Skip to Content
RGPDPartie 11 — Documenter & piloter la conformité11.4 — Gouvernance & culture conformité

Chapitre 11.4 — Gouvernance & culture conformité

⏱️ TL;DR — Registre, privacy by design et AIPD ne valent que s’ils vivent dans une organisation qui les tient. La gouvernance, c’est répartir les rôles (responsable de traitement, DPO ou référent, relais dans les équipes), écrire une politique interne de protection des données, sensibiliser et former les équipes, outiller des procédures (répondre à une demande de droits, réagir à une violation), tenir le registre à jour et réviser régulièrement. La bascule mentale à faire : la conformité n’est pas un projet qu’on livre et qu’on clôt, c’est un processus qui tourne. Un système conforme le 1er janvier ne l’est plus le 31 décembre si personne ne l’entretient.

🎯 Objectifs

  • Identifier les rôles de la conformité et qui fait quoi.
  • Savoir ce que contient une politique interne de protection des données.
  • Mettre en place les procédures clés (demandes de droits, violations).
  • Ancrer la sensibilisation et la revue comme des rituels réguliers.
  • Comprendre pourquoi la conformité est un processus, pas un projet ponctuel.

Les rôles : qui porte la conformité

La conformité n’est pas « le problème du juriste » ni « le truc que le dev bâcle en fin de sprint ». Elle se répartit :

RôleQuiCe qu’il porte
Responsable de traitementLa direction / l’organismeDécide des finalités et des moyens ; responsable juridiquement (art. 5.2)
DPO (délégué) ou référentPersonne désignée, indépendanteConseille, contrôle, point de contact de la CNIL et des personnes
Référents / relaisUn contact par équipe (produit, dev, RH, support)Font remonter les traitements nouveaux, appliquent les procédures au quotidien
Chaque collaborateurTout le mondeApplique les réflexes : minimiser, ne pas exporter en clair, signaler un incident

Le DPO (chapitre 3.5) est obligatoire dans certains cas — organisme public, suivi à grande échelle, ou traitement à grande échelle de données sensibles (art. 37). Quand il n’est pas obligatoire, désigner un référent reste une excellente pratique. Le DPO doit être associé aux décisions, disposer de moyens, et rester indépendant (pas de conflit d’intérêts, pas de sanction pour l’exercice de ses missions).

📚 Le texte — Le DPO est régi par les articles 37 à 39 : désignation (art. 37), position et indépendance (art. 38), missions — information, conseil, contrôle, coopération avec la CNIL, point de contact (art. 39). Il n’est pas personnellement responsable de la conformité : le responsable de traitement le reste. Le DPO éclaire et surveille ; il ne remplace pas la décision.

La politique interne de protection des données

C’est le document-cadre qui dit comment l’organisme protège les données — la traduction interne du RGPD en règles maison. On y trouve typiquement :

  • les principes appliqués (minimisation, durées, privacy by design) et les responsabilités ;
  • les règles pour les équipes : ce qu’on collecte, ce qu’on ne logue jamais, comment on gère les accès, l’usage des outils tiers et de l’IA ;
  • le renvoi aux procédures (droits, violations) et au registre ;
  • les règles pour choisir et contractualiser un sous-traitant (DPA, Partie 12).

Une politique interne n’est utile que si elle est connue et appliquée — pas un PDF que personne n’ouvre. D’où la sensibilisation.

💡 Réflexe — Écris la politique pour ceux qui codent et qui opèrent, pas pour un classeur. Une bonne politique interne ressemble davantage à un guide d’ingénierie (« voici comment on nomme une finalité, comment on ajoute une durée de purge, ce qu’on ne met jamais dans un log ») qu’à un texte juridique. Si un nouveau dev ne peut pas s’en servir dès sa première semaine, elle a raté sa cible.

Sensibiliser et former

Le premier facteur d’incident, c’est l’humain (chapitre 9.4). Une équipe qui ne connaît pas les réflexes recréera les mêmes fuites, quelles que soient les mesures techniques. La sensibilisation n’est pas un e-learning annuel qu’on clique en diagonale, c’est un rituel :

  • à l’arrivée : les réflexes de base dès l’onboarding (données perso, logs, phishing, signalement) ;
  • en continu : rappels courts, retours d’expérience sur des incidents réels, mise à jour quand la réglementation bouge ;
  • par métier : le dev n’a pas les mêmes pièges que le support ou les RH.

Les procédures : être prêt avant l’événement

Deux situations n’attendent pas qu’on improvise : une demande de droits et une violation. Il faut une procédure écrite et testée pour chacune.

ProcédureDéclencheurCe qu’elle garantit
Demande de droits (Partie 6)Un accès, un effacement, une opposition…Identifier la personne, retrouver ses données via le registre, répondre sous 1 mois
Violation de données (Partie 10)Fuite, perte, accès illégitimeQualifier le risque, notifier la CNIL sous 72 h si nécessaire, informer les personnes si risque élevé, tenir le registre des violations
Nouveau traitementUne nouvelle fonctionnalité, un nouvel outilPasser par la case registre + AIPD avant la mise en production
Nouveau sous-traitantOn confie des données à un tiersVérifier les garanties, signer un DPA (Partie 12)

Le lien est direct avec les chapitres précédents : sans registre à jour, impossible de répondre vite à une demande de droits ou de qualifier une violation. La gouvernance fait tenir l’ensemble.

Un registre tenu à jour, une revue régulière

Le registre (chapitre 11.1) n’est pas figé : chaque nouveau traitement, chaque nouveau sous-traitant, chaque changement de finalité ou de durée doit s’y refléter. On instaure donc une revue périodique : passer en revue les fiches, vérifier que les durées sont bien appliquées, que les AIPD sont à jour, que les DPA sont signés, que les mesures de sécurité correspondent à la réalité.

C’est là qu’on boucle la boucle de l’accountability : la conformité se pilote comme un cycle.

⚠️ Piège — Traiter la conformité comme un projet : une mission, une deadline, un livrable, et « c’est réglé ». Six mois plus tard, trois nouveaux traitements ne sont pas au registre, un sous-traitant américain a été ajouté sans DPA, et la politique parle d’outils qu’on n’utilise plus. La conformité est un processus : sans revue ni relais dans les équipes, elle se dégrade toute seule, en silence, jusqu’au jour du contrôle ou de l’incident.

🧭 Sur FormaCampus — La gouvernance de FormaCampus : un référent RGPD (le DPO est probablement obligatoire vu le suivi de mineurs à grande échelle et les données de santé), un relais dans l’équipe produit et un dans l’équipe support, une politique interne rangée à côté du guide d’ingénierie, un onboarding qui inclut les réflexes RGPD, des procédures écrites pour les demandes de parents et pour les violations, et une revue trimestrielle du registre et des AIPD. Résultat : quand un parent écrit ou qu’une fuite survient, personne n’improvise — on déroule.

🔒 Côté personne concernée — La gouvernance, invisible de l’extérieur, se ressent pourtant côté personne : une demande d’accès traitée en jours plutôt qu’en semaines, une réponse précise parce que le registre existe, une notification honnête et rapide en cas de fuite. À l’inverse, une organisation sans procédures se trahit toujours : réponses vagues, délais dépassés, incidents découverts trop tard. La rigueur interne est ce que la personne perçoit comme du sérieux.

✏️ Exercices

Exercice 1 — Qui fait quoi ? Répartis ces tâches entre responsable de traitement, DPO/référent et dev : (a) décider de lancer un nouveau module de prospection ; (b) rendre un avis sur l’AIPD de ce module ; (c) coder la table minimisée et la purge automatique ; (d) être le point de contact de la CNIL.

✅ Solution

(a) Responsable de traitement — c’est lui qui décide des finalités et des moyens, et qui en porte la responsabilité. (b) DPO / référent — il conseille et rend un avis sur l’AIPD, il ne décide pas. (c) Dev — il applique la privacy by design (schéma minimisé, purge codée). (d) DPO — il est le point de contact de la CNIL et des personnes (art. 39). Le fil : le responsable décide, le DPO éclaire et contrôle, le dev met en œuvre.

Exercice 2 — Projet ou processus ? Une entreprise annonce : « On a fait notre mise en conformité RGPD l’an dernier, c’est bon. » Qu’est-ce qui cloche, et quels rituels mettrais-tu en place ?

✅ Solution

Ce qui cloche : la conformité est traitée comme un projet clos, alors que c’est un processus continu. Depuis « l’an dernier », des traitements ont été ajoutés, des outils changés, des sous-traitants signés — sans mise à jour. Rituels à instaurer : une revue périodique du registre et des AIPD, un relais RGPD par équipe, un passage obligé registre + AIPD pour tout nouveau traitement, la signature d’un DPA pour tout nouveau sous-traitant, une sensibilisation récurrente, et des procédures testées pour les droits et les violations. La conformité se maintient, elle ne se « termine » pas.

🧠 Quiz de révision

1. Quels sont les principaux rôles de la conformité ?

Le responsable de traitement (décide et porte la responsabilité juridique), le DPO ou référent (conseille, contrôle, point de contact de la CNIL et des personnes), des relais dans chaque équipe, et chaque collaborateur (applique les réflexes au quotidien). Le DPO éclaire et surveille ; il ne remplace pas le responsable.

2. Le DPO est-il responsable de la conformité ? Sur quels articles repose-t-il ?

Non : le responsable de traitement reste responsable (art. 5.2). Le DPO conseille, contrôle et sert de point de contact. Il est régi par les articles 37 à 39 (désignation, position et indépendance, missions) et doit être associé aux décisions, indépendant et doté de moyens.

3. Que contient une politique interne de protection des données ?

Les principes appliqués et les responsabilités, les règles concrètes pour les équipes (ce qu’on collecte, ce qu’on ne logue jamais, gestion des accès, usage des outils tiers et de l’IA), le renvoi aux procédures (droits, violations) et au registre, et les règles de contractualisation des sous-traitants (DPA). Elle doit être écrite pour être appliquée, pas classée.

4. Quelles procédures faut-il avoir prêtes à l’avance ?

Au minimum : répondre à une demande de droits (identifier la personne, retrouver ses données via le registre, répondre sous 1 mois), réagir à une violation (qualifier, notifier la CNIL sous 72 h si besoin, informer les personnes si risque élevé, tenir le registre des violations), et encadrer tout nouveau traitement (registre + AIPD) ou nouveau sous-traitant (DPA).

5. Pourquoi dit-on que la conformité est un processus, pas un projet ?

Parce qu’un système conforme se dégrade dès qu’on cesse de l’entretenir : nouveaux traitements non enregistrés, sous-traitants sans DPA, politique obsolète. Il faut un cycle — planifier, déployer, contrôler, ajuster — avec une revue régulière du registre et des AIPD, des relais dans les équipes et une sensibilisation continue. La conformité se maintient, elle ne se clôt pas.


Chapitre suivant : Atelier : le registre de FormaCampus — on met tout en pratique : lister les traitements de FormaCampus, remplir des fiches de registre complètes et repérer ceux qui déclenchent une AIPD.

Last updated on