôle du délégué à la protection des données

Lorsque l’organisation a désigné un délégué à la protection des données (DPO), celui-ci doit être associé à la réalisation de l’AIPD. Son rôle consiste notamment à :

  • conseiller l’organisation ;
  • vérifier la méthodologie retenue ;
  • formuler des recommandations ;
  • suivre la mise en œuvre des mesures décidées.

Toutefois, la responsabilité de l’analyse demeure celle du responsable de traitement.

Que faire si le risque demeure élevé ?

Il peut arriver que, malgré les mesures envisagées, le traitement présente toujours un risque élevé pour les droits et libertés des personnes. Dans cette situation, le RGPD prévoit un mécanisme de consultation préalable de l’autorité de contrôle. Avant de mettre en œuvre le traitement, le responsable de traitement doit solliciter l’avis de la CNIL, qui pourra formuler des recommandations ou demander des adaptations. Cette procédure demeure exceptionnelle mais illustre la logique préventive du règlement.

Une démarche évolutive

Une AIPD n’est pas un document figé. Elle doit être réexaminée lorsque le traitement évolue de manière significative. Par exemple :

  • ajout de nouvelles fonctionnalités ;
  • recours à une nouvelle technologie ;
  • augmentation importante du volume de données traitées ;
  • modification des finalités ;
  • évolution des risques identifiés.

Une mise à jour régulière garantit que l’analyse reste pertinente tout au long du cycle de vie du traitement.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs difficultés sont régulièrement observées. Certaines organisations :

  • réalisent une AIPD alors que le projet est déjà déployé ;
  • utilisent un modèle générique sans véritable analyse des risques ;
  • confondent les risques pour l’organisation avec les risques pour les personnes ;
  • oublient d’associer les équipes métiers et techniques ;
  • ne réévaluent jamais l’analyse malgré les évolutions du traitement.

Ces pratiques réduisent considérablement l’intérêt de l’AIPD.

Une démarche au service d’une innovation responsable

L’analyse d’impact ne doit pas être perçue comme une contrainte administrative supplémentaire. Elle constitue un outil d’aide à la décision qui permet d’intégrer la protection des données dans les projets numériques dès leur conception. Elle favorise une approche responsable de l’innovation, particulièrement lorsqu’une organisation déploie des traitements complexes, des systèmes d’intelligence artificielle ou des technologies émergentes. En identifiant les risques en amont, l’AIPD contribue à développer des services plus sûrs, plus transparents et plus respectueux des droits fondamentaux.

À retenir

L’analyse d’impact relative à la protection des données constitue l’un des principaux outils de prévention prévus par le RGPD. Obligatoire pour les traitements susceptibles d’engendrer un risque élevé, elle permet d’identifier les conséquences d’un traitement sur les droits et libertés des personnes et de définir les mesures nécessaires pour réduire ces risques. Au-delà de son caractère réglementaire, l’AIPD favorise une gouvernance responsable des données et accompagne les organisations dans la conception de projets numériques conformes, sécurisés et respectueux des droits fondamentaux. ➡ Chapitre suivant : Le délégué à la protection des données (DPO) : rôle, missions et place dans la gouvernance des organisations.

PARTIE III — Les obligations des organisations Chapitre 16 — Le délégué à la protection des données (DPO) : un acteur clé de la gouvernance des données

La conformité au RGPD ne repose pas uniquement sur des procédures ou des documents. Elle suppose également une organisation interne capable d’accompagner les projets, d’identifier les risques et de diffuser une culture de la protection des données. C’est dans cette perspective que le Règlement général sur la protection des données a consacré le rôle du délégué à la protection des données, plus connu sous son acronyme anglais DPO (Data Protection Officer). Le DPO n’est ni le responsable de la conformité de l’organisation, ni son représentant auprès de l’autorité de contrôle. Il est avant tout un conseiller indépendant chargé d’accompagner l’organisation dans la mise en œuvre du RGPD.

Qu’est-ce qu’un DPO ?

Le délégué à la protection des données est la personne désignée pour informer, conseiller et accompagner l’organisation dans le respect de ses obligations en matière de protection des données personnelles. Son rôle est avant tout préventif. Il contribue à intégrer les exigences du RGPD dans les activités de l’organisation et favorise une approche durable de la conformité. Le DPO constitue également un point de contact privilégié :

  • pour les personnes concernées ;
  • pour les collaborateurs ;
  • pour les autorités de contrôle, notamment la CNIL.

Dans quels cas la désignation d’un DPO est-elle obligatoire ?

Le RGPD prévoit plusieurs situations dans lesquelles la désignation d’un DPO est obligatoire. C’est notamment le cas lorsque :

  • le traitement est effectué par une autorité ou un organisme public (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
  • les activités principales de l’organisation consistent en des traitements qui nécessitent un suivi régulier et systématique des personnes à grande échelle ;
  • les activités principales portent sur le traitement à grande échelle de catégories particulières de données ou de données relatives aux condamnations pénales et aux infractions.

En dehors de ces hypothèses, une organisation peut choisir de désigner volontairement un DPO. Cette démarche est souvent recommandée lorsque les traitements sont nombreux ou complexes.

Un rôle de conseil

Le DPO accompagne les responsables de traitement dans leurs décisions. Il peut notamment :

  • expliquer les exigences du RGPD ;
  • participer à la conception de nouveaux projets ;
  • conseiller sur les analyses d’impact ;
  • contribuer à la rédaction des procédures internes ;
  • sensibiliser les équipes aux bonnes pratiques.

Son intervention permet d’anticiper les difficultés plutôt que de les corriger après la mise en œuvre des traitements.

Un rôle de contrôle

Le DPO veille également au respect des règles applicables. Il peut notamment :

  • suivre la mise en œuvre des politiques internes ;
  • vérifier la conformité des traitements ;
  • participer aux audits ;
  • contrôler le respect des procédures ;
  • formuler des recommandations d’amélioration.

Il ne dispose toutefois pas d’un pouvoir de décision sur les traitements. La responsabilité de la conformité demeure entre les mains du responsable de traitement.

Un rôle de sensibilisation

La conformité au RGPD dépend largement des pratiques quotidiennes des collaborateurs. Le DPO joue un rôle essentiel dans le développement d’une culture de la protection des données. Il peut notamment organiser :

  • des actions de sensibilisation ;
  • des formations ;
  • des ateliers pratiques ;
  • la diffusion de guides internes ;
  • des campagnes de communication.

Ces actions contribuent à réduire les erreurs humaines, qui figurent parmi les principales causes de violations de données.

Une indépendance garantie

Pour exercer efficacement ses missions, le DPO bénéficie d’un statut particulier. Le RGPD exige qu’il puisse accomplir ses missions en toute indépendance. Cela implique notamment que :

  • ses avis soient pris en considération ;
  • il dispose des moyens nécessaires à l’exercice de ses fonctions ;
  • il ne reçoive pas d’instructions concernant l’exécution de ses missions ;
  • il ne soit pas sanctionné pour les avis qu’il formule dans le cadre de ses fonctions.

Cette indépendance est indispensable pour garantir la crédibilité de son intervention.

Les moyens nécessaires

La désignation d’un DPO ne suffit pas à assurer la conformité. L’organisation doit lui permettre d’exercer effectivement ses missions. Cela suppose notamment :

  • un accès aux informations utiles ;
  • des ressources adaptées ;
  • une implication dans les nouveaux projets ;
  • une coopération avec les différentes directions.

Le DPO doit pouvoir intervenir suffisamment tôt dans les projets afin que ses recommandations puissent être prises en compte.

Un interlocuteur de la CNIL

Le DPO constitue également le point de contact privilégié de la CNIL. Il peut être amené à :

  • répondre aux demandes de l’autorité ;
  • accompagner les contrôles ;
  • suivre les recommandations formulées ;
  • faciliter les échanges avec les services compétents.

Cette mission contribue à instaurer un dialogue constructif entre l’organisation et l’autorité de contrôle.

Le DPO n’est pas seul responsable de la conformité

L’une des idées reçues les plus répandues consiste à considérer que la désignation d’un DPO transfère la responsabilité du respect du RGPD. Il n’en est rien. Le responsable de traitement demeure responsable des traitements mis en œuvre. Le DPO conseille, accompagne et contrôle, mais il ne décide pas à la place de l’organisation. La conformité reste une responsabilité collective. Elle implique :

  • la direction ;
  • les responsables métiers ;
  • les équipes informatiques ;
  • les ressources humaines ;
  • les collaborateurs ;
  • les prestataires.

Le DPO agit comme un coordinateur et un facilitateur de cette démarche.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs difficultés sont régulièrement observées. Certaines organisations :

  • désignent un DPO sans lui donner les moyens d’exercer ses missions ;
  • l’associent trop tard aux projets ;
  • lui confient des fonctions incompatibles avec son indépendance ;
  • considèrent qu’il est seul responsable de la conformité ;
  • limitent son intervention à la gestion documentaire.

Ces situations réduisent fortement l’efficacité de la fonction.

Un acteur de la gouvernance des données

Le rôle du DPO dépasse aujourd’hui le seul cadre du RGPD. Face au développement de l’intelligence artificielle, des plateformes numériques, de la cybersécurité ou des nouvelles réglementations européennes, son expertise contribue plus largement à la gouvernance des données. Sans se substituer aux directions opérationnelles, il participe à la construction d’une organisation plus responsable, plus transparente et mieux préparée aux évolutions du droit du numérique.

À retenir

Le délégué à la protection des données est un acteur essentiel de la conformité au RGPD. Sa mission consiste à informer, conseiller, sensibiliser et accompagner les organisations dans la protection des données personnelles. Indépendant dans l’exercice de ses fonctions, il contribue au développement d’une véritable culture de la protection des données. Toutefois, la responsabilité de la conformité demeure celle du responsable de traitement. Le DPO n’est pas un garant unique du respect du RGPD, mais un partenaire stratégique au service d’une gouvernance durable des données. ➡ Chapitre suivant : Les transferts de données hors de l’Union européenne : encadrer la circulation internationale des données personnelles.

PARTIE III — Les obligations des organisations Chapitre 17 — Les transferts de données hors de l’Union européenne : encadrer la circulation internationale des données personnelles

Le développement du cloud computing, des services numériques, des plateformes collaboratives et des solutions d’intelligence artificielle conduit aujourd’hui la plupart des organisations à transférer des données personnelles au-delà des frontières de l’Union européenne. Ces transferts sont devenus une réalité quotidienne, parfois sans que les organisations en aient pleinement conscience. Le RGPD n’interdit pas les transferts internationaux de données. En revanche, il les encadre strictement afin de garantir que les personnes continuent de bénéficier d’un niveau élevé de protection, même lorsque leurs données sont traitées en dehors de l’Union européenne.

Qu’est-ce qu’un transfert de données ?

Un transfert de données personnelles intervient lorsqu’une organisation met des données à disposition d’un organisme situé dans un pays tiers à l’Union européenne ou lorsqu’un prestataire établi hors de l’Union européenne peut accéder à ces données. Le transfert ne suppose pas nécessairement un déplacement physique des données. Il peut résulter, par exemple :

  • de l’utilisation d’un service cloud ;
  • d’un accès à distance par une équipe située hors de l’Union européenne ;
  • du recours à un prestataire informatique étranger ;
  • de l’utilisation d’un outil de gestion de la relation client (CRM) ;
  • de certains services d’intelligence artificielle hébergés en dehors de l’Union européenne.

Dans un environnement numérique mondialisé, ces situations sont particulièrement fréquentes.

Pourquoi les transferts sont-ils encadrés ?

Le RGPD poursuit un objectif simple : éviter qu’un transfert de données n’aboutisse à une diminution du niveau de protection accordé aux personnes. Tous les États ne disposent pas d’une réglementation comparable au RGPD. Certaines législations permettent un accès très large des autorités publiques aux données ou n’offrent pas de voies de recours effectives aux personnes concernées. Le règlement européen impose donc des garanties destinées à préserver les droits fondamentaux des personnes, quel que soit le lieu où leurs données sont traitées.

Les transferts vers un pays bénéficiant d’une décision d’adéquation

La solution la plus simple consiste à transférer les données vers un pays reconnu par la Commission européenne comme offrant un niveau de protection essentiellement équivalent à celui garanti au sein de l’Union européenne. On parle alors de décision d’adéquation. Dans cette hypothèse, les données peuvent circuler sans formalités supplémentaires. Toutefois, tous les pays ne bénéficient pas d’une telle décision et celle-ci peut évoluer dans le temps. Les organisations doivent donc vérifier régulièrement la situation des pays vers lesquels elles transfèrent des données.

Les garanties appropriées

En l’absence de décision d’adéquation, un transfert demeure possible à condition de mettre en place des garanties appropriées. La solution la plus courante repose sur les clauses contractuelles types adoptées par la Commission européenne. Ces clauses ont pour objet d’encadrer les relations entre les parties et de garantir un niveau élevé de protection des données transférées. Selon les situations, d’autres mécanismes peuvent également être utilisés, tels que :

  • les règles d’entreprise contraignantes (Binding Corporate Rules) pour les groupes internationaux ;
  • certains codes de conduite ou mécanismes de certification lorsqu’ils répondent aux exigences du RGPD.

Ces garanties ne dispensent toutefois pas l’organisation d’une analyse concrète des conditions dans lesquelles les données seront effectivement protégées.

Une vigilance renforcée depuis l’arrêt Schrems II

La question des transferts internationaux a connu une évolution majeure avec l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne en 2020. Cette décision a rappelé que la signature de clauses contractuelles ne suffit pas, à elle seule, à garantir la licéité d’un transfert. Les organisations doivent désormais apprécier si le droit du pays destinataire est susceptible de compromettre l’efficacité des garanties prévues par le RGPD. Lorsque cela est nécessaire, elles doivent mettre en œuvre des mesures complémentaires, notamment :

  • le chiffrement des données ;
  • la pseudonymisation ;
  • des restrictions d’accès ;
  • des mesures organisationnelles renforcées.

Cette analyse est devenue un élément essentiel de la gouvernance des transferts internationaux.

Les outils numériques et les transferts de données

De nombreuses organisations utilisent quotidiennement des services numériques proposés par des fournisseurs internationaux. Messagerie électronique, outils collaboratifs, solutions de visioconférence, logiciels RH, plateformes marketing ou encore services d’intelligence artificielle peuvent entraîner des transferts de données hors de l’Union européenne. Avant de recourir à ces services, il est recommandé de vérifier notamment :

  • où les données sont hébergées ;
  • qui peut y accéder ;
  • quelles garanties contractuelles sont proposées ;
  • si des transferts ultérieurs sont prévus ;
  • quelles mesures de sécurité sont mises en œuvre.

Cette vérification doit faire partie du processus de sélection des prestataires.

Une responsabilité qui incombe à l’organisation

Le recours à un prestataire international ne dispense pas le responsable de traitement de ses obligations. Il lui appartient de :

  • identifier les transferts réalisés ;
  • choisir un mécanisme juridique approprié ;
  • vérifier les garanties offertes ;
  • documenter son analyse ;
  • réévaluer régulièrement la situation.

Cette démarche s’inscrit pleinement dans le principe d’accountability.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs difficultés sont régulièrement constatées. Certaines organisations :

  • ignorent que leurs outils numériques impliquent des transferts internationaux ;
  • supposent que l’hébergement des données dans l’Union européenne suffit à exclure tout transfert ;
  • ne vérifient pas les conditions d’accès des prestataires étrangers ;
  • ne réévaluent jamais les garanties mises en place ;
  • utilisent des services numériques sans analyser leurs conséquences au regard du RGPD.

Ces situations peuvent fragiliser la conformité de l’organisation et accroître les risques juridiques.

Une question stratégique à l’ère du numérique

Les transferts internationaux de données ne constituent plus un sujet réservé aux grandes entreprises multinationales. Toute organisation utilisant des services cloud, des plateformes numériques ou des solutions d’intelligence artificielle est susceptible d’être concernée. La maîtrise de ces flux de données devient un enjeu stratégique de souveraineté numérique, de cybersécurité et de protection des droits fondamentaux. Dans ce contexte, les transferts internationaux doivent être envisagés comme un élément à part entière de la gouvernance des données.

À retenir

Le RGPD autorise les transferts de données personnelles hors de l’Union européenne, mais uniquement lorsqu’un niveau de protection suffisant est garanti. Les organisations doivent identifier les transferts qu’elles réalisent, choisir un mécanisme juridique adapté et vérifier que les personnes concernées continuent de bénéficier d’une protection effective. À l’heure où les services numériques reposent largement sur des infrastructures internationales, la maîtrise des transferts de données constitue un enjeu majeur de conformité, de cybersécurité et de responsabilité numérique. ➡ Partie suivante : Les droits des personnes concernées – comprendre et garantir l’exercice des droits reconnus par le RGPD.

PARTIE IV — Les droits des personnes concernées Chapitre 18 — Les droits des personnes :

replacer l’individu au cœur de la protection des données

L’une des principales ambitions du Règlement général sur la protection des données (RGPD) est de redonner aux personnes une maîtrise effective sur leurs données personnelles. Cette ambition se traduit par la reconnaissance d’un ensemble de droits permettant à chacun de comprendre comment ses données sont utilisées, d’en obtenir communication, d’en demander la rectification ou l’effacement dans certaines situations, et plus largement de garder le contrôle sur les traitements qui le concernent. Pour les organisations, ces droits constituent une obligation juridique. Pour les personnes, ils représentent l’expression concrète du droit fondamental à la protection des données personnelles.

Une logique de maîtrise des données

Le RGPD ne reconnaît pas un droit de propriété sur les données personnelles. En revanche, il confère aux personnes plusieurs prérogatives destinées à leur permettre d’exercer un contrôle sur les traitements les concernant. Cette approche répond à un constat simple : dans un environnement numérique où les données circulent rapidement entre de nombreux acteurs, la protection des personnes suppose qu’elles puissent intervenir sur l’utilisation de leurs informations. Les droits prévus par le règlement participent ainsi à la transparence, à la responsabilité des organisations et à l’équilibre des relations entre les personnes et les responsables de traitement.

Quels sont les principaux droits reconnus par le RGPD ?

Le règlement reconnaît notamment aux personnes concernées :

  • le droit à l’information ;
  • le droit d’accès ;
  • le droit de rectification ;
  • le droit à l’effacement ;
  • le droit à la limitation du traitement ;
  • le droit à la portabilité des données ;
  • le droit d’opposition ;
  • le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé dans certaines situations.

Chacun de ces droits répond à des conditions particulières qui seront détaillées dans les chapitres suivants.

Des droits qui ne sont pas absolus

Les droits reconnus par le RGPD ne s’exercent pas sans limite. Le règlement cherche à concilier plusieurs intérêts légitimes. Ainsi, une organisation peut, dans certaines situations, refuser une demande lorsqu’une disposition légale l’y autorise ou lorsqu’un autre droit fondamental justifie cette limitation. Par exemple :

  • une obligation légale de conservation ;
  • la défense de droits en justice ;
  • certaines missions d’intérêt public ;
  • la protection des droits d’autrui.

Tout refus doit cependant être justifié et communiqué à la personne concernée.

Des obligations pour les organisations

Les organisations doivent être en mesure de répondre efficacement aux demandes d’exercice des droits. Cela implique notamment :

  • d’identifier les demandes reçues ;
  • de vérifier l’identité du demandeur lorsque cela est nécessaire ;
  • d’analyser les conditions d’exercice du droit invoqué ;
  • de répondre dans les délais prévus par le RGPD ;
  • de conserver une trace des demandes traitées.

Cette organisation suppose souvent la mise en place de procédures internes afin d’assurer un traitement homogène des demandes.

Des délais à respecter

Le RGPD prévoit que les demandes doivent être traitées dans les meilleurs délais et, en principe, dans un délai d’un mois à compter de leur réception. Ce délai peut être prolongé lorsque la demande est particulièrement complexe ou lorsque plusieurs demandes sont présentées simultanément. La personne concernée doit alors être informée de cette prolongation et des raisons qui la justifient.

Une réponse en principe gratuite

L’exercice des droits est en principe gratuit. Toutefois, lorsqu’une demande est manifestement infondée ou excessive, notamment en raison de son caractère répétitif, le responsable de traitement peut :

  • demander le paiement de frais raisonnables correspondant aux coûts administratifs supportés

;

  • ou refuser de donner suite à la demande.

Il appartient alors à l’organisation de démontrer le caractère manifestement abusif de la demande.

Une démarche qui renforce la confiance

La gestion des demandes d’exercice des droits ne doit pas être perçue comme une contrainte administrative. Elle constitue une occasion de renforcer la transparence et la qualité de la relation avec les personnes concernées. Une organisation capable de répondre rapidement, clairement et de manière documentée aux demandes qui lui sont adressées démontre qu’elle maîtrise ses traitements et qu’elle respecte les droits des personnes. Cette capacité constitue aujourd’hui un indicateur important de maturité en matière de gouvernance des données.

Une responsabilité partagée

La gestion des droits des personnes ne relève pas uniquement du délégué à la protection des données. Selon la nature de la demande, plusieurs services peuvent être concernés :

  • les ressources humaines ;
  • les équipes informatiques ;
  • le service client ;
  • les directions métiers ;
  • le service juridique.

Une bonne coordination entre ces acteurs est indispensable pour garantir des réponses complètes et conformes aux exigences du RGPD.

À retenir

Les droits reconnus par le RGPD permettent aux personnes de conserver une maîtrise effective sur leurs données personnelles. Pour les organisations, ces droits impliquent la mise en place de procédures internes permettant de recevoir, d’analyser et de traiter les demandes dans les délais prévus par le règlement. Au-delà de leur dimension juridique, ces droits participent à une relation de confiance fondée sur la transparence, la responsabilité et le respect des personnes. ➡ Chapitre suivant : Le droit d’accès : permettre à chacun de savoir quelles données sont traitées et dans quelles conditions.

PARTIE IV — Les droits des personnes concernées Chapitre 19 — Le droit d’accès : permettre à chacun de comprendre l’utilisation de ses données personnelles

Le droit d’accès constitue l’un des droits les plus importants reconnus par le Règlement général sur la protection des données (RGPD). Il permet à toute personne de savoir si une organisation traite des données personnelles la concernant et, dans l’affirmative, d’obtenir des informations sur ces traitements. Ce droit est la condition préalable à l’exercice de nombreux autres droits. Une personne ne peut demander la rectification ou l’effacement de données qu’à partir du moment où elle connaît les informations détenues par une organisation. Le droit d’accès participe ainsi directement au principe de transparence consacré par le RGPD.

En quoi consiste le droit d’accès ?

Toute personne peut demander à une organisation de lui confirmer si des données personnelles la concernant sont traitées. Lorsque tel est le cas, elle peut obtenir :

  • la confirmation de l’existence du traitement ;
  • l’accès aux données personnelles qui la concernent ;
  • diverses informations sur les conditions dans lesquelles ces données sont utilisées.

Le droit d’accès ne porte donc pas uniquement sur les données elles-mêmes. Il permet également de comprendre le traitement dont elles font l’objet.

Quelles informations doivent être communiquées ?

Lorsque le droit d’accès est exercé, l’organisation doit fournir un ensemble d’informations permettant à la personne de comprendre le traitement réalisé. Ces informations portent notamment sur :

  • les finalités du traitement ;
  • les catégories de données concernées ;
  • les destinataires ou catégories de destinataires des données ;
  • la durée de conservation des données ou les critères permettant de la déterminer ;
  • l’existence des autres droits reconnus par le RGPD ;
  • la possibilité d’introduire une réclamation auprès de la CNIL ;
  • l’origine des données lorsqu’elles n’ont pas été collectées directement auprès de la personne ;
  • l’existence éventuelle d’une prise de décision automatisée produisant des effets juridiques ou des effets significatifs.

L’organisation doit également fournir une copie des données personnelles faisant l’objet du traitement.

Le droit d’obtenir une copie des données

Le RGPD prévoit que la personne concernée peut obtenir une copie des données personnelles qui la concernent. Cette copie ne correspond pas nécessairement à une reproduction intégrale du dossier détenu par l’organisation. L’objectif est de permettre à la personne d’accéder à ses données personnelles sans porter atteinte aux droits d’autres personnes ni révéler des informations protégées par le secret des affaires ou d’autres obligations légales. L’organisation doit donc trouver un équilibre entre le droit d’accès et la protection d’autres intérêts légitimes.

Vérifier l’identité du demandeur

Avant de communiquer des données personnelles, l’organisation doit s’assurer qu’elles sont transmises à la bonne personne. Lorsque cela est nécessaire, elle peut demander des informations complémentaires permettant de vérifier l’identité du demandeur. Cette vérification doit rester proportionnée. Elle ne doit pas conduire à collecter davantage de données que celles nécessaires pour s’assurer de l’identité de la personne.

Dans quels délais répondre ?

Comme pour les autres droits prévus par le RGPD, la demande doit être traitée dans les meilleurs délais et, en principe, dans un délai d’un mois à compter de sa réception. Lorsque la demande présente une complexité particulière, ce délai peut être prolongé de deux mois supplémentaires. La personne concernée doit alors être informée de cette prolongation et des motifs qui la justifient.

Le droit d’accès est-il gratuit ?

Oui. En principe, l’exercice du droit d’accès est gratuit. Toutefois, lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’organisation peut :

  • demander le paiement de frais raisonnables correspondant aux coûts administratifs supportés

;

  • ou refuser de donner suite à la demande.

Cette exception doit être interprétée strictement. Il appartient à l’organisation de démontrer le caractère abusif de la demande.

Les limites du droit d’accès

Le droit d’accès est fondamental, mais il n’est pas absolu. Dans certaines situations, l’organisation peut limiter ou refuser la communication de certaines informations lorsqu’une telle communication porterait atteinte :

  • aux droits et libertés d’autres personnes ;
  • au secret des affaires ;
  • au secret professionnel ;
  • au secret de la défense nationale ;
  • à une obligation légale de confidentialité ;
  • à la prévention ou à la répression de certaines infractions lorsque la loi le prévoit.

Toute limitation doit être justifiée et appréciée au cas par cas.

Organiser le traitement des demandes

Les organisations ont intérêt à mettre en place une procédure interne afin de traiter efficacement les demandes d’accès. Cette procédure peut notamment prévoir :

  • un point de contact clairement identifié ;
  • une méthode de vérification de l’identité ;
  • un circuit de validation interne ;
  • la coordination entre les différents services concernés ;
  • une traçabilité des demandes reçues et des réponses apportées.

Une organisation bien préparée réduit les risques d’erreur et respecte plus facilement les délais imposés par le RGPD.

Les erreurs les plus fréquentes

Certaines difficultés sont régulièrement constatées dans la pratique. Par exemple :

  • ignorer ou retarder le traitement d’une demande ;
  • communiquer des informations incomplètes ;
  • transmettre des données à une personne dont l’identité n’a pas été vérifiée ;
  • exiger systématiquement une pièce d’identité sans justification ;
  • refuser une demande sans motiver la décision.

Ces pratiques peuvent être sanctionnées et altèrent la relation de confiance avec les personnes concernées.

Un droit au service de la transparence

Le droit d’accès constitue bien davantage qu’une formalité procédurale. Il permet aux personnes de comprendre comment leurs données sont utilisées et offre aux organisations l’occasion de démontrer leur transparence. Une réponse claire, complète et dans les délais contribue à renforcer la confiance des clients, des salariés, des partenaires ou des usagers. Elle traduit également le niveau de maturité de l’organisation en matière de gouvernance des données.

À retenir

Le droit d’accès permet à toute personne de savoir si une organisation traite des données personnelles la concernant, d’obtenir une copie de ces données et de comprendre les conditions dans lesquelles elles sont utilisées. Pour les organisations, ce droit implique la mise en place de procédures internes permettant de répondre de manière complète, sécurisée et dans les délais prévus par le RGPD. Le droit d’accès constitue ainsi l’une des principales garanties offertes aux personnes et l’un des piliers de la transparence dans la protection des données personnelles. Chapitre suivant : Le droit de rectification, le droit à l’effacement et le droit à la limitation ➡ du traitement : corriger, supprimer ou suspendre l’utilisation des données personnelles.

PARTIE IV — Les droits des personnes concernées Chapitre 20 — Le droit de rectification, le droit à l’effacement et le droit à la limitation du traitement : permettre aux personnes de conserver la maîtrise de leurs données

Le droit d’accès permet aux personnes de connaître les données qu’une organisation détient sur elles. Le RGPD va toutefois plus loin en leur reconnaissant d’autres droits destinés à agir directement sur ces données. Lorsqu’elles sont inexactes, incomplètes ou ne devraient plus être conservées, les personnes peuvent demander leur rectification, leur effacement ou, dans certaines situations, la limitation de leur traitement. Ces droits traduisent une idée essentielle : les données personnelles ne doivent pas être conservées ou utilisées sans justification, ni au détriment des droits des personnes concernées.

Le droit de rectification

Les données personnelles doivent être exactes et, lorsque cela est nécessaire, tenues à jour. Lorsqu’une personne constate qu’une organisation détient des informations inexactes ou incomplètes la concernant, elle peut demander leur rectification. Ce droit contribue directement au principe d’exactitude consacré par le RGPD. Il protège les personnes contre les conséquences que pourraient entraîner des informations erronées.

Quelles données peuvent être rectifiées ?

Le droit de rectification peut porter notamment sur :

  • une erreur d’identité ;
  • une adresse devenue obsolète ;
  • un numéro de téléphone incorrect ;
  • une erreur dans un dossier administratif ;
  • une information professionnelle qui n’est plus à jour.

Dans certains cas, la personne peut également demander que des informations incomplètes soient complétées.

Les obligations de l’organisation

Lorsqu’une demande est justifiée, l’organisation doit procéder à la rectification dans les meilleurs délais. Si les données ont été communiquées à d’autres destinataires, ceux-ci doivent également être informés de cette rectification lorsque cela est possible et ne représente pas un effort disproportionné.

Le droit à l’effacement

Le droit à l’effacement est souvent présenté comme le « droit à l’oubli ». Cette expression est toutefois réductrice. Le RGPD ne prévoit pas un droit général à faire disparaître toute information. Il reconnaît un droit à l’effacement dans des situations précises.

Dans quels cas l’effacement peut-il être demandé ?

Une personne peut notamment obtenir l’effacement de ses données lorsque :

  • les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • le traitement reposait sur son consentement et celui-ci est retiré, sans autre base juridique permettant de poursuivre le traitement ;
  • elle s’oppose au traitement et aucun motif légitime impérieux ne justifie sa poursuite ;
  • les données ont fait l’objet d’un traitement illicite ;
  • l’effacement est imposé par une obligation légale.

Le droit à l’effacement participe au principe de limitation de la durée de conservation des données.

Les limites du droit à l’effacement

Le droit à l’effacement n’est pas absolu. L’organisation peut être tenue de conserver certaines données, notamment lorsque cette conservation est nécessaire :

  • au respect d’une obligation légale ;
  • à l’exercice ou à la défense de droits en justice ;
  • à des fins archivistiques dans l’intérêt public, de recherche scientifique ou historique, lorsque les conditions prévues par le RGPD sont réunies ;
  • à l’exercice de la liberté d’expression et d’information.

Par exemple, une entreprise ne peut pas supprimer des documents comptables avant l’expiration des délais de conservation imposés par la loi, même si une personne en fait la demande. Chaque demande doit donc faire l’objet d’une analyse au regard des obligations applicables.

Le droit à la limitation du traitement

Le droit à la limitation est moins connu que le droit d’accès ou le droit à l’effacement, mais il présente un intérêt pratique important. Il permet, dans certaines situations, de suspendre temporairement l’utilisation des données personnelles sans pour autant les supprimer. Pendant cette période, les données sont conservées mais leur traitement est fortement restreint.

Dans quels cas peut-il être exercé ?

Une personne peut notamment demander la limitation du traitement :

  • lorsqu’elle conteste l’exactitude des données, pendant le temps nécessaire à leur vérification ;
  • lorsque le traitement est illicite mais qu’elle préfère la limitation à l’effacement ;
  • lorsque l’organisation n’a plus besoin des données mais que celles-ci sont nécessaires à la personne pour exercer ou défendre ses droits en justice ;
  • lorsqu’elle s’est opposée au traitement, pendant l’examen de sa demande.

Les effets de la limitation

Lorsque le traitement est limité, les données peuvent continuer à être conservées. En revanche, elles ne peuvent plus être utilisées, sauf dans certains cas limitativement prévus par le RGPD, notamment :

  • avec le consentement de la personne concernée ;
  • pour la constatation, l’exercice ou la défense de droits en justice ;
  • pour la protection des droits d’une autre personne ;
  • pour des motifs importants d’intérêt public.

Si la limitation est levée, l’organisation doit en informer préalablement la personne concernée.

Comment traiter ces demandes ?

Les demandes de rectification, d’effacement ou de limitation doivent être traitées selon une procédure claire. L’organisation doit notamment :

  • vérifier l’identité du demandeur lorsque cela est nécessaire ;
  • analyser les conditions d’exercice du droit invoqué ;
  • vérifier si des obligations légales s’opposent à la demande ;
  • répondre dans le délai prévu par le RGPD ;
  • conserver une trace de la demande et de la décision prise.

Une réponse motivée est indispensable, y compris lorsque la demande est refusée.

Les erreurs les plus fréquentes

Plusieurs difficultés sont régulièrement observées dans la pratique. Certaines organisations :

  • suppriment systématiquement les données sans vérifier leurs obligations légales de conservation ;
  • refusent les demandes sans fournir d’explication ;
  • oublient d’informer les sous-traitants ou les destinataires des rectifications réalisées ;
  • ne distinguent pas le droit à l’effacement du droit à la limitation ;
  • conservent des données sans justification après la fin de leur utilité.

Ces pratiques peuvent fragiliser la conformité et porter atteinte aux droits des personnes.

Une gouvernance responsable des données

Ces droits rappellent que les données personnelles ne doivent pas être conservées par principe. Les organisations sont invitées à s’interroger régulièrement sur la nécessité des traitements qu’elles mettent en œuvre et sur la qualité des informations qu’elles détiennent. Une politique de gestion des données fondée sur l’exactitude, la limitation des durées de conservation et l’examen régulier des traitements contribue non seulement au respect du RGPD, mais également à une meilleure gouvernance de l’information.

À retenir

Le droit de rectification, le droit à l’effacement et le droit à la limitation du traitement permettent aux personnes d’agir concrètement sur les données les concernant. Ces droits ne sont pas absolus et doivent être conciliés avec d’autres obligations juridiques, notamment les règles de conservation ou les nécessités liées à l’exercice des droits en justice. Pour les organisations, leur mise en œuvre suppose des procédures claires, une bonne connaissance des traitements et une capacité à justifier les décisions prises. Correctement gérés, ces droits participent à une gouvernance responsable des données personnelles et renforcent la confiance des personnes concernées. ➡ Chapitre suivant : Le droit à la portabilité, le droit d’opposition et les décisions individuelles automatisées : renforcer le contrôle des personnes sur leurs données et les traitements qui les concernent.

PARTIE IV — Les droits des personnes concernées Chapitre 21 — Le droit à la portabilité, le droit d’opposition et les décisions individuelles automatisées : renforcer le contrôle des personnes sur leurs données

Le RGPD ne se limite pas à garantir l’accès, la rectification ou l’effacement des données personnelles. Il reconnaît également des droits permettant aux personnes de mieux maîtriser l’utilisation de leurs données dans un environnement numérique de plus en plus interconnecté. Le droit à la portabilité, le droit d’opposition et les garanties applicables aux décisions individuelles automatisées répondent à cet objectif. Ils permettent aux personnes de conserver un pouvoir d’action face aux traitements de données, tout en imposant aux organisations une vigilance particulière dans la conception et la gestion de leurs services numériques.

Le droit à la portabilité

Le droit à la portabilité permet à une personne de récupérer les données personnelles qu’elle a fournies à une organisation afin de les transmettre à une autre. Ce droit favorise la liberté de choix des utilisateurs et limite les situations de dépendance à l’égard d’un fournisseur de services. Il contribue ainsi au développement d’une économie numérique plus ouverte et plus concurrentielle.

Dans quels cas s’applique-t-il ?

Le droit à la portabilité ne concerne pas tous les traitements. Il ne peut être exercé que lorsque :

  • le traitement repose sur le consentement de la personne ou sur l’exécution d’un contrat ;
  • le traitement est effectué à l’aide de procédés automatisés.

Ces deux conditions sont cumulatives. Les traitements fondés sur une obligation légale, une mission d’intérêt public ou l’intérêt légitime n’ouvrent généralement pas droit à la portabilité.

Quelles données sont concernées ?

Le droit à la portabilité porte sur les données fournies par la personne concernée. Il s’agit notamment :

  • des informations communiquées lors de la création d’un compte ;
  • des données renseignées dans un formulaire ;
  • des contenus créés par l’utilisateur ;
  • des données générées par l’utilisation d’un service, comme un historique d’activité ou des données de consommation.

En revanche, ce droit ne porte pas sur les analyses, les évaluations ou les profils élaborés par l’organisation à partir de ces données.

Comment les données doivent-elles être transmises ?

Les données doivent être fournies dans un format :

  • structuré ;
  • couramment utilisé ;
  • lisible par machine.

Lorsque cela est techniquement possible, la personne peut également demander que les données soient transmises directement à un autre responsable de traitement.

Le droit d’opposition

Le droit d’opposition permet à une personne de demander qu’une organisation cesse de traiter ses données personnelles dans certaines situations. Ce droit participe directement à la maîtrise des traitements et permet de préserver les droits et libertés des personnes.

Dans quels cas peut-on s’opposer à un traitement ?

Le droit d’opposition s’applique principalement lorsque le traitement repose :

  • sur l’intérêt légitime du responsable de traitement ;
  • sur l’exécution d’une mission d’intérêt public.

La personne doit alors exposer les raisons tenant à sa situation particulière qui justifient son opposition. L’organisation peut toutefois poursuivre le traitement si elle démontre l’existence de motifs légitimes et impérieux prévalant sur les intérêts et les droits de la personne concernée.

La prospection commerciale

Le RGPD prévoit une protection renforcée en matière de prospection commerciale. Une personne peut s’opposer à tout moment à l’utilisation de ses données personnelles à des fins de prospection. Dans cette hypothèse, l’organisation doit cesser le traitement concerné sans avoir à apprécier l’existence d’un motif particulier. Ce droit est particulièrement important dans le cadre des campagnes de communication commerciale.

Les décisions individuelles automatisées

Le développement de l’intelligence artificielle et des traitements automatisés conduit de plus en plus d’organisations à prendre des décisions fondées sur des algorithmes. Le RGPD encadre ces pratiques afin de protéger les personnes contre certaines décisions susceptibles d’avoir des conséquences importantes sur leur situation.

Qu’est-ce qu’une décision automatisée ?

Il s’agit d’une décision prise sans intervention humaine significative, sur la seule base d’un traitement automatisé de données personnelles. Ces décisions peuvent notamment concerner :

  • l’octroi d’un crédit ;
  • certaines procédures de recrutement ;
  • des décisions tarifaires ;
  • des évaluations de risques ;
  • des systèmes de détection de fraude.

Toutes les utilisations de l’intelligence artificielle ne relèvent toutefois pas de ce régime. Encore faut-il que la décision produise des effets juridiques ou affecte de manière significative la personne concernée.

Le principe

En principe, une personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé lorsque celle-ci produit des effets juridiques ou affecte de manière significative sa situation. Ce principe vise à préserver une intervention humaine dans les décisions importantes.

Les exceptions

Le RGPD prévoit néanmoins plusieurs exceptions. Une décision automatisée peut être admise lorsqu’elle est :

  • nécessaire à la conclusion ou à l’exécution d’un contrat ;
  • autorisée par une disposition légale ;
  • fondée sur le consentement explicite de la personne concernée.

Même dans ces hypothèses, des garanties appropriées doivent être mises en place.

Les garanties offertes aux personnes

Lorsque le recours à une décision automatisée est autorisé, la personne concernée bénéficie notamment du droit :

  • d’obtenir une intervention humaine ;
  • d’exprimer son point de vue ;
  • de contester la décision.

L’organisation doit également fournir une information claire sur le recours à un traitement automatisé et sur les principales caractéristiques de son fonctionnement. Ces garanties prennent aujourd’hui une importance particulière avec le développement des systèmes d’intelligence artificielle.

Des enjeux renforcés par l’intelligence artificielle

L’utilisation croissante d’algorithmes et de systèmes d’intelligence artificielle transforme profondément les traitements de données personnelles. Le RGPD offre déjà un premier niveau de protection. Toutefois, l’entrée en application progressive du règlement européen sur l’intelligence artificielle (AI Act) vient compléter ce cadre en imposant des obligations spécifiques pour certains systèmes d’IA, notamment lorsqu’ils présentent un risque élevé. Les organisations doivent désormais articuler ces deux réglementations afin de garantir à la fois la protection des données personnelles et le respect des droits fondamentaux.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs difficultés sont régulièrement constatées. Certaines organisations :

  • ignorent les demandes de portabilité ;
  • refusent systématiquement les oppositions sans procéder à une analyse ;
  • assimilent toute utilisation d’un algorithme à une décision automatisée ;
  • ne prévoient aucune intervention humaine dans les processus décisionnels automatisés ;
  • n’informent pas suffisamment les personnes sur l’existence de traitements automatisés.

Ces pratiques peuvent porter atteinte aux droits des personnes et fragiliser la conformité de l’organisation.

À retenir

Le droit à la portabilité, le droit d’opposition et les garanties relatives aux décisions individuelles automatisées renforcent la maîtrise des personnes sur leurs données personnelles. Ils répondent aux nouveaux défis du numérique en permettant aux individus de mieux contrôler la circulation de leurs données, de s’opposer à certains traitements et de bénéficier de garanties lorsque des décisions importantes sont prises à l’aide d’algorithmes. À mesure que les organisations développent des traitements fondés sur l’intelligence artificielle, ces droits acquièrent une importance croissante et participent pleinement à la protection des droits fondamentaux dans l’environnement numérique. ➡ Chapitre suivant : Exercer les droits des personnes : obligations des organisations, délais de réponse et bonnes pratiques pour traiter les demandes.

PARTIE IV — Les droits des personnes concernées Chapitre 22 — Exercer les droits des personnes : obligations des organisations, délais de réponse et bonnes pratiques

La reconnaissance des droits des personnes n’a de portée réelle que si celles-ci peuvent les exercer simplement et obtenir une réponse dans des conditions satisfaisantes. Le RGPD ne se contente donc pas d’énumérer les droits dont disposent les personnes concernées. Il impose également aux organisations de mettre en place les procédures nécessaires pour permettre leur exercice effectif. La gestion des demandes constitue aujourd’hui un indicateur important de la maturité d’une organisation en matière de protection des données et de gouvernance.

Une obligation d’organisation

Les demandes d’exercice des droits peuvent concerner tous les services d’une organisation. Elles peuvent être adressées :

  • par courrier ;
  • par courrier électronique ;
  • au moyen d’un formulaire en ligne ;
  • directement auprès d’un collaborateur ;
  • voire, dans certaines situations, oralement.

L’organisation doit donc être capable d’identifier rapidement ces demandes, quel que soit le canal utilisé. Une procédure interne claire permet d’éviter qu’une demande ne soit ignorée ou traitée avec retard.

Vérifier l’identité du demandeur

Avant de répondre à une demande, l’organisation doit s’assurer que la personne qui l’exerce est bien celle concernée par les données. Cette vérification est indispensable afin d’éviter qu’un tiers n’accède à des informations qui ne le concernent pas. Toutefois, cette exigence doit rester proportionnée. Une pièce d’identité ne doit être demandée que lorsqu’un doute raisonnable existe sur l’identité du demandeur. Exiger systématiquement des justificatifs, même lorsque l’identité est déjà connue de l’organisation, serait contraire au principe de minimisation des données.

Un délai de réponse d’un mois

Le RGPD prévoit que les demandes doivent être traitées dans les meilleurs délais et, en principe, dans un délai d’un mois à compter de leur réception. Ce délai peut être prolongé de deux mois supplémentaires lorsque :

  • la demande présente une complexité particulière ;
  • plusieurs demandes sont adressées simultanément par une même personne.

Dans cette hypothèse, l’organisation doit informer le demandeur de cette prolongation avant l’expiration du premier mois et lui en expliquer les raisons.

Une réponse claire et compréhensible

La réponse apportée doit être rédigée dans un langage clair, accessible et compréhensible. Elle doit permettre à la personne de comprendre :

  • les suites données à sa demande ;
  • les raisons d’un éventuel refus ;
  • les démarches complémentaires qu’elle peut entreprendre.

Lorsque la demande est accueillie favorablement, l’organisation précise les mesures mises en œuvre. Lorsqu’elle est refusée, la décision doit être motivée.

Dans quels cas une demande peut-elle être refusée ?

Le RGPD autorise les organisations à refuser certaines demandes dans des situations limitées. C’est notamment le cas lorsque :

  • la demande est manifestement infondée ;
  • elle présente un caractère manifestement excessif, notamment en raison de son caractère répétitif ;
  • une disposition légale fait obstacle à l’exercice du droit invoqué.

Le refus ne peut jamais être implicite. Il doit être expliqué à la personne concernée. L’organisation doit également l’informer de la possibilité d’introduire une réclamation auprès de la CNIL ou d’exercer un recours devant les juridictions compétentes.

La gratuité du traitement des demandes

En principe, l’exercice des droits est gratuit. Ce principe participe à l’effectivité de la protection des données personnelles. Exceptionnellement, des frais raisonnables peuvent être demandés lorsque la demande est manifestement abusive ou répétitive. L’organisation doit toutefois être en mesure de démontrer que ces conditions sont réunies.

Assurer la traçabilité des demandes

Il est recommandé de conserver une trace des demandes reçues et des réponses apportées. Cette documentation permet notamment :

  • de démontrer le respect des délais ;
  • de justifier les décisions prises ;
  • de suivre les demandes récurrentes ;
  • d’améliorer les procédures internes.

Cette traçabilité participe directement au principe d’accountability.

Former les collaborateurs

Toutes les demandes ne sont pas adressées au délégué à la protection des données ou au service juridique. Un salarié du service client, des ressources humaines ou de l’accueil peut être le premier destinataire d’une demande d’exercice des droits. Il est donc essentiel de sensibiliser les collaborateurs afin qu’ils puissent :

  • reconnaître une demande relevant du RGPD ;
  • la transmettre rapidement au service compétent ;
  • éviter toute réponse inappropriée.

Une bonne organisation interne constitue souvent le meilleur moyen de respecter les délais imposés par le règlement.

Les erreurs les plus fréquentes

Certaines difficultés reviennent régulièrement dans la pratique. Par exemple :

  • ne pas identifier une demande formulée par courrier électronique ;
  • répondre hors délai ;
  • exiger systématiquement une copie de la pièce d’identité ;
  • refuser une demande sans motivation ;
  • ne pas conserver de trace des réponses apportées ;
  • traiter différemment des demandes similaires selon les services concernés.

Ces pratiques peuvent fragiliser la conformité de l’organisation et nuire à la confiance des personnes concernées.

Les recours des personnes

Lorsqu’une personne estime que ses droits n’ont pas été respectés, elle peut :

  • demander des explications complémentaires à l’organisation ;
  • saisir la CNIL d’une réclamation ;
  • exercer un recours devant les juridictions compétentes ;
  • solliciter, selon les circonstances, la réparation du préjudice subi.

Le respect des droits des personnes constitue donc un enjeu à la fois juridique, organisationnel et réputationnel.

Une relation de confiance

Au-delà du respect des obligations réglementaires, la manière dont une organisation traite les demandes d’exercice des droits reflète sa culture de la protection des données. Une réponse rapide, claire et transparente contribue à instaurer un climat de confiance avec les clients, les salariés, les partenaires ou les usagers. À l’inverse, une absence de réponse ou une gestion approximative des demandes peut rapidement détériorer cette relation et exposer l’organisation à des contentieux. L’exercice des droits ne doit donc pas être considéré comme une contrainte administrative, mais comme une composante essentielle d’une gouvernance responsable des données.

À retenir

Le RGPD impose aux organisations de mettre en place des procédures permettant de garantir l’exercice effectif des droits des personnes concernées. Cela suppose d’identifier rapidement les demandes, de vérifier l’identité du demandeur lorsque cela est nécessaire, de répondre dans les délais prévus et de motiver toute décision de refus. Une gestion rigoureuse des demandes participe non seulement à la conformité juridique, mais également au développement d’une relation de confiance durable entre l’organisation et les personnes dont elle traite les données. ➡ Partie suivante : Les contrôles de la CNIL et les sanctions – comprendre les pouvoirs de l’autorité de contrôle et les conséquences d’un manquement au RGPD.

PARTIE V — Les contrôles de la CNIL et les sanctions Chapitre 23 — Les contrôles de la CNIL :

comment se déroule un contrôle et comment s’y préparer ?

Le Règlement général sur la protection des données (RGPD) confie aux autorités nationales de contrôle la mission de veiller au respect des règles relatives à la protection des données personnelles. En France, cette mission est assurée par la Commission nationale de l’informatique et des libertés (CNIL). Les contrôles menés par la CNIL ne doivent pas être perçus comme une sanction en eux-mêmes. Ils constituent avant tout un moyen de vérifier que les organisations respectent leurs obligations, protègent effectivement les données personnelles et sont en mesure de démontrer leur conformité. Une organisation qui connaît ses traitements, documente ses décisions et intègre la protection des données dans sa gouvernance abordera généralement un contrôle dans de meilleures conditions.

Le rôle de la CNIL

La CNIL est l’autorité administrative indépendante chargée de veiller à l’application de la réglementation relative à la protection des données personnelles. Ses missions sont nombreuses. Elle :

  • informe les personnes sur leurs droits ;
  • accompagne les organisations dans leur mise en conformité ;
  • publie des recommandations et des référentiels ;
  • reçoit les réclamations des personnes concernées ;
  • contrôle les traitements de données ;
  • peut prononcer des mesures correctrices et des sanctions.

Elle joue ainsi un rôle à la fois pédagogique, préventif et répressif.

Pourquoi une organisation peut-elle être contrôlée ?

Les contrôles peuvent avoir différentes origines. Ils peuvent notamment résulter :

  • d’une plainte déposée par une personne concernée ;
  • d’une violation de données personnelles notifiée à la CNIL ;
  • d’un contrôle programmé dans le cadre des priorités annuelles de la CNIL ;
  • d’informations publiquement accessibles laissant apparaître un risque de non-conformité ;
  • d’une coopération avec d’autres autorités européennes.

Le choix des organismes contrôlés repose donc sur plusieurs critères et ne concerne pas uniquement les grandes entreprises.

Les différentes formes de contrôle

La CNIL dispose de plusieurs modalités d’intervention.

Le contrôle sur place

Les agents habilités de la CNIL peuvent se rendre dans les locaux de l’organisation. Ils peuvent notamment :

  • consulter les documents utiles ;
  • accéder aux systèmes d’information ;
  • interroger les collaborateurs ;
  • examiner les traitements mis en œuvre.

Ce type de contrôle permet d’apprécier concrètement les pratiques de l’organisation.

Le contrôle en ligne

La CNIL peut également réaliser des vérifications à partir de services accessibles sur Internet. Elle peut notamment analyser :

  • un site internet ;
  • une application mobile ;
  • un espace client ;
  • une plateforme numérique.

Ces contrôles portent fréquemment sur les politiques de confidentialité, les cookies, les formulaires de collecte ou les modalités d’exercice des droits.

Le contrôle sur pièces

La CNIL peut demander à une organisation de lui transmettre différents documents. Il peut notamment s’agir :

  • du registre des activités de traitement ;
  • des politiques internes ;
  • des contrats conclus avec les sous-traitants ;
  • des analyses d’impact ;
  • des procédures de gestion des violations de données ;
  • des preuves de conformité.

L’organisation doit répondre dans les délais fixés par l’autorité.

L’audition

La CNIL peut également convoquer les représentants d’une organisation afin d’obtenir des explications sur certains traitements ou sur les mesures mises en œuvre. Cette audition permet de compléter les informations recueillies lors des autres formes de contrôle.

Quels documents sont généralement examinés ?

Les documents demandés varient selon l’objet du contrôle. Toutefois, plusieurs éléments sont régulièrement sollicités :

  • le registre des activités de traitement ;
  • les mentions d’information destinées aux personnes concernées ;
  • les procédures d’exercice des droits ;
  • les contrats de sous-traitance ;
  • les politiques de sécurité ;
  • les analyses d’impact (AIPD) ;
  • les procédures de gestion des violations de données ;
  • les preuves de sensibilisation des collaborateurs.

Au-delà des documents eux-mêmes, la CNIL apprécie leur cohérence avec les pratiques effectivement mises en œuvre.

Comment bien préparer un contrôle ?

La meilleure préparation consiste à intégrer durablement la conformité dans le fonctionnement de l’organisation. En pratique, il est recommandé :

  • de maintenir le registre des traitements à jour ;
  • de documenter les principales décisions relatives aux traitements ;
  • de conserver les contrats conclus avec les sous-traitants ;
  • de formaliser les procédures internes ;
  • de sensibiliser régulièrement les collaborateurs ;
  • de tester les procédures de gestion des incidents.

Une documentation claire et régulièrement actualisée facilite le déroulement du contrôle.

L’importance de la coopération

Le RGPD prévoit que les organisations doivent coopérer avec l’autorité de contrôle. Cette coopération implique notamment :

  • de répondre aux demandes d’information ;
  • de communiquer les documents sollicités ;
  • de faciliter les vérifications ;
  • de désigner un interlocuteur chargé des échanges avec la CNIL.

Une attitude transparente contribue généralement à un déroulement plus efficace du contrôle.

Les suites possibles d’un contrôle

À l’issue de ses investigations, la CNIL peut considérer que :

  • l’organisation respecte ses obligations ;
  • certaines améliorations sont nécessaires ;
  • des manquements justifient l’adoption de mesures correctrices.

Selon les circonstances, elle peut notamment :

  • adresser des recommandations ;
  • prononcer une mise en demeure ;
  • ordonner la mise en conformité d’un traitement ;
  • limiter ou suspendre certains traitements ;
  • engager une procédure de sanction.

Le contrôle ne débouche donc pas systématiquement sur une sanction financière.

Les erreurs les plus fréquentes

Lors des contrôles, plusieurs difficultés sont régulièrement constatées. Par exemple :

  • un registre des traitements incomplet ou obsolète ;
  • une mauvaise connaissance des traitements réellement mis en œuvre ;
  • des politiques de confidentialité génériques ;
  • des contrats de sous-traitance insuffisants ;
  • des procédures internes inexistantes ;
  • une absence de documentation permettant de démontrer la conformité.

Ces situations traduisent souvent une gouvernance insuffisamment structurée.

Le contrôle comme opportunité

Un contrôle ne doit pas être perçu uniquement comme un risque. Il constitue également une occasion d’évaluer la maturité de l’organisation en matière de protection des données. Les observations formulées permettent souvent d’identifier des axes d’amélioration et de renforcer durablement la gouvernance des données. Les organisations qui considèrent la conformité comme un processus d’amélioration continue sont généralement mieux préparées à ces contrôles.

À retenir

Les contrôles de la CNIL visent à vérifier le respect des obligations prévues par le RGPD et à accompagner les organisations dans leur démarche de conformité. Une préparation efficace repose avant tout sur une bonne connaissance des traitements, une documentation à jour et une gouvernance des données intégrée au fonctionnement quotidien de l’organisation. La conformité ne se démontre pas uniquement le jour du contrôle. Elle se construit progressivement, au fil des projets, des procédures et des décisions prises par l’organisation. ➡ Chapitre suivant : Les sanctions prévues par le RGPD : quels risques juridiques, financiers et réputationnels pour les organisations ?

PARTIE V — Les contrôles de la CNIL et les sanctions Chapitre 24 — Les sanctions prévues par le RGPD : quels risques juridiques, financiers et réputationnels pour les organisations ?

Le Règlement général sur la protection des données (RGPD) est parfois présenté comme un texte essentiellement fondé sur des sanctions financières importantes. Cette perception est largement alimentée par les décisions très médiatisées prononcées contre de grandes entreprises internationales. Cette vision est pourtant incomplète. Le RGPD poursuit avant tout un objectif de protection des personnes et de responsabilisation des organisations. Les sanctions ne constituent qu’un des outils mis à la disposition des autorités de contrôle pour garantir le respect du règlement. Pour les organisations, le principal risque ne réside pas uniquement dans une éventuelle amende. Les conséquences d’un manquement peuvent également être opérationnelles, contractuelles, réputationnelles et contentieuses.

Une approche graduée

Contrairement à une idée répandue, la CNIL ne sanctionne pas systématiquement les organisations dès le premier manquement constaté. Le RGPD prévoit une logique graduée. Selon les circonstances, l’autorité de contrôle peut :

  • formuler des recommandations ;
  • adresser un rappel aux obligations ;
  • prononcer une mise en demeure ;
  • ordonner la mise en conformité ;
  • limiter certains traitements ;
  • suspendre un traitement ;
  • interdire un traitement ;
  • infliger une sanction pécuniaire.

Le choix de la mesure dépend notamment :

  • de la gravité des manquements ;
  • de leur durée ;
  • du nombre de personnes concernées ;
  • de la coopération de l’organisation ;
  • des mesures correctrices déjà engagées.

L’objectif demeure avant tout le rétablissement de la conformité.

Les sanctions financières

Le RGPD prévoit deux niveaux principaux de sanctions administratives. Les infractions les plus graves peuvent donner lieu à une amende pouvant atteindre :

  • 20 millions d’euros ; ou, pour une entreprise,
  • 4 % du chiffre d’affaires annuel mondial, lorsque ce montant est supérieur.

Pour certains autres manquements, le plafond est fixé à :

  • 10 millions d’euros ; ou
  • 2 % du chiffre d’affaires annuel mondial.

Ces montants représentent des plafonds théoriques. Dans la pratique, la CNIL apprécie chaque situation individuellement.

Les critères retenus par la CNIL

Pour déterminer si une sanction est justifiée et en fixer le montant, plusieurs éléments sont pris en considération. Parmi eux figurent notamment :

  • la nature du manquement ;
  • sa gravité ;
  • sa durée ;
  • le caractère intentionnel ou non des faits ;
  • les mesures prises pour limiter les conséquences ;
  • le niveau de coopération avec la CNIL ;
  • les antécédents éventuels ;
  • les catégories de données concernées ;
  • le nombre de personnes affectées.

Une organisation ayant rapidement corrigé les difficultés constatées ne sera pas appréciée de la même manière qu’une organisation ayant ignoré durablement ses obligations.

Les autres mesures correctrices

Les conséquences d’un contrôle ne se limitent pas aux sanctions financières. La CNIL peut notamment :

  • ordonner la suppression de données ;
  • suspendre un traitement ;
  • interdire certaines opérations ;
  • exiger la modification d’un traitement ;
  • imposer la satisfaction d’une demande d’exercice des droits.

Ces mesures peuvent avoir des conséquences opérationnelles importantes. Dans certains cas, elles peuvent conduire à interrompre temporairement une activité ou à revoir l’organisation d’un projet numérique.

Le risque réputationnel

Pour de nombreuses organisations, le principal risque est aujourd’hui réputationnel. Les décisions de sanction peuvent être rendues publiques. Cette publicité poursuit un objectif de transparence mais peut également avoir des conséquences importantes :

  • perte de confiance des clients ;
  • inquiétude des partenaires ;
  • difficultés commerciales ;
  • dégradation de l’image de marque ;
  • médiatisation des incidents.

À l’ère des réseaux sociaux et de l’information en continu, une violation de données ou une sanction peut produire des effets durables sur la réputation d’une organisation.

Les conséquences contractuelles

Un manquement au RGPD peut également produire des effets dans les relations contractuelles. Les partenaires commerciaux sont de plus en plus attentifs aux garanties offertes en matière de protection des données. Une organisation confrontée à des difficultés de conformité peut notamment :

  • perdre certains marchés ;
  • voir un contrat résilié ;
  • être exclue d’un appel d’offres ;
  • devoir indemniser un partenaire.

La conformité devient progressivement un critère de confiance économique.

Le risque contentieux

Le non-respect du RGPD peut également conduire à des actions devant les juridictions civiles ou administratives. Une personne ayant subi un dommage matériel ou moral peut solliciter la réparation de son préjudice. Le développement des actions collectives renforce encore cette évolution. Celles-ci ne concernent plus uniquement les consommateurs. Selon les cadres juridiques applicables et les secteurs concernés, des entreprises, notamment des PME, peuvent également se regrouper pour agir lorsqu’elles estiment avoir subi un préjudice résultant de pratiques numériques illicites ou anticoncurrentielles. Par ailleurs, un manquement au RGPD peut s’inscrire dans un contentieux plus large impliquant :

  • une atteinte à la confidentialité des affaires ;
  • un acte de concurrence déloyale ;
  • une violation de droits de propriété intellectuelle ;
  • une rupture contractuelle ;
  • une défaillance en matière de cybersécurité.

La protection des données s’articule ainsi avec d’autres branches du droit du numérique.

Une responsabilité des dirigeants ?

Le RGPD s’applique principalement aux personnes morales. Toutefois, les conséquences d’une mauvaise gouvernance peuvent également concerner les dirigeants. Au-delà des risques juridiques pesant sur l’organisation, une violation importante peut entraîner :

  • une perte de confiance des investisseurs ;
  • des difficultés de gouvernance ;
  • une mise en cause de la responsabilité des dirigeants selon les circonstances ;
  • des conséquences financières importantes pour l’entreprise.

La conformité relève donc pleinement de la stratégie de gouvernance.

Une conformité qui devient un avantage concurrentiel

La conformité ne doit plus être envisagée uniquement sous l’angle du risque. Les organisations qui démontrent une gouvernance solide des données bénéficient souvent :

  • d’une meilleure confiance de leurs clients ;
  • d’une relation plus fluide avec leurs partenaires ;
  • d’une meilleure maîtrise des risques numériques ;
  • d’un accès facilité à certains marchés ;
  • d’une plus grande résilience face aux incidents.

La protection des données devient progressivement un facteur de différenciation.

Vers une responsabilité numérique globale

Le RGPD ne constitue plus un texte isolé. Il s’inscrit désormais dans un ensemble plus vaste de réglementations européennes comprenant notamment :

  • l’AI Act ;
  • le Data Act ;
  • le Data Governance Act ;
  • le Digital Services Act (DSA) ;
  • le Digital Markets Act (DMA) ;
  • la directive NIS2 ;
  • le règlement DORA ;
  • le Cyber Resilience Act.

Ces textes traduisent une évolution profonde du droit européen. L’objectif n’est plus seulement de protéger les données personnelles, mais de construire un cadre global de responsabilité numérique, conciliant innovation, sécurité, transparence et protection des droits fondamentaux. Le RGPD constitue aujourd’hui l’une des pierres angulaires de cette nouvelle architecture juridique.

Les erreurs les plus fréquentes

Les sanctions trouvent souvent leur origine dans des difficultés organisationnelles plus que dans des choix délibérés. Les manquements les plus fréquemment constatés concernent :

  • une absence de cartographie des traitements ;
  • un registre incomplet ;
  • des durées de conservation injustifiées ;
  • des mesures de sécurité insuffisantes ;
  • une mauvaise gestion des droits des personnes ;
  • des contrats de sous-traitance incomplets ;
  • une absence de gouvernance des données ;
  • une documentation insuffisante.

Ces difficultés traduisent généralement un manque de pilotage plutôt qu’une méconnaissance du règlement.

À retenir

Le RGPD prévoit un large éventail de mesures correctrices et de sanctions destinées à garantir une protection effective des données personnelles. Si les amendes administratives sont les plus médiatisées, elles ne représentent qu’une partie des risques encourus. Les conséquences d’un manquement peuvent également être opérationnelles, contractuelles, réputationnelles et contentieuses. Dans un environnement où la confiance constitue un actif stratégique, la conformité au RGPD ne doit plus être considérée comme une simple obligation réglementaire. Elle participe pleinement à la gouvernance, à la maîtrise des risques et à la responsabilité numérique des organisations. ➡ Chapitre suivant : Mettre en œuvre une démarche de conformité durable : feuille de route, bonnes pratiques et perspectives d’évolution du RGPD.

PARTIE VI — Construire une démarche de conformité durable Chapitre 25 — Mettre en œuvre une démarche de conformité durable : de l’obligation réglementaire à la gouvernance des données

Pour de nombreuses organisations, la conformité au RGPD est encore perçue comme un projet ponctuel : réaliser un registre des traitements, rédiger quelques documents, mettre à jour le site internet, puis considérer que l’organisation est conforme. Cette approche est aujourd’hui dépassée. La conformité ne constitue pas un état acquis une fois pour toutes. Elle est un processus permanent qui accompagne les évolutions de l’organisation, des technologies, des modèles économiques et des exigences réglementaires. Une véritable démarche de conformité s’inscrit dans une logique d’amélioration continue et de gouvernance.

Passer d’un projet à une démarche permanente

Lors de l’entrée en application du RGPD en 2018, de nombreuses organisations ont conduit un « projet RGPD ». Aujourd’hui, cette logique doit évoluer. Les traitements de données changent constamment :

  • de nouveaux logiciels sont déployés ;
  • des outils d’intelligence artificielle apparaissent ;
  • des services cloud sont adoptés ;
  • des applications mobiles sont développées ;
  • de nouveaux partenaires interviennent ;
  • les activités de l’organisation évoluent.

La conformité doit donc évoluer au même rythme. Elle devient une fonction permanente de gouvernance.

Intégrer le RGPD dans la gouvernance de l’organisation

Le RGPD ne concerne plus uniquement le service juridique ou le délégué à la protection des données. Il doit progressivement être intégré dans l’ensemble des processus de décision. Cette intégration implique notamment :

  • la direction générale ;
  • les directions métiers ;
  • les ressources humaines ;
  • la direction informatique ;
  • la cybersécurité ;
  • les achats ;
  • la communication ;
  • la direction des risques ;
  • la conformité.

La protection des données devient ainsi une composante normale de la gouvernance de l’organisation.

Une approche fondée sur l’amélioration continue

La conformité ne consiste pas à produire des documents. Elle consiste à améliorer progressivement les pratiques. Cette démarche repose notamment sur :

  • une revue régulière des traitements ;
  • la mise à jour du registre ;
  • l’actualisation des politiques internes ;
  • la révision des contrats avec les sous-traitants ;
  • le suivi des analyses d’impact ;
  • l’évaluation régulière des risques.

Chaque évolution de l’organisation constitue une occasion de renforcer sa conformité.

Développer une véritable culture de la protection des données

La conformité dépend avant tout des comportements quotidiens. Les meilleures procédures demeurent inefficaces si les collaborateurs ne les connaissent pas ou ne les appliquent pas. Une organisation mature développe progressivement une culture de la protection des données. Cette culture repose notamment sur :

  • la sensibilisation régulière ;
  • des formations adaptées aux métiers ;
  • une communication interne ;
  • des procédures simples ;
  • des référents identifiés ;
  • le partage des bonnes pratiques.

La conformité devient alors une responsabilité collective.

Articuler conformité, cybersécurité et gouvernance des données

Les frontières entre les différentes disciplines du numérique s’estompent progressivement. La protection des données personnelles est aujourd’hui étroitement liée :

  • à la cybersécurité ;
  • à la gouvernance des systèmes d’information ;
  • à la gestion des risques ;
  • à la conformité réglementaire ;
  • à la gouvernance de l’intelligence artificielle.

Une approche cloisonnée devient moins pertinente. Les organisations les plus avancées développent une gouvernance intégrée des risques numériques.

Anticiper les nouvelles réglementations européennes

Le RGPD constitue désormais le socle d’un ensemble réglementaire beaucoup plus large. Les organisations doivent progressivement intégrer les exigences résultant notamment :

  • de l’AI Act ;
  • de NIS2 ;
  • du règlement DORA ;
  • du Data Act ;
  • du Data Governance Act ;
  • du Digital Services Act ;
  • du Digital Markets Act ;
  • du Cyber Resilience Act.

Ces textes poursuivent des objectifs complémentaires. Ils renforcent progressivement les exigences applicables en matière :

  • de gouvernance ;
  • de transparence ;
  • de sécurité ;
  • de responsabilité ;
  • de gestion des risques.

Une organisation ayant déjà développé une gouvernance solide du RGPD abordera généralement plus sereinement ces nouvelles obligations.

Construire une feuille de route

Une démarche de conformité gagne à être organisée autour d’une feuille de route pluriannuelle. Cette feuille de route peut notamment comprendre :

1. Connaître ses traitements

  • maintenir la cartographie à jour ;
  • actualiser le registre ;
  • identifier les nouveaux traitements.

2. Maîtriser les risques

  • réaliser les analyses d’impact ;
  • renforcer la cybersécurité ;
  • revoir régulièrement les habilitations ;
  • contrôler les sous-traitants.

3. Former les équipes

  • sensibiliser les nouveaux collaborateurs ;
  • former les managers ;
  • diffuser les bonnes pratiques ;
  • organiser des exercices de gestion de crise.

4. Améliorer la gouvernance

  • mettre à jour les politiques internes ;
  • suivre les indicateurs de conformité ;
  • associer le DPO aux projets ;
  • intégrer la protection des données dans les processus décisionnels.

5. Évaluer régulièrement la conformité

  • conduire des audits internes ;
  • tester les procédures ;
  • corriger les écarts ;
  • documenter les améliorations.

La conformité comme levier de confiance

Les organisations les plus performantes ne considèrent plus le RGPD comme une simple contrainte. Elles en font un facteur de différenciation. Une gouvernance maîtrisée des données permet notamment :

  • de renforcer la confiance des clients ;
  • de rassurer les partenaires ;
  • de faciliter les relations contractuelles ;
  • d’améliorer la qualité des traitements ;
  • de réduire les risques opérationnels ;
  • de valoriser l’image de l’organisation.

La conformité devient ainsi un investissement plutôt qu’un coût.

Une composante de la responsabilité numérique

Au fil des années, le RGPD a profondément transformé la manière dont les organisations appréhendent les données personnelles. Mais son influence dépasse aujourd’hui largement ce seul domaine. La gouvernance des données constitue désormais l’un des piliers de la responsabilité numérique. Cette notion englobe :

  • la protection des données personnelles ;
  • la cybersécurité ;
  • la gouvernance de l’intelligence artificielle ;
  • la transparence algorithmique ;
  • l’éthique des technologies ;
  • la protection des droits fondamentaux ;
  • la maîtrise des risques numériques.

Le RGPD apparaît ainsi comme la première étape d’une transformation plus globale de la gouvernance des organisations.

Une évolution continue du droit du numérique

Le droit du numérique est aujourd’hui l’une des branches du droit qui évolue le plus rapidement. L’intelligence artificielle générative, les systèmes autonomes, la cybersécurité, les plateformes numériques, les données industrielles et les technologies immersives soulèvent de nouveaux défis juridiques. Dans ce contexte, la conformité ne peut plus être figée. Les organisations doivent développer une capacité permanente d’adaptation afin d’intégrer les évolutions législatives, jurisprudentielles et technologiques. La gouvernance devient ainsi un processus d’apprentissage continu.

Conclusion générale du guide

Le RGPD est souvent présenté comme une réglementation complexe. Il constitue en réalité un cadre de gouvernance destiné à concilier innovation, développement économique et protection des droits fondamentaux. Au-delà des obligations documentaires, il invite les organisations à mieux connaître leurs traitements, à anticiper les risques, à intégrer la protection des données dans leurs projets et à développer une véritable culture de la responsabilité. Dans un environnement marqué par l’intelligence artificielle, la multiplication des données, les cybermenaces et l’évolution rapide des technologies, cette démarche apparaît plus actuelle que jamais. La conformité au RGPD ne représente donc pas l’aboutissement d’un projet, mais le point de départ d’une gouvernance numérique durable. C’est dans cette perspective que les organisations pourront relever les défis du numérique tout en renforçant la confiance de leurs collaborateurs, de leurs clients, de leurs partenaires et de l’ensemble des personnes dont elles traitent les données.

À retenir

Le RGPD n’est pas uniquement une réglementation sur la protection des données personnelles. Il constitue aujourd’hui le socle d’une gouvernance numérique responsable. Les organisations qui intègrent durablement ses principes développent une meilleure maîtrise de leurs risques, renforcent leur conformité aux nouvelles réglementations européennes et créent un environnement de confiance favorable à l’innovation. La protection des données n’est plus un objectif isolé : elle s’inscrit désormais dans une vision plus large de la responsabilité numérique, appelée à devenir l’un des piliers de la gouvernance des organisations au XXIᵉ siècle.

Mot de l’auteur

La protection des données personnelles ne peut plus être abordée comme une simple question de conformité réglementaire. Elle est devenue un enjeu de gouvernance, de confiance et de responsabilité. À travers ce guide, l’ambition est de proposer une lecture accessible, rigoureuse et opérationnelle du RGPD, afin d’aider les organisations à comprendre non seulement leurs obligations, mais aussi les opportunités qu’offre une gouvernance responsable des données. Dans un contexte où les technologies évoluent plus vite que les normes, le droit a vocation à accompagner l’innovation, à protéger les personnes et à favoriser un développement numérique respectueux des libertés fondamentales. C’est à cette condition que la transformation numérique pourra pleinement être une transformation de confiance.

Échangeons sur vos enjeux

Ce guide présente le cadre général. Chaque situation appelle une analyse adaptée : le cabinet vous accompagne dans vos projets comme dans vos contentieux.