
Jullian Hoareau

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
Qu'est-ce que la cartographie des risques RGPD ?
Cadre légal RGPD et rôle de la CNIL
Le registre des traitements, document central
Les étapes pour cartographier ses traitements
Analyse d'impact (AIPD) et traitements à risque
Du plan d'action aux sanctions de la CNIL
La cartographie des risques RGPD désigne le processus par lequel une organisation recense l'ensemble de ses traitements de données personnelles, évalue les risques associés et les classe par niveau de criticité. Elle répond à une question simple : quelles données sont collectées, par qui, pour quoi, et avec quel niveau de protection ?
Pour un DSI, cette démarche dépasse le cadre réglementaire. Elle offre une vision consolidée des flux de données qui traversent le système d'information : applications métiers, CRM, ERP, outils SaaS, sous-traitants hébergeurs. Chaque flux constitue un point d'exposition potentiel.
Concrètement, la cartographie croise 3 dimensions :
| Dimension | Question clé | Exemple |
|---|---|---|
| Traitement | Quelle finalité ? | Gestion de la paie |
| Acteurs | Qui accède aux données ? | Prestataire paie externalisé |
| Risque | Quel impact en cas de fuite ? | Données bancaires de 500 salariés |
Sans cette vision globale, le DSI pilote à l'aveugle. Les failles restent invisibles jusqu'à l'incident ou au contrôle de la CNIL.
Le RGPD (règlement européen 2016/679), applicable depuis le 25 mai 2018, impose à tout responsable de traitement de démontrer sa conformité. Ce principe dit d'accountability (obligation de rendre des comptes) exige une documentation précise et actualisée des traitements.
En France, la CNIL (Commission nationale de l'informatique et des libertés) contrôle l'application du RGPD. En 2024, elle a réalisé 321 contrôles et prononcé 87 mises en demeure. Ses sanctions cumulées ont dépassé 55 millions d'euros sur l'année.
Plusieurs articles du RGPD fondent directement l'obligation de cartographier :
Le non-respect de ces obligations expose l'entreprise à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
La conformité RGPD repose sur une documentation structurée et une gouvernance des données adaptée à chaque organisation.
Échangez avec un avocat spécialisé en protection des données
Le registre des traitements est le document pivot de toute démarche de conformité RGPD. L'article 30 du règlement en détaille le contenu obligatoire : nom du responsable, finalités, catégories de personnes et de données, destinataires, durées de conservation, mesures de sécurité.
Toute organisation de plus de 250 salariés doit tenir ce registre. En dessous de ce seuil, l'obligation s'applique dès que les traitements sont réguliers, portent sur des données sensibles ou sont susceptibles de comporter un risque — ce qui couvre la quasi-totalité des entreprises.
Pour un DSI, le registre sert de référentiel technique et juridique. Il permet de :
| Champ du registre | Contenu attendu |
|---|---|
| Finalité | Objectif précis du traitement |
| Base légale | Consentement, contrat, obligation légale, intérêt légitime |
| Catégories de données | Identité, coordonnées, données bancaires, données de santé |
| Durée de conservation | Délai précis ou critère de détermination |
| Mesures de sécurité | Chiffrement, contrôle d'accès, pseudonymisation |
Un registre incomplet ou figé perd toute valeur probante. La CNIL attend un document vivant, mis à jour à chaque nouveau traitement ou modification substantielle.
La cartographie suit une progression méthodique en 5 étapes. Chaque étape produit un livrable exploitable par le DSI et le DPO (Data Protection Officer, délégué à la protection des données).
1. Inventaire des traitements
Recenser chaque traitement en interrogeant les directions métiers : RH, finance, marketing, IT. L'objectif est d'identifier les traitements formels (déclarés) et informels (fichiers Excel, bases shadow IT).
2. Qualification des données
Classer les données par catégorie : données courantes (nom, email), données sensibles (santé, opinions politiques, données biométriques). Les données sensibles au sens de l'article 9 du RGPD exigent des garanties renforcées.
3. Évaluation des risques
Pour chaque traitement, croiser la probabilité d'un incident (accès non autorisé, fuite, perte) avec la gravité de l'impact sur les personnes. Une matrice de risques permet de visualiser les priorités.
4. Priorisation
Classer les traitements en 3 niveaux : risque faible, modéré, élevé. Les traitements à risque élevé déclenchent une obligation d'AIPD (voir section suivante).
5. Plan de remédiation
Définir les actions correctives : mise à jour des contrats sous-traitants, renforcement du chiffrement, suppression des données au-delà des durées de conservation.
Structurer sa cartographie RGPD nécessite souvent un accompagnement juridique adapté aux spécificités du système d'information.
Trouvez un avocat en protection des données
L'AIPD (Analyse d'Impact relative à la Protection des Données, ou DPIA en anglais) est une évaluation approfondie imposée par l'article 35 du RGPD. Elle s'applique lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.
La CNIL a publié une liste de 14 types de traitements nécessitant systématiquement une AIPD. Parmi eux : la vidéosurveillance à grande échelle, le profilage automatisé produisant des effets juridiques, ou le traitement de données de santé à grande échelle.
L'AIPD comprend 4 volets :
Si le risque résiduel reste élevé après les mesures correctives, le responsable de traitement doit consulter la CNIL avant de mettre en œuvre le traitement. En pratique, cette consultation préalable reste rare : la plupart des organisations ajustent leurs mesures pour ramener le risque à un niveau acceptable.
Pour le DSI, l'AIPD constitue un outil de dialogue avec la direction générale. Elle objective le niveau de risque et justifie les investissements en sécurité par des critères réglementaires documentés.
La cartographie n'a de valeur que si elle débouche sur un plan d'action concret, assorti de responsables identifiés et d'échéances. Les actions types incluent : mise en conformité des contrats de sous-traitance (article 28 du RGPD), déploiement du chiffrement sur les bases de données critiques, révision des politiques de conservation.
Le suivi du plan s'appuie sur des indicateurs mesurables :
En cas de manquement, les sanctions de la CNIL sont graduées. Elles vont de l'avertissement à l'amende administrative. En 2023, la CNIL a sanctionné Criteo à hauteur de 40 millions d'euros pour des manquements liés au consentement et à l'information des personnes. En 2024, plusieurs PME ont reçu des mises en demeure pour absence de registre des traitements.
| Type de sanction | Montant ou mesure | Exemple récent |
|---|---|---|
| Avertissement | Pas d'amende | Rappel à l'ordre d'une collectivité |
| Mise en demeure | Délai de mise en conformité | PME sans registre (2024) |
| Amende administrative | Jusqu'à 20 M€ ou 4 % du CA mondial | Criteo, 40 M€ (2023) |
| Injonction | Cessation du traitement | Interdiction de collecte |
L'absence de cartographie constitue un facteur aggravant lors d'un contrôle. À l'inverse, une documentation structurée et un plan d'action en cours d'exécution démontrent la bonne foi de l'organisation et peuvent réduire le montant d'une éventuelle sanction.
Anticiper un contrôle CNIL suppose une cartographie à jour et un plan d'action documenté.
Consultez un avocat spécialisé en protection des données
Le responsable de traitement (en général le dirigeant ou l'entité morale) porte la responsabilité légale. En pratique, le DSI pilote l'inventaire technique des traitements, en coordination avec le DPO lorsqu'il existe. La cartographie implique aussi les directions métiers qui utilisent les données au quotidien.
Oui dans la plupart des cas. L'article 30 du RGPD prévoit une exemption pour les entreprises de moins de 250 salariés, mais uniquement si leurs traitements sont occasionnels, ne portent pas sur des données sensibles et ne présentent aucun risque. En pratique, ces conditions excluent la quasi-totalité des PME.
La cartographie couvre l'ensemble des traitements de l'organisation et les classe par niveau de risque. L'AIPD est une analyse approfondie réservée aux traitements identifiés comme présentant un risque élevé. La cartographie précède l'AIPD : elle permet de déterminer quels traitements nécessitent cette analyse renforcée.
La CNIL recommande une revue au minimum annuelle. En complément, toute modification substantielle du système d'information (nouveau logiciel, changement de sous-traitant, nouveau traitement) doit déclencher une mise à jour immédiate du registre et de l'évaluation des risques.
La CNIL met à disposition un modèle de registre gratuit au format tableur. Des logiciels spécialisés (OneTrust, Dastra, Witik) automatisent le suivi des traitements et la gestion des AIPD. Le choix dépend de la taille de l'organisation et du volume de traitements à documenter.
Le registre des activités de traitement - CNIL
Cartographier vos traitements de données personnelles - CNIL
Les outils de la conformité au RGPD - CNIL
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
Avocat au Barreau de Paris (Toque L086), fondateur de SWIM LEGAL
Besoin d'un juriste freelance, d'un conseil ou d'aide sur un litige ?
