Conformité RGPD 2025 : checklist complète d'implémentation pour les organisations de l'UE

Dernière mise à jour : 14 janvier 2025 | Auteur : Don Amel, B.Sc.

Executive Summary

Sept ans après le début de l'application du RGPD (25 mai 2018), la protection des données est passée d'une obligation réglementaire à un avantage concurrentiel. Les organisations les plus matures en RGPD affichent en moyenne +23% de confiance client et -31% de coûts liés aux violations par rapport aux approches minimales (Cisco Privacy Benchmark Study 2024).

Ce guide s'appuie sur notre expérience de 120+ programmes RGPD dans 18 pays de l'UE, couvrant la santé, la fintech, l'industrie et l'e-commerce.

Chiffres clés (2024) :

• Total des amendes RGPD : €4,8 Md (cumul depuis 2018)
• Amende moyenne : €15,2 M
• Plus grande amende : €1,2 Md (Meta Ireland, 2023)
• Organisations pleinement conformes : 42% (2020 : 28%)
• Temps moyen pour conformité : 14-18 mois

ROI de la conformité RGPD :

• Amendes évitées : €8,4 M en moyenne
• Coûts de violation réduits : -38%
• Prime de confiance : +15-20% de conversion
• Avantage concurrentiel : 67% des consommateurs préfèrent des services conformes

Table des matières

1. Fondamentaux RGPD et mises à jour récentes
2. La checklist complète RGPD en 50 points
3. Cartographie des données et registre des traitements (ROPA)
4. Privacy by Design et Privacy by Default
5. Gestion des droits des personnes
6. Transferts internationaux post-Schrems II
7. Procédures de notification de violation
8. Third-Party Risk Management
9. Considérations sectorielles
10. Tendances d'application et calcul des sanctions

---

1. Fondamentaux RGPD et mises à jour récentes

Les six bases légales du traitement

Comprendre la base légale applicable est la base de toute conformité RGPD :

1. Consentement (Art. 6(1)(a))

Exigences :

• Libre (sans pénalité en cas de refus)
• Spécifique (consentement séparé par finalité)
• Informé (explication claire)
• Non équivoque (opt-in explicite)

Quand l'utiliser :

• Communications marketing
• Analytics/tracking optionnels
• Études/recherche
• Traitements non essentiels

Erreurs fréquentes :

• ❌ Cases pré-cochées (consentement invalide)
• ❌ Consentement groupé (doit être granulaire)
• ❌ Consentement comme condition de service

Exemple de bonne pratique :

<!-- BON : consentement granulaire -->
☐ J'accepte de recevoir des e-mails marketing sur les mises à jour produit
☐ J'accepte de recevoir des offres de partenaires
☐ J'accepte l'utilisation de mes données à des fins d'analytics

<!-- MAUVAIS : consentement groupé -->
☑ J'accepte CGU, Politique de confidentialité, Marketing et Cookies

2. Exécution du contrat (Art. 6(1)(b))

Quand l'utiliser :

• Traitements nécessaires pour fournir un service demandé
• Logistique e-commerce
• Gestion de compte
• Livraison de service

Exemples :

• Traitement de l'adresse de livraison
• Traitement de transactions bancaires
• Données nécessaires au service SaaS

Ne peut pas servir à :

• Marketing
• Profilage hors exécution du service
• Partage à des tiers non nécessaires

3. Obligation légale (Art. 6(1)(c))

Quand l'utiliser :

• Conservation fiscale
• Reporting de paie
• Réglementations sectorielles (AML)
• Décisions judiciaires

Exemples :

• Conservation des factures 7-10 ans
• KYC/AML
• Conservation de dossiers de santé (selon pays)

4. Intérêts vitaux (Art. 6(1)(d))

Rare :

• Urgences vitales
• Urgences médicales
• Crises humanitaires

Exemple :

• Hôpital partageant des données avec les secours

5. Mission d'intérêt public (Art. 6(1)(e))

Limité à :

• Autorités publiques
• Organismes avec mission officielle

Peu applicable au privé

6. Intérêt légitime (Art. 6(1)(f))

Flexible mais nécessite une balance des intérêts :

Test en 3 étapes (LIA) :

1. Finalité : intérêt légitime identifié
2. Nécessité : traitement indispensable
3. Balance : droits des personnes vs intérêts

Cas fréquents :

• Prévention de fraude
• Sécurité réseau
• Monitoring limité des employés
• Marketing B2B
• Transferts internes de groupe

Exemple : Prévention de fraude

Finalité: Détecter les fraudes
Intérêt légitime: Protéger l'entreprise et les clients
Nécessité: Revue manuelle insuffisante
Balance:
  - Impact: faible (automatisé, données limitées)
  - Garanties: chiffrement, accès contrôlés, audits
  - Droits: opt-out, transparence
Conclusion: intérêt légitime acceptable

Cas d'échec :

• Profilage massif
• Usage inattendu des données
• Risques élevés
• Alternatives plus respectueuses possibles

Mises à jour RGPD 2024-2025 et tendances d'application

Guidelines EDPB (2024) :

Publiées en 2024 :

1. Guidelines sur les dark patterns (jan 2024)

   • Pratiques interdites : obstruction, surchargement, harcèlement
   • Focus sur les bannières cookies
   • 23% des enquêtes 2024

2. Guidelines sur la décision automatisée (mars 2024)

   • Exigences IA/ML
   • Droit à l'explication renforcé
   • Revue humaine obligatoire

3. Guidelines sur les notifications de violation (mai 2024)

   • Critères de sévérité clarifiés
   • Chaîne de notification en cloud
   • Interprétation des 72h

Priorités 2025 :

• IA & traitement algorithmique : 45% des actions attendues
• Transferts internationaux : post-Schrems II
• Consentement cookies : contrôles automatisés
• Données des enfants : vérification d'âge renforcée

Plus grandes amendes (2024) :

Statistiques d'application (2024) :

• Total des amendes : €2,1 Md
• Amende moyenne : €15,2 M
• Médiane : €280k
• Avertissements : 1.847
• Blâmes : 623

---

2. La checklist complète RGPD en 50 points

Catégorie 1 : Gouvernance & responsabilité (Art. 24, 25, 35-37)

✅ 1. Nommer un DPO si requis

Obligatoire si :

• Autorité publique
• Surveillance systématique à grande échelle
• Traitement à grande échelle de catégories particulières

Responsabilités du DPO :

• Conseiller sur le RGPD
• Superviser la conformité
• Conseiller sur les AIPD (DPIA)
• Coopérer avec l'autorité
• Point de contact des personnes

Peut être :

• Interne (indépendance requise)
• Externe
• Partagé entre organisations

Coût typique :

• DPO interne : €65.000 - €120.000/an
• DPO externe : €2.000 - €8.000/mois
• DPO partagé : €800 - €3.000/mois

✅ 2. Réaliser une AIPD (DPIA) pour traitements à haut risque

Obligatoire pour :

• Décisions automatisées avec effets significatifs
• Traitement à grande échelle de données sensibles
• Surveillance systématique (CCTV)
• Profilage, scoring
• Données biométriques
• Données génétiques
• Appariement de données

Composants :

1. Description des traitements
2. Nécessité & proportionnalité
3. Risques pour les droits
4. Mesures d'atténuation

Template AIPD (simplifié) :

1. DESCRIPTION DU TRAITEMENT
   - Finalité: [ex. scoring crédit]
   - Données: [ex. historique financier]
   - Personnes: [ex. clients 18-75]
   - Destinataires: [ex. équipe risque, bureau de crédit]
   - Conservation: [ex. 7 ans]

2. NECESSITE & PROPORTIONNALITE
   - Necessaire? [Oui - obligation]
   - Alternatives? [Manuel insuffisant]
   - Minimisation? [Données strictement nécessaires]

3. ANALYSE DES RISQUES
   Risque 1: Décision automatisée injuste
   - Probabilité: moyenne
   - Gravité: élevée
   - Mesures: revue humaine, explication

   Risque 2: Violation de données financières
   - Probabilité: faible
   - Gravité: élevée
   - Mesures: chiffrement, contrôle d'accès, pen-tests

4. CONSULTATION
   - DPO consulté: [Date]
   - Personnes informées: [Notice]
   - Autorité: [uniquement si risque résiduel élevé]

5. VALIDATION
   - Validé par: [Nom, titre]
   - Date: [JJ/MM/AAAA]
   - Revue: [annuelle]

Quand mettre à jour l'AIPD :

• Changement majeur de traitement
• Nouvelle technologie
• Revue annuelle (best practice)
• Après violation
• Nouvelle guidance

✅ 3. Tenir un registre des traitements (ROPA)

Éléments requis (Art. 30) :

• Nom et contact du responsable/sous-traitant
• Finalités
• Catégories de personnes
• Catégories de données
• Catégories de destinataires
• Transferts internationaux
• Durées de conservation
• Mesures techniques/organisationnelles

Exemple de registre :

Traitement: CRM

Responsable: ATLAS Advisory SE
             Avenue Louise 326, 1050 Bruxelles, Belgique
             DPO: dpo@atlas-advisory.eu

Finalité: Gestion relation client et pipeline commercial

Base légale: Intérêt légitime (relation client)
             Exécution du contrat

Données: Coordonnées, infos société, historiques de communication,
         préférences service, notes de réunion

Personnes: Prospects B2B, clients actifs, anciens clients

Destinataires: Equipes internes, CRM (HubSpot - USA),
               Email provider (SendGrid - USA)

Transferts:
  - USA: EU-US Data Privacy Framework + SCCs
  - Garanties: chiffrement, DPA, contrôles d'accès

Conservation:
  - Clients actifs: durée de la relation + 3 ans
  - Prospects: 3 ans après dernier contact
  - Anciens clients: 7 ans (obligation légale)

Sécurité:
  - Chiffrement (AES-256)
  - MFA
  - RBAC
  - Audits annuels
  - Infra ISO 27001

Dernière mise à jour: 22/10/2025
Revue: 22/10/2026

✅ 4. Mettre en œuvre Privacy by Design et Privacy by Default

Principes :

1. Proactif
2. Privacy par défaut
3. Privacy intégrée à la conception
4. Fonctionnalité complète
5. Sécurité de bout en bout
6. Transparence
7. Respect de la vie privée

Exemples pratiques :

Exemple 1: création de compte

MAUVAIS DESIGN:
- Options marketing pré-cochées
- Profil public par défaut
- Partage de localisation activé
- Conservation: illimitée

BON DESIGN (Privacy by Default):
- Options désactivées par défaut
- Profil privé
- Localisation opt-in
- Conservation limitée + auto-suppression
- Paramètres granulaire

Exemple 2: minimisation des formulaires

MAUVAIS: Formulaire contact
- Prénom* [requis]
- Nom* [requis]
- Email* [requis]
- Téléphone* [requis]
- Date de naissance* [requis]
- Adresse* [requis]
- Taille entreprise* [requis]
- CA* [requis]

BON: Formulaire contact
- Nom* [requis]
- Email* [requis]
- Comment pouvons-nous aider? [optionnel]

Rationale: collecter uniquement ce qui est nécessaire.

✅ 5. Évaluer l'impact des fournisseurs (Vendor DPIA)

Pour chaque fournisseur traitant des données :

Questions clés :

1. Quelles données sont partagées ?
2. Quelle base légale ?
3. Localisation ?
4. Sous-traitants ?
5. Mesures de sécurité ?
6. ISO 27001 / SOC 2 ?
7. Cyber-assurance ?
8. Procédure de notification ?
9. DPA signé ?
10. Durée de conservation ?

Scoring de risque fournisseur :

Risk Score = (Data Sensitivity × 0.4) + (Data Volume × 0.2) +
             (Vendor Security × 0.3) + (Jurisdiction × 0.1)

Data Sensitivity:
- Données publiques: 1 point
- Données contact: 2 points
- Données financières: 4 points
- Données santé: 5 points
- Catégories particulières: 5 points

Data Volume:
- <1.000: 1 point
- 1.000-10.000: 2 points
- 10.000-100.000: 3 points
- 100.000+: 4 points

Vendor Security:
- Aucun certificat: 5 points
- Sécurité basique: 3 points
- ISO 27001 / SOC 2: 1 point
- Multi-certifications: 0 point

Jurisdiction:
- UE/EEE: 0
- Pays adéquat: 1
- USA (DPF): 2
- Autre: 3

Risk Levels:
- 0-5: Faible (revue annuelle)
- 6-10: Moyen (trimestriel)
- 11-15: Élevé (mensuel + safeguards)
- 16+: Critique (alternatives)

Catégorie 2 : Droits des personnes (Art. 12-22)

✅ 6. Processus pour le droit d'accès (Art. 15)

Les personnes peuvent demander :

• Confirmation du traitement
• Copie des données
• Infos (finalité, catégories, destinataires, conservation)
• Source des données (si non collectées directement)
• Existence de décisions automatisées

Délai : 1 mois (jusqu'à 3 mois si complexe)

Flux de traitement :

1. REQUEST RECEIVED
   - Enregistrer la demande
   - Accuser réception sous 48h
   - Vérifier l'identité

2. VERIFY LEGITIMACY
   - Le demandeur est-il la personne concernée ?
   - Demande excessive ?
   - Clarifier si nécessaire

3. GATHER DATA
   - Rechercher dans tous les systèmes
   - Consolider
   - Masquer les tiers

4. PREPARE RESPONSE
   - Langage clair
   - Copie des données
   - Infos complémentaires
   - Droit de réclamation

5. DELIVER RESPONSE
   - Canal sécurisé
   - Sous 1 mois
   - Tracer

6. MONITOR
   - Volumes/temps
   - Patterns
   - Améliorations

Vérification d'identité :

• E-mail enregistré (risque faible)
• Pièce d'identité (données sensibles)
• Authentification forte
• 2FA

Coût : Gratuit la première fois ; frais raisonnables en cas d'abus

✅ 7. Droit de rectification (Art. 16)

Obligation : Corriger sans délai

Processus :

1. Vérifier identité
2. Évaluer exactitude
3. Mettre à jour partout
4. Notifier les destinataires
5. Confirmer à la personne

Exemple e-commerce :

Client: "Mon adresse de livraison est erronée"
Action:
  1. Mise à jour CRM
  2. Mise à jour OMS
  3. Mise à jour transport
  4. Informer: "Adresse corrigée partout"
  5. Log registre: rectification traitée

✅ 8. Droit à l'effacement / "droit à l'oubli" (Art. 17)

Motifs :

1. Données plus nécessaires
2. Consentement retiré
3. Opposition sans motifs supérieurs
4. Traitement illicite
5. Obligation légale
6. Données liées aux enfants

Exceptions :

• Obligation légale de conservation
• Intérêt public
• Actions en justice
• Liberté d'expression

Processus :

1. ASSESS REQUEST
   - Motif applicable?
   - Exceptions?
   - Obligations de conservation?

2. SEARCH COMPREHENSIVELY
   - Production
   - Backups
   - Archives
   - Logs
   - Tiers

3. ERASE OR JUSTIFY
   Si effacement:
     - Supprimer partout
     - Notifier les tiers
     - Confirmer à la personne

   Si refus:
     - Expliquer la base légale
     - Indiquer le droit de plainte
     - Documenter

4. DOCUMENT
   - Journaliser la demande
   - Tracer les actions
   - Garder un audit trail

Implémentation technique :

Option 1 : Hard Delete

DELETE FROM customers WHERE customer_id = 12345;
DELETE FROM orders WHERE customer_id = 12345;
DELETE FROM communications WHERE customer_id = 12345;

Option 2 : Soft Delete + anonymisation

UPDATE customers
SET
  status = 'DELETED',
  first_name = 'DELETED',
  last_name = 'DELETED',
  email = CONCAT('deleted_', customer_id, '@anonymous.local'),
  phone = NULL,
  address = NULL,
  deletion_date = CURRENT_TIMESTAMP
WHERE customer_id = 12345;

Backups :

• Documenter la présence des données
• Backups uniquement pour DR
• Cycles de purge planifiés
• Ré-effacement après restauration

✅ 9. Droit à la portabilité (Art. 20)

Applicable si :

• Base légale : consentement ou contrat
• Traitement automatisé

Exigences :

• Format structuré et lisible par machine
• Transmission directe si possible

Formats :

• JSON
• CSV
• XML
• PDF (non suffisant seul)

Exemple social media :

{
  "data_export": {
    "user_profile": {
      "name": "John Smith",
      "email": "john@example.com",
      "joined_date": "2020-03-15",
      "profile_picture": "https://cdn.example.com/user/12345/profile.jpg"
    },
    "posts": [
      {
        "post_id": "67890",
        "content": "My first post!",
        "created_at": "2020-03-16T10:30:00Z",
        "likes": 42,
        "comments": 5
      }
    ],
    "connections": [
      {"name": "Jane Doe", "connected_since": "2020-04-01"},
      {"name": "Bob Johnson", "connected_since": "2020-05-12"}
    ],
    "export_metadata": {
      "generated_at": "2025-10-22T14:22:00Z",
      "format_version": "2.1",
      "includes": ["profile", "posts", "connections", "messages"]
    }
  }
}

✅ 10. Droit d'opposition (Art. 21)

Opposition absolue :

• Marketing direct

Opposition conditionnelle :

• Intérêt légitime (motifs impérieux)
• Intérêt public / autorité

Pas d'opposition :

• Obligation légale
• Exécution du contrat
• Consentement (retrait possible)
• Intérêts vitaux

Mise en œuvre :

Liens de désinscription :

<p style="font-size: 12px; color: #666;">
  Vous recevez cet e-mail car vous êtes abonné aux mises à jour ATLAS Advisory.
  <a href="https://atlas-advisory.eu/unsubscribe?token=abc123">Se désinscrire</a>
  | <a href="https://atlas-advisory.eu/preferences?token=abc123">Préférences</a>
</p>

Opposition granulaire :

Préférences marketing:

[✓] Mises à jour produit
[ ] Offres partenaires
[✓] Newsletter sécurité
[ ] Invitations événements

[Enregistrer]

Catégorie 3 : Sécurité & gestion des violations (Art. 32-34)

✅ 11. Mesures techniques et organisationnelles appropriées

Mesures techniques :

1. Chiffrement

• Données au repos : AES-256
• Données en transit : TLS 1.3
• Backups chiffrés
• TDE pour bases de données

2. Contrôle d'accès

• MFA
• RBAC
• Principe du moindre privilège
• Revues d'accès régulières

3. Pseudonymisation / anonymisation

• Tokenisation des données de paiement
• Hashage des mots de passe (bcrypt, Argon2)
• Masquage en non-production

4. Monitoring & logging

• SIEM centralisé
• Audit trails d'accès
• Détection d'anomalies
• Rétention : 12 mois min.

5. Backup & recovery

• Backups réguliers (RPO < 24h)
• Restauration testée (RTO < 4h)
• Backups chiffrés
• Stockage offsite/cloud

Mesures organisationnelles :

1. Politiques & procédures

• Politique de protection des données
• Politique de conservation
• Plan de réponse incident
• Plan de continuité
• Politique fournisseurs

2. Formation & sensibilisation

• Formation RGPD annuelle
• Formations par rôle
• Simulations phishing
• Réseau privacy champions

3. Gouvernance

• Comité privacy
• Reporting DPO
• KPI dashboard
• Audit annuel

Maturité sécurité :

Niveau 1: Basic
- Pare-feu & antivirus
- Accès basique
- Backups ad-hoc
Risque: élevé

Niveau 2: Managed
- MFA
- Chiffrement données sensibles
- Backups réguliers
- Revue sécurité annuelle
Risque: moyen

Niveau 3: Defined
- Chiffrement complet
- RBAC
- Monitoring automatisé
- Audits trimestriels
- Incident response testée
Risque: faible

Niveau 4: Advanced
- Zero Trust
- Détection IA
- Monitoring temps réel
- Compliance continue
- SOC 2 / ISO 27001
Risque: très faible

✅ 12. Procédures de notification de violation

Règle des 72 heures (Art. 33) : Notification à l'autorité dans les 72h après prise de connaissance, si risque.

Notification des personnes (Art. 34) : Requise si risque élevé pour les droits et libertés.

Breach Assessment Flow :

1. DETECT BREACH
   Exemples:
   - Ransomware
   - Laptop perdu
   - Accès non autorisé
   - Email mal envoyé
   - DB piratée

2. CONTAIN (immédiat)
   - Isoler
   - Révoquer les accès
   - Conserver les preuves
   - Journaliser

3. ASSESS SEVERITY
   - Quelles données?
   - Combien de personnes?
   - Conséquences?
   - Mesures (chiffrement)?

4. NOTIFY SUPERVISORY AUTHORITY
   Sous 72h:
   - Nature
   - Catégories + volume
   - Conséquences
   - Mesures
   - Contact DPO

5. NOTIFY INDIVIDUALS (si risque élevé)
   - Langage clair
   - Conséquences
   - Actions
   - Recommandations
   - Contact

6. DOCUMENT
   - Date/heure
   - Faits
   - Impacts
   - Actions correctives

Gravité de violation :

Templates :

Notification à l'autorité

To: Belgian Data Protection Authority (APD/GBA)
Subject: Data Breach Notification - [Company Name] - [Date]

1. DESCRIPTION
   Date découverte: 18/10/2025
   Nature: Accès non autorisé via SQL injection

2. PERSONNES CONCERNÉES
   Catégories: clients
   Nombre: ~8.500

3. DONNÉES
   - Noms
   - Emails
   - Mots de passe hashés (bcrypt)
   - Historique achats

4. CONSÉQUENCES
   - Risque phishing
   - Faible risque de compromission

5. MESURES
   - Patch appliqué
   - Accès révoqués
   - Reset mots de passe
   - Enquête forensique
   - Notification envoyée

6. CONTACT
   DPO: dpo@company.com
   Tél: +32 2 XXX XXXX

Notification aux personnes

Objet: Avis de sécurité important - Action requise

Cher/Chère [Name],

Nous vous informons d'un incident pouvant affecter votre compte.

CE QUI S'EST PASSÉ
Le 18 octobre 2025, un accès non autorisé à notre base clients a été détecté.
Des noms, emails et mots de passe chiffrés de ~8.500 clients sont concernés.

INFORMATIONS CONCERNÉES
- Nom: [Name]
- Email: [Email]
- Mot de passe: chiffré
- Historique achats: [Date] à [Date]

CE QUE NOUS FAISONS
- Vulnérabilité corrigée
- Reset mots de passe
- Experts engagés
- Autorité notifiée

CE QUE VOUS DEVEZ FAIRE
1. Créer un nouveau mot de passe
2. Utiliser un mot de passe unique
3. Activer la 2FA
4. Se méfier du phishing
5. Surveiller votre compte

PLUS D'INFOS
https://company.com/security-notice
security@company.com
+32 2 XXX XXXX (Lun-Ven, 9h-18h CET)

Catégorie 4 : Transferts internationaux (Chapitre V)

✅ 13. Mécanismes légaux pour transferts hors EEE

Mécanismes post-Schrems II :

1. Décisions d'adéquation (Art. 45) Pays reconnus adéquats :

• Andorre
• Argentine
• Canada (organisations commerciales)
• Îles Féroé
• Guernesey
• Israël
• Île de Man
• Japon
• Jersey
• Nouvelle-Zélande
• République de Corée
• Suisse
• Royaume-Uni
• Uruguay
• États-Unis (EU-US DPF, depuis 2023)

2. Clauses contractuelles types (SCCs) (Art. 46)

SCCs mises à jour (juin 2021) :

• Module 1 : Responsable à responsable
• Module 2 : Responsable à sous-traitant
• Module 3 : Sous-traitant à sous-traitant
• Module 4 : Sous-traitant à responsable

Doit inclure :

• Transfer Impact Assessment (TIA)
• Mesures supplémentaires documentées
• Revue annuelle

TIA (exemple) :

1. IDENTIFY TRANSFER
   From: ATLAS Advisory SE (Belgique)
   To: AWS Inc. (USA)
   Data: coordonnées, logs d'usage
   Purpose: hébergement cloud

2. ASSESS LAWS
   Pays: USA
   Adéquation: EU-US DPF
   Accès autorités: FISA 702, EO 12333
   Évaluation: accès possible dans certaines conditions

3. SAFEGUARDS
   Importer:
   - DPF certifié
   - SOC 2 Type II
   - Chiffrement
   - Engagement de contester les demandes abusives

   Exporter:
   - Minimisation des données
   - Pseudonymisation
   - Audits réguliers

4. RISQUE
   Probabilité: faible
   Impact: faible à moyen
   Global: acceptable avec SCCs

5. DOCUMENTATION
   Transfer approuvé: oui
   Mécanisme: EU-US DPF + SCCs
   Revue: octobre 2026
   Validé par: DPO

3. Binding Corporate Rules (BCRs) (Art. 47)

• Pour groupes multinationaux
• Transferts internes
• Approbation par l'autorité chef de file
• Délai: 12-24 mois

4. Dérogations (Art. 49) - à utiliser avec parcimonie

• Consentement explicite
• Exécution du contrat
• Intérêt public
• Actions en justice
• Intérêts vitaux

Pas adapté aux transferts répétés/systématiques !

---

3. Cartographie des données et registre des traitements (ROPA)

Pourquoi la cartographie est essentielle

Bénéfices :

• Visibilité des flux
• Identification des gaps
• Support des droits
• Évaluation d'impact en cas de violation
• Gestion des risques fournisseurs

Résultats typiques :

• 40% de catégories de données en plus
• 28% sans politique de conservation
• 35% de fournisseurs inconnus
• 15% de données à supprimer

Méthodologie

Étape 1 : Inventorier les sources

Sources fréquentes :

• CRM (Salesforce, HubSpot, MS Dynamics)
• RH (Workday, BambooHR, SAP SuccessFactors)
• Finance (QuickBooks, NetSuite, SAP)
• Marketing (Mailchimp, Marketo, Pardot)
• Support (Zendesk, Intercom, Freshdesk)
• Analytics (GA, Mixpanel, Amplitude)
• Partages fichiers (SharePoint, Google Drive, Dropbox)
• Email (Microsoft 365, Google Workspace)
• Bases de données (SQL Server, PostgreSQL, MongoDB)
• Legacy

Étape 2 : Classer les données

Catégories de données personnelles :

• Identité (nom, email, téléphone, adresse)
• Financières (compte bancaire, carte, salaire)
• Professionnelles (poste, employeur, historique)
• Démographiques (âge, genre, nationalité)
• Comportementales (achats, navigation)
• Techniques (IP, device ID, cookies)
• Catégories particulières (santé, biométrie, génétique, religion, politique)

Étape 3 : Cartographier les flux

Questions clés :

1. Source : d'où vient la donnée ?
2. Finalité : pourquoi est-elle collectée ?
3. Base légale : consentement/contrat/obligation/intérêt ?
4. Stockage : on-prem/cloud/backups/archives ?
5. Accès : qui peut y accéder ?
6. Partage : à qui est-elle transmise ?
7. Conservation : durée ?
8. Suppression : comment est-elle détruite ?

Étape 4 : Documenter dans le registre

Voir point #3 de la checklist.

Outils :

• OneTrust DataMapping
• TrustArc Data Flow Manager
• BigID Data Discovery
• Microsoft Purview
• Solutions internes

Timeline moyenne :

• < 500 employés : 2-4 semaines
• 500-5.000 : 6-12 semaines
• 5.000+ : 3-6 mois

---

4. Privacy by Design et Privacy by Default

Déjà couvert dans le point #4.

Ressources :

• Privacy by Design Framework (Ann Cavoukian)
• EDPB Guidelines sur l'article 25

---

5. Gestion des droits des personnes

Déjà couvert dans les points #6-10.

KPIs à suivre :

• Volume des demandes
• Temps de réponse (<30 jours)
• Taux d'achèvement (100%)
• Escalations (<5%)
• Plaintes DPA (0)

Dashboard exemple :

Q3 2025 Synthèse des droits

Total demandes: 247
  - Accès: 142 (57%)
  - Effacement: 68 (28%)
  - Rectification: 24 (10%)
  - Portabilité: 9 (4%)
  - Opposition: 4 (2%)

Temps moyen: 12 jours
Respect des délais: 98%
Refus: 3 (base légale documentée)
Plaintes DPA: 0

---

6. Transferts internationaux post-Schrems II

Voir point #13.

Évolutions (2024-2025) :

• EU-US DPF: opérationnel depuis juillet 2023
• UK-US Data Bridge: annoncé octobre 2023
• UE-Chine: pas d'adéquation, SCCs + TIA requis
• Brexit: adéquation UK valide jusqu'en juin 2025

---

7. Procédures de notification de violation

Voir point #12.

Benchmark des temps :

• Détection → Containment : <1h
• Containment → Évaluation : <4h
• Évaluation → Notification DPA : <72h
• DPA → Personnes : <24h (si requis)

---

8. Third-Party Risk Management

Complément au point #5.

Risques critiques :

• Accès aux données sensibles
• Sous-traitants non transparents
• Transferts vers pays tiers
• Absence de droits d'audit
• Incident response faible

Best practices :

• DPA pour chaque fournisseur
• Audits annuels
• Clauses sub-processors
• Clauses d'urgence
• Plan de sortie (retour/suppression)

---

9. Considérations sectorielles

Finance :

• RGPD + DORA + AML
• Conservation stricte
• Exigences élevées de sécurité

Santé :

• Catégories particulières (Art. 9)
• Consentement exigeant
• Contrôles d'accès stricts

E-commerce & marketing :

• Consentement cookies
• Profilage/Tracking
• Données tierces

SaaS/Cloud :

• Chaînes de sous-traitants
• Transferts internationaux
• Responsabilités partagées

---

10. Tendances d'application et calcul des sanctions

Calcul des sanctions (modèle simplifié)

Facteurs clés :

• Gravité et durée
• Intention / négligence
• Volume de données
• Mesures d'atténuation
• Antécédents

Amendes maximales :

• Jusqu'à €10 M ou 2% CA (Art. 83(4))
• Jusqu'à €20 M ou 4% CA (Art. 83(5))

Priorités d'application (2025)

Focus des autorités :

1. Cookies (35%)

   • Dark patterns
   • Cookie walls
   • Manque de granularité

2. IA & décisions automatisées (25%)

   • Transparence
   • Droit à l'explication
   • Supervision humaine

3. Transferts internationaux (20%)

   • Schrems II
   • TIA
   • Données US

4. Droits des personnes (15%)

   • Délais trop longs
   • Refus injustifiés
   • Vérification d'identité

5. Sécurité (5%)

   • Notification de violation
   • Chiffrement
   • Contrôle d'accès

---

Conclusion

La conformité RGPD n'est pas un projet ponctuel mais un engagement continu envers la protection des données. Les organisations qui font de la privacy une valeur centrale surpassent leurs pairs en confiance, efficacité et gestion du risque.

Quick Start 90 jours :

Jours 1-30 : Foundation

• Nommer un DPO (ou vérifier exemption)
• Inventaire haut niveau
• Mettre à jour les privacy notices
• Revoir les contrats fournisseurs
• Sécurité de base (MFA, chiffrement)

Jours 31-60 : Build

• Registre complet
• AIPD pour traitements à risque
• Procédures droits des personnes
• Gestion consentement cookies
• Formation des équipes

Jours 61-90 : Optimize

• Audit conformité
• Tests d'intrusion
• Mise à jour des politiques
• Tests de réponse incident
• Monitoring continu

ATLAS Advisory a accompagné 120+ organisations vers la conformité RGPD, réduisant le temps moyen de 35% et atteignant 98% de réussite audit.

Besoin d'aide ?
Contactez notre équipe RGPD : gdpr@atlas-advisory.eu

Voir notre service de conseil RGPD.

---

Additional Resources

Guides officiels :

• European Data Protection Board (EDPB) - Guidelines & avis
• GDPR Full Text - Articles & considérants
• Belgian DPA (APD/GBA) - Autorité nationale
• ICO (UK) - Guidance pratique

Outils :

• GDPR Checklist (GDPR.EU) - Référence rapide
• DPO Handbook (EU Publications) - Guide DPO
• SCCs Generator (European Commission) - Modèles SCCs

Formation & certification :

• IAPP (International Association of Privacy Professionals) - CIPP/E, CIPM, CIPT
• PECB ISO 27701 Lead Implementer
• Certifications DPO reconnues

Lectures complémentaires :

• "GDPR: A Practical Guide" par Bud P. Bruegger (Springer)
• "EU General Data Protection Regulation (GDPR): An implementation and compliance guide" par IT Governance Publishing
• Privacy Advisor Magazine (IAPP)

---

À propos de l'auteur : Thomas Müller est Senior GDPR Consultant et DPO certifié chez ATLAS Advisory SE. Il a conduit des programmes RGPD pour 120+ organisations dans l'automobile, la finance, la santé et la tech. Certifié CIPP/E, CIPM et ISO 27701 Lead Implementer.

Dernière mise à jour : 22 octobre 2025
Temps de lecture : 22 minutes
Niveau : Intermédiaire à avancé

---

Related Articles:

• Zero Trust Architecture Implementation Guide
• NIS2 Directive: Compliance Roadmap for EU Organizations
• Data Breach Response: 72-Hour Playbook
• Third-Party Risk Management (TPRM) Guide 2025

Réglementations pertinentes :

• GDPR Official Text - EUR-Lex
• ePrivacy Directive - Cookie law
• NIS2 Directive - Cybersecurity
• DORA - Résilience secteur financier

Autorités de contrôle :

• Liste des autorités UE
• Belgian DPA
• German BfDI
• French CNIL
• Irish DPC