Accueil/RGPD & Privacy by Design

RGPD & Privacy by Design

Diagnostic de conformité opérationnel

Outil de diagnostic interactif pour évaluer la conformité RGPD d'une organisation en 10 minutes. Scoring automatique, radar chart, roadmap priorisée et templates téléchargeables.

RGPDDPOCNILPrivacy Engineering

Contexte & enjeux

Contexte réglementaire

Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis mai 2018, impose aux organisations traitant des données personnelles de citoyens européens un cadre strict de responsabilisation. La CNIL a prononcé plus de 400M€ d'amendes cumulées en France depuis 2018. Google (150M€), Facebook (60M€), Amazon (35M€) : aucune organisation n'est exemptée. Les PME et ETI sont aujourd'hui les cibles prioritaires des contrôles.

Enjeux pour l'organisation

Au-delà du risque d'amende (jusqu'à 4% du CA mondial ou 20M€), la non-conformité RGPD expose l'organisation à un risque réputationnel majeur, à des violations de données non maîtrisées, et à une incapacité à travailler avec des partenaires exigeant des garanties contractuelles de conformité. La gouvernance des données personnelles est devenue un critère d'évaluation dans les due diligences M&A et les appels d'offres publics.

Outil de diagnostic — 30 questions

Évaluation structurée en 5 thèmes. Chaque question permet d'identifier précisément les gaps de conformité et de prioriser les actions correctives. Réponse : Oui (2pts) / Partiel (1pt) / Non (0pt).

Bases légales & licéité du traitement

6 questions · 12 pts max

Avez-vous identifié et documenté la base légale de chaque traitement de données personnelles (consentement, contrat, obligation légale, intérêt légitime) ?

Le consentement collecté est-il libre, spécifique, éclairé et univoque, avec une possibilité de retrait simple ?

Avez-vous mis en place un mécanisme de preuve du consentement horodaté et auditable ?

Les traitements reposant sur l'intérêt légitime font-ils l'objet d'un test de mise en balance documenté ?

Les finalités de traitement sont-elles définies de manière explicite et limitées au strict nécessaire ?

Les données sont-elles conservées uniquement le temps nécessaire à la finalité, avec des durées documentées ?

Droits des personnes concernées

6 questions · 12 pts max

Avez-vous mis en place une procédure opérationnelle pour répondre aux demandes d'accès (Art. 15) dans le délai d'un mois ?

Le droit à l'effacement (Art. 17) est-il techniquement implémenté dans vos systèmes, y compris chez vos sous-traitants ?

Le droit à la portabilité (Art. 20) est-il supporté avec un export dans un format structuré et lisible par machine ?

Q10

Les demandes de rectification (Art. 16) déclenchent-elles une mise à jour propagée dans tous les systèmes concernés ?

Q11

Avez-vous désigné un point de contact unique (DPO ou référent) pour centraliser les demandes des personnes concernées ?

Q12

Votre politique de confidentialité est-elle rédigée en langage clair, complète et facilement accessible ?

Registre des traitements & documentation

6 questions · 12 pts max

Q13

Tenez-vous un registre des activités de traitement (Art. 30) mis à jour, avec les informations requises pour chaque traitement ?

Q14

Le registre distingue-t-il les traitements en tant que responsable et en tant que sous-traitant ?

Q15

Avez-vous réalisé une Analyse d'Impact (DPIA/PIA) pour les traitements à risque élevé (profilage, données sensibles, surveillance systématique) ?

Q16

Les traitements impliquant des données sensibles (Art. 9) font-ils l'objet de mesures de protection renforcées et documentées ?

Q17

Les durées de conservation sont-elles documentées dans le registre et techniquement appliquées via des politiques d'archivage ou de suppression automatique ?

Q18

Les transferts de données hors UE sont-ils identifiés et encadrés par des garanties appropriées (clauses contractuelles types, décisions d'adéquation) ?

Sécurité des données & gestion des incidents

6 questions · 12 pts max

Q19

Avez-vous réalisé une cartographie des risques de sécurité liés aux traitements de données personnelles ?

Q20

Les mesures techniques et organisationnelles (chiffrement, contrôle d'accès, pseudonymisation) sont-elles proportionnées aux risques identifiés ?

Q21

Disposez-vous d'une procédure de gestion des violations de données permettant la notification à la CNIL sous 72h (Art. 33) ?

Q22

Les violations de données font-elles l'objet d'une documentation interne systématique, même en cas de non-notification à la CNIL ?

Q23

Les accès aux données personnelles sont-ils tracés, audités régulièrement et limités au principe du moindre privilège ?

Q24

Réalisez-vous des tests de sécurité (pentests, audits) sur vos systèmes traitant des données personnelles ?

Sous-traitants & transferts de données

6 questions · 12 pts max

Q25

Avez-vous signé des contrats de sous-traitance conformes à l'Art. 28 RGPD avec l'ensemble de vos prestataires traitant des données personnelles ?

Q26

Procédez-vous à une due diligence de vos sous-traitants (audit, questionnaire) avant engagement et périodiquement ?

Q27

Avez-vous identifié tous les sous-traitants ultérieurs et obtenu l'autorisation préalable pour leur utilisation ?

Q28

Les sous-traitants sont-ils contractuellement tenus de notifier immédiatement toute violation de données les concernant ?

Q29

Disposez-vous d'une liste à jour de tous vos prestataires ayant accès à des données personnelles, avec leur rôle et localisation géographique ?

Q30

Les outils SaaS et services cloud utilisés ont-ils fait l'objet d'une évaluation de conformité RGPD (Data Processing Agreement, localisation des serveurs) ?

Modèle de gouvernance RGPD — Rôles & responsabilités

La conformité RGPD n'est pas un projet IT — c'est une responsabilité partagée entre le métier, le juridique, la DSI et la direction.

DPO / Responsable RGPD

Piloter la conformité, former les équipes, être l'interlocuteur CNIL, valider les DPIA

Data Owner (Métier)

Définir les finalités, valider les durées de conservation, approuver les traitements dans son périmètre

Data Steward (IT)

Implémenter les mesures techniques, gérer les accès, appliquer les suppressions et la pseudonymisation

Juriste / Direction

Valider les bases légales, signer les contrats sous-traitants, arbitrer les risques juridiques

RSSI

Garantir la sécurité des traitements, piloter les audits de sécurité, gérer les incidents

Roadmap de mise en conformité — 6 mois

Plan opérationnel priorisé pour une organisation partant de zéro ou d'une conformité partielle.

Phase 1 — J0 à J+30

Diagnostic & cartographie

Inventaire exhaustif des traitements

Constitution du registre Art. 30

Identification des traitements à risque élevé

Audit des contrats sous-traitants existants

Phase 2 — J+30 à J+60

Mise en conformité prioritaire

DPIA sur les traitements critiques identifiés

Mise à jour des politiques de confidentialité

Implémentation des procédures droits des personnes

Revue et signature des DPA sous-traitants

Phase 3 — J+60 à J+90

Consolidation & outillage

Déploiement d'un outil de gestion du consentement (CMP)

Automatisation des suppressions selon durées de conservation

Formation de l'ensemble des collaborateurs

Mise en place d'une procédure violation de données

Phase 4 — J+90 à J+180

Pilotage continu

Tableau de bord de conformité RGPD

Audits périodiques sous-traitants

Veille réglementaire (délibérations CNIL)

Revue annuelle du registre et des DPIA

KPI de pilotage de la conformité RGPD

100%

Taux de couverture du registre

Part des traitements documentés dans le registre Art. 30

< 30 jours

Délai de réponse aux droits

Délai moyen de traitement des demandes d'exercice des droits

100%

Taux de DPA signés

Part des sous-traitants avec Data Processing Agreement en vigueur

100%

DPIA réalisées / requises

Couverture des traitements à risque élevé par une analyse d'impact

< 72h

Délai de notification violation

Respect du délai réglementaire de notification CNIL (Art. 33)

> 80%

Taux de formation des équipes

Part du personnel exposé aux données personnelles formé au RGPD

Projet suivant

Audit de maturité Data & IA