Cartographie des risques RGPD : méthode, registre et conformité

Guides & Ressources pratiques
16 Jun 2026
-
8 min de lecture
-
Par

Jullian Hoareau

Points clés de l'article
  1. La cartographie des risques RGPD recense chaque traitement de données personnelles, identifie les vulnérabilités et hiérarchise les actions correctives.
  2. Le registre des traitements (article 30 du RGPD) constitue le socle documentaire obligatoire pour toute organisation de plus de 250 salariés — et en pratique pour toutes les autres.
  3. Une cartographie structurée suit 5 étapes : inventaire des traitements, qualification des données, évaluation des risques, priorisation et plan de remédiation.
  4. L'analyse d'impact (AIPD) est requise dès qu'un traitement présente un risque élevé pour les droits des personnes.
  5. En 2024, la CNIL a prononcé plus de 55 millions d'euros de sanctions, dont plusieurs liées à l'absence de registre ou de cartographie à jour.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Incubateur du Barreau de Paris
Réseau Entreprendre
Prix Innovation Barreau de Paris

Sommaire

Qu'est-ce que la cartographie des risques RGPD ?

Cadre légal RGPD et rôle de la CNIL

Le registre des traitements, document central

Les étapes pour cartographier ses traitements

Analyse d'impact (AIPD) et traitements à risque

Du plan d'action aux sanctions de la CNIL

FAQ

Pour aller plus loin

Qu'est-ce que la cartographie des risques RGPD ?

La cartographie des risques RGPD désigne le processus par lequel une organisation recense l'ensemble de ses traitements de données personnelles, évalue les risques associés et les classe par niveau de criticité. Elle répond à une question simple : quelles données sont collectées, par qui, pour quoi, et avec quel niveau de protection ?

Pour un DSI, cette démarche dépasse le cadre réglementaire. Elle offre une vision consolidée des flux de données qui traversent le système d'information : applications métiers, CRM, ERP, outils SaaS, sous-traitants hébergeurs. Chaque flux constitue un point d'exposition potentiel.

Concrètement, la cartographie croise 3 dimensions :

  • Les traitements : finalité, base légale, catégories de données traitées.
  • Les acteurs : responsable de traitement, sous-traitants, destinataires.
  • Les risques : probabilité d'occurrence d'un incident et gravité de l'impact sur les personnes concernées.
DimensionQuestion cléExemple
TraitementQuelle finalité ?Gestion de la paie
ActeursQui accède aux données ?Prestataire paie externalisé
RisqueQuel impact en cas de fuite ?Données bancaires de 500 salariés

Sans cette vision globale, le DSI pilote à l'aveugle. Les failles restent invisibles jusqu'à l'incident ou au contrôle de la CNIL.

Cadre légal RGPD et rôle de la CNIL

Le RGPD (règlement européen 2016/679), applicable depuis le 25 mai 2018, impose à tout responsable de traitement de démontrer sa conformité. Ce principe dit d'accountability (obligation de rendre des comptes) exige une documentation précise et actualisée des traitements.

En France, la CNIL (Commission nationale de l'informatique et des libertés) contrôle l'application du RGPD. En 2024, elle a réalisé 321 contrôles et prononcé 87 mises en demeure. Ses sanctions cumulées ont dépassé 55 millions d'euros sur l'année.

Plusieurs articles du RGPD fondent directement l'obligation de cartographier :

  • Article 30 : tenue d'un registre des activités de traitement.
  • Article 32 : mise en œuvre de mesures de sécurité adaptées au risque.
  • Article 35 : réalisation d'une analyse d'impact lorsque le traitement présente un risque élevé.

Le non-respect de ces obligations expose l'entreprise à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

La conformité RGPD repose sur une documentation structurée et une gouvernance des données adaptée à chaque organisation.
Échangez avec un avocat spécialisé en protection des données

Le registre des traitements, document central

Le registre des traitements est le document pivot de toute démarche de conformité RGPD. L'article 30 du règlement en détaille le contenu obligatoire : nom du responsable, finalités, catégories de personnes et de données, destinataires, durées de conservation, mesures de sécurité.

Toute organisation de plus de 250 salariés doit tenir ce registre. En dessous de ce seuil, l'obligation s'applique dès que les traitements sont réguliers, portent sur des données sensibles ou sont susceptibles de comporter un risque — ce qui couvre la quasi-totalité des entreprises.

Pour un DSI, le registre sert de référentiel technique et juridique. Il permet de :

  1. Identifier les applications qui traitent des données personnelles.
  2. Vérifier la cohérence entre les finalités déclarées et les usages réels.
  3. Détecter les traitements obsolètes ou non documentés.
  4. Préparer un contrôle CNIL en fournissant une base factuelle.
Champ du registreContenu attendu
FinalitéObjectif précis du traitement
Base légaleConsentement, contrat, obligation légale, intérêt légitime
Catégories de donnéesIdentité, coordonnées, données bancaires, données de santé
Durée de conservationDélai précis ou critère de détermination
Mesures de sécuritéChiffrement, contrôle d'accès, pseudonymisation

Un registre incomplet ou figé perd toute valeur probante. La CNIL attend un document vivant, mis à jour à chaque nouveau traitement ou modification substantielle.

Les étapes pour cartographier ses traitements

La cartographie suit une progression méthodique en 5 étapes. Chaque étape produit un livrable exploitable par le DSI et le DPO (Data Protection Officer, délégué à la protection des données).

1. Inventaire des traitements
Recenser chaque traitement en interrogeant les directions métiers : RH, finance, marketing, IT. L'objectif est d'identifier les traitements formels (déclarés) et informels (fichiers Excel, bases shadow IT).

2. Qualification des données
Classer les données par catégorie : données courantes (nom, email), données sensibles (santé, opinions politiques, données biométriques). Les données sensibles au sens de l'article 9 du RGPD exigent des garanties renforcées.

3. Évaluation des risques
Pour chaque traitement, croiser la probabilité d'un incident (accès non autorisé, fuite, perte) avec la gravité de l'impact sur les personnes. Une matrice de risques permet de visualiser les priorités.

4. Priorisation
Classer les traitements en 3 niveaux : risque faible, modéré, élevé. Les traitements à risque élevé déclenchent une obligation d'AIPD (voir section suivante).

5. Plan de remédiation
Définir les actions correctives : mise à jour des contrats sous-traitants, renforcement du chiffrement, suppression des données au-delà des durées de conservation.

Structurer sa cartographie RGPD nécessite souvent un accompagnement juridique adapté aux spécificités du système d'information.
Trouvez un avocat en protection des données

Analyse d'impact (AIPD) et traitements à risque

L'AIPD (Analyse d'Impact relative à la Protection des Données, ou DPIA en anglais) est une évaluation approfondie imposée par l'article 35 du RGPD. Elle s'applique lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD. Parmi eux : la vidéosurveillance à grande échelle, le profilage automatisé produisant des effets juridiques, ou le traitement de données de santé à grande échelle.

L'AIPD comprend 4 volets :

  1. Description du traitement et de ses finalités.
  2. Évaluation de la nécessité et de la proportionnalité.
  3. Analyse des risques pour les personnes concernées.
  4. Mesures envisagées pour traiter ces risques.

Si le risque résiduel reste élevé après les mesures correctives, le responsable de traitement doit consulter la CNIL avant de mettre en œuvre le traitement. En pratique, cette consultation préalable reste rare : la plupart des organisations ajustent leurs mesures pour ramener le risque à un niveau acceptable.

Pour le DSI, l'AIPD constitue un outil de dialogue avec la direction générale. Elle objective le niveau de risque et justifie les investissements en sécurité par des critères réglementaires documentés.

Du plan d'action aux sanctions de la CNIL

La cartographie n'a de valeur que si elle débouche sur un plan d'action concret, assorti de responsables identifiés et d'échéances. Les actions types incluent : mise en conformité des contrats de sous-traitance (article 28 du RGPD), déploiement du chiffrement sur les bases de données critiques, révision des politiques de conservation.

Le suivi du plan s'appuie sur des indicateurs mesurables :

  • Pourcentage de traitements documentés dans le registre.
  • Nombre d'AIPD réalisées par rapport aux traitements identifiés comme à risque.
  • Délai moyen de réponse aux demandes d'exercice de droits (accès, effacement, portabilité).

En cas de manquement, les sanctions de la CNIL sont graduées. Elles vont de l'avertissement à l'amende administrative. En 2023, la CNIL a sanctionné Criteo à hauteur de 40 millions d'euros pour des manquements liés au consentement et à l'information des personnes. En 2024, plusieurs PME ont reçu des mises en demeure pour absence de registre des traitements.

Type de sanctionMontant ou mesureExemple récent
AvertissementPas d'amendeRappel à l'ordre d'une collectivité
Mise en demeureDélai de mise en conformitéPME sans registre (2024)
Amende administrativeJusqu'à 20 M€ ou 4 % du CA mondialCriteo, 40 M€ (2023)
InjonctionCessation du traitementInterdiction de collecte

L'absence de cartographie constitue un facteur aggravant lors d'un contrôle. À l'inverse, une documentation structurée et un plan d'action en cours d'exécution démontrent la bonne foi de l'organisation et peuvent réduire le montant d'une éventuelle sanction.

Anticiper un contrôle CNIL suppose une cartographie à jour et un plan d'action documenté.
Consultez un avocat spécialisé en protection des données

FAQ

Qui est responsable de la cartographie des risques RGPD dans l'entreprise ?

Le responsable de traitement (en général le dirigeant ou l'entité morale) porte la responsabilité légale. En pratique, le DSI pilote l'inventaire technique des traitements, en coordination avec le DPO lorsqu'il existe. La cartographie implique aussi les directions métiers qui utilisent les données au quotidien.

Le registre des traitements est-il obligatoire pour les PME ?

Oui dans la plupart des cas. L'article 30 du RGPD prévoit une exemption pour les entreprises de moins de 250 salariés, mais uniquement si leurs traitements sont occasionnels, ne portent pas sur des données sensibles et ne présentent aucun risque. En pratique, ces conditions excluent la quasi-totalité des PME.

Quelle différence entre cartographie des risques et analyse d'impact (AIPD) ?

La cartographie couvre l'ensemble des traitements de l'organisation et les classe par niveau de risque. L'AIPD est une analyse approfondie réservée aux traitements identifiés comme présentant un risque élevé. La cartographie précède l'AIPD : elle permet de déterminer quels traitements nécessitent cette analyse renforcée.

À quelle fréquence faut-il mettre à jour la cartographie RGPD ?

La CNIL recommande une revue au minimum annuelle. En complément, toute modification substantielle du système d'information (nouveau logiciel, changement de sous-traitant, nouveau traitement) doit déclencher une mise à jour immédiate du registre et de l'évaluation des risques.

Quels outils utiliser pour réaliser sa cartographie RGPD ?

La CNIL met à disposition un modèle de registre gratuit au format tableur. Des logiciels spécialisés (OneTrust, Dastra, Witik) automatisent le suivi des traitements et la gestion des AIPD. Le choix dépend de la taille de l'organisation et du volume de traitements à documenter.

Pour aller plus loin

Le registre des activités de traitement - CNIL

Cartographier vos traitements de données personnelles - CNIL

Les outils de la conformité au RGPD - CNIL

SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.

Télécharger la ressource

Avocat au Barreau de Paris (Toque L086), fondateur de SWIM LEGAL