En janvier 2026, la CNIL a condamné France Travail à une amende de 5 millions d'euros pour sécurité insuffisante des données.
Ce n'est pas un cas isolé : Orange, Cegedim Santé et Kaspr ont tous été sanctionnés en 2024 pour des manquements documentés, défaut de consentement, pseudonymisation insuffisante, absence d'information des personnes concernées.
Ces décisions illustrent une réalité que beaucoup d'entreprises sous-estiment encore : la mise en conformité données personnelles n'est pas une option.
La protection des données personnelles n'est pas une formalité administrative à cocher une fois par an.
C'est un processus structuré, documenté et vérifiable à tout moment par la CNIL.
L'autorité évalue la nature et la répétition des manquements, la coopération de l'entreprise et l'absence de mesures correctrices, les entreprises qui n'ont aucune démarche structurée sont systématiquement plus exposées.
Voici un plan en quatre étapes pour organiser votre mise en conformité données personnelles, de l'état des lieux initial jusqu'aux preuves documentaires.
Le point de départ est toujours le même : savoir ce que le système contient réellement. C'est ce que révèle un audit IT réalisé avant toute action corrective.
Commencer par un audit IT pour identifier vos données à risque
Ce que l'audit révèle que votre équipe ne voit pas encore
La cartographie des données personnelles est impossible sans comprendre d'abord l'architecture de votre système d'information.
Les données sont souvent dispersées entre des outils fragmentés, des bases legacy, des exports Excel oubliés et des accès non documentés accordés à d'anciens prestataires.
Un audit IT permet d'identifier les sources fréquentes de non-conformité : silos de données, traitements non déclarés, accès non contrôlés.
Avant de rédiger un registre ou de mettre en place des mesures de sécurité, il faut savoir ce que le système contient réellement.
C'est le point de départ logique de toute mise en conformité données personnelles sérieuse.
Prioriser les actions selon le niveau de risque
Tous les traitements ne présentent pas le même niveau de risque. L'audit permet de distinguer ce qui est urgent, données de santé, données de mineurs, traitements à grande échelle, de ce qui peut être traité dans un second temps.
La CNIL n'attend pas une conformité parfaite du premier coup.
Elle attend une démarche proactive, documentée et priorisée.
Cette logique de progression ordonnée constitue la différence entre une entreprise sanctionnée et une entreprise crédible.
Mise en conformité données personnelles : cartographier et construire le registre des traitements
Recenser chaque traitement avec ses finalités et ses acteurs
Une fiche de traitement bien construite documente six éléments conformément au modèle CNIL : la finalité du traitement, la base légale, les catégories de données concernées, les destinataires, la durée de conservation et les mesures de sécurité associées.
L'erreur la plus courante chez les PME est l'absence de base légale clairement identifiée pour chaque traitement.
Les entreprises de moins de 250 salariés ne sont pas exemptées du registre si leurs traitements comportent des risques ou des données sensibles.
Or, la quasi-totalité des PME collectant des données RH ou clients entre dans ce périmètre. Cette idée reçue coûte cher lors des contrôles CNIL.
Utiliser le modèle officiel de la CNIL comme point de départ
La CNIL propose un modèle simplifié au format ODS, téléchargeable gratuitement sur le site de la CNIL (modèle de registre des activités de traitement) et compatible avec Excel et LibreOffice.
Ce modèle sert de structure, pas de validation automatique : il doit être adapté aux traitements réels de votre entreprise, pas utilisé tel quel.
Le registre est un document vivant.
Tout nouveau traitement, tout changement de finalité ou de prestataire doit être consigné. Un registre non mis à jour régulièrement est un signal d'alarme immédiat pour les contrôleurs CNIL, qui évaluent en priorité la capacité de l'entreprise à démontrer sa démarche.
Le rôle du DPO dans la mise en conformité données personnelles
Le délégué à la protection des données (DPO) est le pilote opérationnel de la conformité RGPD au sein de l'organisation.
Sa nomination est obligatoire pour les organismes publics, les entreprises dont les activités de base impliquent un suivi régulier et systématique des personnes à grande échelle, ou le traitement à grande échelle de données sensibles.
Pour les autres entreprises, sa désignation reste fortement recommandée : il centralise les demandes, supervise le registre, pilote les DPIA et sert d'interlocuteur privilégié avec la CNIL. En l'absence de DPO interne, cette fonction peut être externalisée.
Mesures pour la mise en conformité des données personnelles :
sécurité et consentements
Les mesures techniques et organisationnelles qui comptent vraiment
Les mesures incontournables recommandées par la CNIL couvrent plusieurs niveaux :
- Chiffrement des données au repos et en transit
- Pseudonymisationlorsque le traitement le permet
- Contrôle des accès selon le principe du besoin d'en connaître
- Révision périodique des droits utilisateurs et suppression des comptes inutiles
- Authentification multifacteur pour les accès sensibles
Un point souvent négligé : la gestion des clés de chiffrement. Une clé mal protégée annule la protection des données, aussi robuste que soit l'algorithme utilisé.
Les clés doivent être stockées séparément des données et accessibles uniquement aux personnes autorisées.
Les mesures organisationnelles complètent le dispositif technique : politique de sécurité formalisée, procédure de notification des violations dans les 72 heures à la CNIL, formation régulière des équipes.
La sécurité informatique ne tient pas sans le facteur humain.
Collecter et documenter les consentements de façon irréprochable
Le consentement RGPD doit être libre, éclairé, spécifique et univoque.
Une case pré-cochée, un accord implicite ou un consentement groupé ne valent rien sur le plan légal.
L'entreprise doit pouvoir prouver que le consentement a été donné : horodatage, version du formulaire utilisé, canal de collecte, conformément aux recommandations de la CNIL sur la gestion des preuves de consentement.
Il faut aussi savoir quand le consentement n'est pas la bonne base légale.
Si un traitement repose sur un contrat en cours ou une obligation légale, solliciter le consentement est inutile et peut créer une confusion juridique.
Identifier la bonne base légale dès le départ évite de nombreuses complications lors des contrôles.
Réaliser une DPIA et constituer vos preuves documentaires
Quand la DPIA est obligatoire et comment l'aborder
Une analyse d'impact sur la protection des données (DPIA) est obligatoire dès qu'un traitement remplit au moins deux des neuf critères de risque élevé identifiés par les lignes directrices du CEPD (WP248) : évaluation ou scoring, décision automatisée, surveillance systématique, données sensibles, traitement à grande échelle, croisement de données, personnes vulnérables, technologie innovante.
S'y ajoute le critère d'exclusion d'un droit ou d'un service. Ces neuf critères couvrent la grande majorité des traitements numériques modernes.
Une DPIA conforme suit cinq étapes : décrire le traitement, vérifier sa nécessité et sa proportionnalité, analyser la protection des droits des personnes, évaluer les risques résiduels, puis formaliser la décision finale.
La DPIA doit être réalisée avant la mise en œuvre du traitement, pas après coup pour régulariser une situation existante.
Pour un complément pratique sur la conduite d'une DPIA, voir un point détaillé sur l'analyse d'impact (DPIA).
Ce que la CNIL contrôle réellement lors d'une inspection
La mise en conformité données personnelles ne se résume pas à respecter les règles : il faut être capable de le démontrer.
Lors d'un contrôle, la CNIL demande des éléments précis : registre des traitements à jour, DPIA pour les traitements concernés, preuves de consentement horodatées, politique de sécurité documentée et procédure de gestion des violations.
La documentation est la preuve.
Sans elle, même une entreprise qui respecte les règles dans les faits ne peut pas en apporter la démonstration.
La traçabilité distingue une démarche RGPD sérieuse d'une mise en conformité de façade.
Passez à l'action avant que la CNIL ne frappe à votre porte
Le plan est cohérent dans sa logique : audit de l'existant, registre des traitements, sécurité et consentements, DPIA et documentation.
Chaque étape prépare la suivante et construit un dossier de mise en conformité données personnelles que vous pouvez présenter à tout moment.
Les sanctions CNIL touchent en priorité les entreprises qui n'ont pas de démarche structurée.
Ce n'est pas la perfection qui protège, c'est la méthode et la documentation qui font la différence. Pour suivre les tendances des contrôles et des sanctions, consultez le bilan des sanctions de la CNIL.
Si vous ne savez pas encore ce que contient réellement votre système d'information, c'est le bon moment pour le découvrir.
Odexa Innovation accompagne les entreprises dans leur mise en conformité données personnelles, de l'audit initial jusqu'à la constitution du dossier documentaire.
Contactez-nous pour cadrer ensemble votre diagnostic RGPD.