On reçoit un mail de la CNIL qui annonce un contrôle dans trois semaines. Le registre des traitements date de 2019, la politique de confidentialité du site mentionne encore Google Analytics Universal, et personne ne sait où sont stockés les contrats de sous-traitance.
Ce scénario, de plus en plus fréquent depuis la hausse marquée des contrôles CNIL en 2025-2026, illustre un problème concret : la conformité RGPD ne se joue pas dans les principes, mais dans la capacité à produire des preuves rapidement.
Lire également : Comment savoir si un site de vente en ligne est fiable ?
Preuves de conformité RGPD : ce que la CNIL attend lors d’un contrôle
La plupart des articles sur les obligations RGPD listent des principes (licéité, minimisation, sécurité). Sur le terrain, la difficulté n’est pas de connaître ces principes, c’est de démontrer qu’on les applique. La CNIL insiste désormais sur la capacité des organismes à produire rapidement leurs preuves de conformité : registre des traitements, analyses d’impact, contrats de sous-traitance, politiques de sécurité.
Concrètement, quand un contrôleur demande le registre, il ne suffit pas qu’il existe quelque part sur un serveur partagé. Il doit être à jour, daté, et refléter les traitements réels. Un registre figé depuis trois ans est presque pire qu’une absence de registre, parce qu’il prouve qu’on a commencé la démarche sans la maintenir.
A lire également : Quelles mesures une organisation doit-elle prendre pour garantir la sécurité de son logiciel ?
Chaque traitement de données doit être documenté avec sa finalité, sa base légale et sa durée de conservation. On parle ici du formulaire de contact, de la newsletter, du CRM, des cookies, mais aussi de la paie ou de la vidéosurveillance si l’entreprise en dispose.
Registre des traitements et documentation du changement de finalité
Le registre est la pièce maîtresse. Il liste tous les traitements de données à caractère personnel, avec pour chacun la finalité poursuivie, les catégories de données collectées, les destinataires, et la durée de conservation prévue.
Un point que les contenus habituels survolent : tout changement de finalité doit être documenté spécifiquement. On collecte des adresses mail pour confirmer une commande, puis on décide de les utiliser pour une campagne marketing. Ce glissement est fréquent, et la CNIL y prête une attention particulière.
Le réflexe à adopter : avant de réutiliser des données pour un nouvel objectif, on vérifie la compatibilité avec la finalité initiale, on met à jour le registre, et on informe les personnes concernées si la nouvelle finalité s’éloigne de ce qui avait été annoncé.
Les éléments à maintenir dans le registre
- Le nom et les coordonnées du responsable de traitement (et du DPO si désigné), mis à jour après chaque changement organisationnel
- La base légale de chaque traitement (consentement, contrat, intérêt légitime, obligation légale) avec la justification documentée
- Les transferts de données hors UE éventuels, avec les garanties associées (clauses contractuelles types, décision d’adéquation)
- Les mesures de sécurité techniques et organisationnelles appliquées à chaque catégorie de données
Consentement et droits des personnes : obligations concrètes pour un site internet
Pour un site web, les obligations de collecte de consentement se concentrent sur deux situations bien identifiées : les cookies et traceurs, et les formulaires de collecte de données personnelles (inscription newsletter, création de compte, formulaire de contact).
Le consentement doit être libre, spécifique, éclairé et univoque. En pratique, on ne peut pas pré-cocher une case d’inscription à la newsletter dans un formulaire de commande. On ne peut pas non plus conditionner l’accès au site à l’acceptation de tous les cookies.
Côté droits des personnes, le RGPD en prévoit plusieurs que l’entreprise doit pouvoir satisfaire dans un délai d’un mois :
- Droit d’accès : la personne demande quelles données on détient sur elle, et on doit fournir une copie
- Droit de rectification et d’effacement : modification ou suppression des données sur demande, sauf obligation légale de conservation
- Droit à la portabilité : restitution des données dans un format structuré et lisible par machine
- Droit d’opposition : notamment au traitement à des fins de prospection commerciale, qui doit être satisfait sans justification
On sous-estime souvent la charge que représente le traitement de ces demandes. Pour une entreprise qui gère plusieurs centaines de clients, disposer d’une procédure interne écrite pour traiter les demandes d’exercice de droits évite les dépassements de délai et les plaintes auprès de la CNIL.
Sécurité des données et notification de violation RGPD
La sécurisation des données personnelles est une obligation à part entière, pas un simple bonus technique. Le RGPD impose des mesures de sécurité adaptées au niveau de risque que présente le traitement.
Pour une PME qui gère un site e-commerce, on parle de chiffrement des données en transit (HTTPS), de mots de passe robustes pour l’accès aux bases de données, de sauvegardes régulières, et de restriction des accès aux seules personnes qui en ont besoin. Les retours varient sur le niveau de sophistication attendu selon la taille de la structure, mais le principe reste le même : les mesures de sécurité doivent être proportionnées aux risques identifiés.
En cas de violation de données
Si une fuite, un vol ou une destruction accidentelle de données survient, le responsable de traitement doit notifier la CNIL dans les meilleurs délais. Quand la violation présente un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent aussi être informées directement.
Ne pas signaler une violation connue aggrave considérablement la situation en cas de contrôle ultérieur. Mieux vaut notifier un incident mineur que de dissimuler un incident grave.
IA et RGPD : documenter l’utilisation de ChatGPT et des outils automatisés
Depuis 2024, un sujet monte en puissance : l’utilisation d’outils d’intelligence artificielle qui traitent des données personnelles. Quand on saisit des données clients dans ChatGPT ou qu’on utilise un outil d’automatisation marketing alimenté par de l’IA, on effectue un traitement de données à caractère personnel soumis au RGPD.
L’intégration d’un outil IA dans un processus métier nécessite une mise à jour du registre des traitements. On doit identifier la finalité, la base légale, et vérifier les conditions de sous-traitance (où sont hébergées les données, qui y accède, existe-t-il un transfert hors UE).
Ce volet reste flou pour beaucoup d’entreprises. Documenter l’usage, même de façon simple, constitue déjà un premier pas vers la conformité sur ce point. Attendre que la CNIL précise chaque cas d’usage n’est pas une stratégie viable : le RGPD s’applique aux traitements, quel que soit l’outil utilisé.
La conformité RGPD n’est pas un projet ponctuel qu’on boucle en cochant des cases. C’est un ensemble de réflexes opérationnels : tenir son registre à jour, documenter ses choix, répondre aux demandes dans les délais, et adapter ses pratiques quand on change d’outil ou de finalité. Les entreprises qui s’en sortent le mieux sont celles qui intègrent ces réflexes dans leurs processus quotidiens plutôt que de traiter le sujet en urgence à l’approche d’un contrôle.
