Données personnelles
Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. Huit ans plus tard, il reste le socle réglementaire le plus structurant pour toute organisation qui traite des données personnelles, et il continue d’évoluer au rythme des décisions de la CNIL, du Comité européen de la protection des données (CEPD) et de la Cour de justice de l’Union européenne.
Pour les acteurs de la banque et de l’assurance, le RGPD est particulièrement exigeant. Les volumes de données traitées sont massifs, les finalités sont multiples (gestion des contrats, prévention de la fraude, lutte contre le blanchiment, marketing, scoring, contentieux), les durées de conservation sont longues, et les contrôles de l’autorité sont fréquents. La maturité du dispositif RGPD est devenue un indicateur de qualité de la gouvernance globale de l’entreprise.
Sept ans après son application, le RGPD n’est pas un projet qu’on termine. C’est un dispositif vivant qui doit s’adapter aux nouveaux traitements, aux évolutions de doctrine, aux nouvelles technologies (IA générative, transferts internationaux post-Schrems II) et aux contrôles réguliers. La maintenance d’un dispositif RGPD demande autant d’attention que sa mise en place initiale.
Les piliers d’un dispositif RGPD solide
Un dispositif RGPD opérationnel repose sur plusieurs piliers complémentaires qui doivent fonctionner ensemble :
La cartographie des traitements. Le registre des activités de traitement est l’épine dorsale du dispositif. Il doit être exhaustif, à jour, et partagé avec les métiers qui sont les vrais responsables des traitements qu’ils opèrent. Sans registre fiable, aucune démarche de conformité n’est crédible.
L’analyse d’impact (AIPD). Pour les traitements à risque élevé, l’AIPD permet d’évaluer les impacts sur les droits et libertés des personnes et de définir les mesures de protection adéquates. C’est un exercice méthodologique exigeant qui doit être conduit avec rigueur.
L’information des personnes. Politiques de confidentialité, mentions légales, formulaires de collecte, parcours de consentement : l’information doit être claire, accessible, et adaptée à chaque public. C’est souvent le point le plus visible du dispositif et celui que la CNIL examine en priorité lors de ses contrôles.
La gestion des droits des personnes. Droit d’accès, de rectification, d’effacement, d’opposition, de portabilité, de limitation du traitement : chaque demande doit pouvoir être traitée dans les délais réglementaires (un mois) avec une réponse motivée. Cela suppose des procédures internes claires et des outils de suivi efficaces.
La sécurité des données. Le RGPD impose des mesures techniques et organisationnelles adaptées au risque. Cela couvre la sécurité physique, logique, l’authentification, le chiffrement, la traçabilité, la gestion des incidents et des violations de données.
La gouvernance et la documentation. Politique de protection des données, procédures internes, registre des sous-traitants, contrats de sous-traitance, transferts internationaux, durées de conservation, formation des équipes : la documentation est ce qui permet de démontrer la conformité en cas de contrôle.
Les sujets d’actualité qui structurent les dispositifs en 2026
Plusieurs évolutions récentes obligent les organisations à repenser leur dispositif RGPD :
L’articulation avec l’AI Act. La plupart des systèmes IA traitent des données personnelles et le RGPD continue de s’appliquer pleinement à ces traitements. L’arrivée de l’AI Act ne remplace pas le RGPD, elle s’y ajoute. L’articulation des deux cadres est l’un des sujets les plus structurants de la fonction conformité actuelle.
Les transferts internationaux. Depuis l’arrêt Schrems II et l’invalidation du Privacy Shield, les transferts vers les États-Unis sont sous surveillance accrue. Le Data Privacy Framework apporte une solution mais reste fragile. Les organisations doivent documenter leurs transferts et mettre en place des garanties appropriées.
La doctrine CNIL en mouvement. Recommandations sur les cookies, sur l’IA, sur les applications mobiles, sur les API, sur la santé : la CNIL publie régulièrement des positions qui précisent ses attentes. Le suivi de cette doctrine est indispensable pour rester aligné.
Les sanctions records et la jurisprudence européenne. Les amendes prononcées par les autorités européennes atteignent des niveaux historiques. Chaque décision motivée enrichit la jurisprudence et clarifie l’interprétation du règlement.
Comment je peux vous accompagner
J’interviens à toutes les étapes du cycle de vie d’un dispositif RGPD, en mission de longue durée comme en intervention ponctuelle.
Diagnostic et cadrage
Audit de votre dispositif existant, identification des écarts par rapport aux exigences réglementaires et à la doctrine actuelle, priorisation des chantiers de mise en conformité, élaboration d’une feuille de route adaptée à votre maturité et à vos contraintes.
Mise en conformité opérationnelle
Construction ou refonte du registre des traitements, conduite d’analyses d’impact (AIPD) sur vos traitements à risque, rédaction et mise à jour des politiques et procédures internes, refonte de vos politiques de confidentialité, structuration des processus de gestion des droits des personnes.
Renfort d’équipe DPO
Mission de longue durée en renfort d’une équipe DPO existante, sur des sujets techniques pointus ou pour absorber un pic d’activité (déploiement d’un nouveau produit, transformation digitale, audit, contrôle CNIL, gestion d’incident).
Acculturation et formation
Sensibilisation des équipes métier aux enjeux RGPD, formation des référents internes, accompagnement des chefs de projet dans l’intégration du RGPD dès la conception (privacy by design).
Mon approche distinctive
Au-delà du conseil méthodologique, je conçois et développe des outils opérationnels qui simplifient la vie quotidienne des équipes conformité : automatisation des processus de gestion des droits, dashboards de pilotage du dispositif, outils de cartographie collaborative, supports de communication interactifs. Cette double compétence métier et technique permet de passer d’un dispositif documentaire à un dispositif réellement opérationnel.
Discuter de votre dispositif RGPD