Partie 11 — Documenter & piloter la conformité
⏱️ TL;DR — On a vu les principes (Partie 1), les bases légales (Partie 4), les droits (Partie 6), la sécurité (Partie 9). Reste le principe qui les chapeaute tous : la responsabilité (accountability, art. 5.2). Être conforme ne suffit pas — il faut pouvoir le prouver. Cette partie donne les trois outils de la preuve : le registre des traitements (art. 30), la protection dès la conception et par défaut (art. 25) et l’analyse d’impact / AIPD (art. 35). Plus le liant qui fait tenir l’ensemble : une gouvernance et une culture qui traitent la conformité comme un processus continu, pas comme un projet qu’on clôt.
Le problème qu’on résout
La conformité invisible ne vaut rien. Tu as beau avoir choisi la bonne base légale, minimisé tes formulaires et chiffré ta base : si un contrôle CNIL arrive et que tu ne peux rien montrer, c’est comme si tu n’avais rien fait. Le RGPD de 2018 a supprimé les déclarations préalables et les a remplacées par une logique de preuve permanente : tu documentes tes traitements, tu conçois protecteur par défaut, tu évalues les risques élevés — et tu tiens ces documents à jour.
Beaucoup d’équipes bâclent cette partie parce qu’elle paraît « paperasse ». C’est une erreur : le registre est en réalité la cartographie de tout ce que ton système fait des données personnelles. Sans lui, tu ne sais même pas quoi sécuriser, quoi supprimer, ni quoi déclarer en cas de fuite. On le construit ici comme un livrable de dev, pas comme un formulaire administratif.
Ce que tu sauras faire à la fin de cette partie
- Construire et tenir à jour un registre des traitements (art. 30), côté responsable comme côté sous-traitant.
- Appliquer la privacy by design & by default (art. 25) directement dans ton schéma de données et tes réglages par défaut.
- Décider si un traitement exige une AIPD (art. 35), la mener avec la bonne méthode et l’outil PIA de la CNIL, et savoir quand consulter la CNIL (art. 36).
- Mettre en place une gouvernance : rôles, politique interne, sensibilisation, procédures, revue — la conformité comme processus.
- Cartographier le registre de FormaCampus et repérer les traitements qui déclenchent une AIPD.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 11.1 | Le registre des traitements (art. 30) | La pierre angulaire de l’accountability. |
| 11.2 | Privacy by design & by default (art. 25) | Protéger dès la conception, protéger par défaut. |
| 11.3 | L’AIPD / DPIA (art. 35) | Évaluer les traitements à risque élevé. |
| 11.4 | Gouvernance & culture conformité | Rôles, procédures, revue : un processus, pas un projet. |
| 11.5 | Atelier : le registre de FormaCampus | On cartographie et on repère les AIPD. |
On commence : Le registre des traitements (art. 30).