Kantyra Kantyra

← Alle artikelen

Algemeen

Ce que le RGPD attend de votre organisation

Alain Rees · 12-07-2026 · 15 min leestijd

Le Règlement général sur la protection des données (RGPD), connu à l'international sous le nom de GDPR, est la loi européenne qui détermine comment les organisations peuvent traiter les données à caractère personnel. Le RGPD repose sur un ensemble de principes et sur une obligation de rendre des comptes, ce qui signifie que vous devez non seulement agir avec soin, mais aussi pouvoir le prouver. Cet article explique ce que recouvre le RGPD, quels principes et quelles bases légales s'appliquent, quels droits les personnes possèdent et comment vous vous conformez de manière démontrable sans vous perdre dans une prolifération de documents épars.

En bref

  • Le RGPD s'applique dès que vous traitez des données à caractère personnel, c'est-à-dire dès que vous enregistrez ou utilisez des données concernant des personnes identifiables.
  • Vous ne pouvez traiter des données à caractère personnel que si vous disposez d'une base légale valable.
  • Les personnes disposent de droits sur leurs données, comme l'accès, la rectification et l'effacement.
  • L'obligation de rendre des comptes signifie que vous devez rendre votre conformité démontrable, et pour cela vous commencez par un registre des traitements.
  • En cas de violation de données présentant un risque, vous devez la notifier dans les 72 heures à l'autorité de protection des données compétente.
  • La conformité coïncide avec les quatre phases du modèle Kantyra : détecter, évaluer, résoudre et démontrer.

Qu'est-ce que le RGPD ?

Le RGPD (règlement (UE) 2016/679) est une législation européenne qui régit la protection des données à caractère personnel dans l'ensemble de l'Union européenne. Une donnée à caractère personnel est toute information concernant une personne identifiable, d'un nom ou d'une adresse e-mail à une localisation ou un numéro de client. Le traitement est toute opération sur ces données, donc aussi la collecte, la conservation, la consultation ou l'effacement.

Le RGPD est plus qu'une formalité bureaucratique : il repose sur une idée claire. Les données à caractère personnel appartiennent aux personnes elles-mêmes, et une organisation qui les utilise le fait sous conditions et en rend compte. Cette obligation de rendre des comptes est le cœur de la loi.

Un règlement et non une directive

Comme le règlement sur l'IA, le RGPD est un règlement, et un règlement s'applique directement dans tous les États membres. Il n'a pas eu à être transposé d'abord en droit national : le même texte s'applique à votre organisation qu'à une organisation de tout autre pays de l'Union. C'est une différence avec la directive NIS2, que les États membres ont d'abord dû transposer dans leur propre législation, en France sous l'autorité de l'ANSSI et en Belgique par la loi du 26 avril 2024, en vigueur depuis le 18 octobre 2024 et placée sous l'autorité du CCB.

La surveillance relève de l'autorité de protection des données compétente, le régulateur du pays dans lequel votre organisation est établie. Elle peut infliger des amendes pouvant atteindre 20 millions d'euros ou 4 pour cent du chiffre d'affaires annuel mondial.

À qui le RGPD s'applique-t-il ?

Le RGPD distingue deux rôles, et vos obligations dépendent du rôle que vous exercez.

Le responsable du traitement détermine pourquoi et comment les données à caractère personnel sont traitées. Il s'agit le plus souvent de votre propre organisation, par exemple lorsque vous enregistrez des données de clients ou de personnel. Le responsable du traitement porte la plupart des obligations.

Le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement, sans en déterminer lui-même la finalité. Un fournisseur qui héberge ou traite des données pour votre compte est un sous-traitant. Avec une telle partie, vous consignez les accords dans un contrat de sous-traitance.

Il importe de noter que le RGPD s'applique aussi aux organisations situées en dehors de l'Union européenne, dès qu'elles traitent des données de personnes qui se trouvent dans l'Union. Sa portée est donc plus large que les seules organisations européennes.

Les principes fondamentaux du RGPD

Le RGPD compte six principes fondamentaux qui s'appliquent à tout traitement, ainsi que le principe transversal de responsabilité. Ces principes sont l'étalon à l'aune duquel une autorité de contrôle examine votre traitement.

  • Licéité, loyauté et transparence signifient que vous traitez les données de manière loyale et que vous êtes ouvert sur ce que vous faites.
  • La limitation des finalités signifie que vous ne collectez des données que pour des finalités déterminées et explicites.
  • La minimisation des données signifie que vous ne traitez pas plus de données que nécessaire pour cette finalité.
  • L'exactitude signifie que vous gardez les données correctes et à jour.
  • La limitation de la conservation signifie que vous ne conservez pas les données plus longtemps que nécessaire.
  • L'intégrité et la confidentialité signifient que vous sécurisez les données de manière appropriée.

La responsabilité relie tout cela. Vous devez non seulement respecter les principes, mais aussi pouvoir démontrer que vous le faites.

Quand pouvez-vous traiter des données à caractère personnel ?

Vous ne pouvez traiter des données à caractère personnel que si vous disposez d'une base légale valable. Le RGPD en compte six, et vous en choisissez une par traitement :

  • le consentement de la personne concernée, qui doit être libre, spécifique et univoque ;
  • l'exécution d'un contrat avec la personne concernée ;
  • le respect d'une obligation légale ;
  • la protection d'un intérêt vital, par exemple la vie d'une personne ;
  • l'exécution d'une mission d'intérêt public ou relevant de l'autorité publique ;
  • un intérêt légitime, à condition qu'il prévale sur les intérêts de la personne concernée.

Des règles plus strictes s'appliquent aux catégories particulières de données à caractère personnel, comme les données relatives à la santé, à la religion ou aux opinions politiques. En principe, vous ne pouvez pas les traiter, sauf si une exception spécifique s'applique.

Les droits des personnes concernées

Le RGPD confère aux personnes une série de droits sur leurs propres données. Vous devez pouvoir honorer ces droits, généralement dans un délai d'un mois. Les principaux sont :

  • le droit d'accès aux données que vous traitez ;
  • le droit de rectification des données inexactes ;
  • le droit à l'effacement, aussi appelé droit à l'oubli ;
  • le droit à la limitation du traitement ;
  • le droit à la portabilité des données ;
  • le droit d'opposition à un traitement ;
  • le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

Ce dernier droit touche au règlement sur l'IA, car les décisions automatisées sont de plus en plus souvent prises par des systèmes d'IA. Les deux lois s'imbriquent sur ce point.

Vos principales obligations

Outre les principes et les bases légales, le RGPD impose un certain nombre d'obligations concrètes. Les principales sont les suivantes :

  • Vous tenez un registre des traitements, c'est-à-dire un aperçu de tous les traitements de données à caractère personnel.
  • Vous concluez un contrat de sous-traitance avec toute partie qui traite des données pour votre compte.
  • Vous réalisez une analyse d'impact relative à la protection des données (AIPD) pour les traitements présentant un risque élevé.
  • Vous appliquez la protection des données dès la conception et par défaut, afin que la protection de la vie privée soit intégrée dès le départ.
  • Vous sécurisez les données par des mesures techniques et organisationnelles appropriées.
  • Vous désignez un délégué à la protection des données lorsque cela est obligatoire.

Beaucoup de ces obligations vont de pair avec ce que vous faites déjà en matière de sécurité de l'information. L'exigence de sécurité du RGPD se rattache par exemple directement aux mesures de votre sécurité de l'information. C'est précisément le point d'ancrage pour ne pas traiter la protection de la vie privée comme un chantier isolé.

Que faire en cas de violation de données ?

Une violation de données est une atteinte à la sécurité entraînant la perte de données à caractère personnel ou leur passage entre de mauvaises mains. Pensez à un ordinateur portable volé, à un e-mail envoyé à la mauvaise adresse ou à une attaque réussie.

Si une violation de données présente un risque pour les personnes concernées, vous devez la notifier dans les 72 heures à l'autorité de protection des données compétente. Si le risque est élevé, vous devez également informer les personnes concernées elles-mêmes. Vous consignez en outre chaque violation de données dans un aperçu interne, que vous la notifiiez ou non. Cet aperçu constitue en même temps votre preuve que vous traitez les violations de données de manière sérieuse et structurée.

Dans Kantyra, une violation de données passe par le registre des incidents : vous marquez un incident comme violation de données, vous consignez s'il a été notifié à l'autorité de protection des données compétente, et vous justifiez dans le champ d'appréciation la décision de ne pas notifier. L'aperçu interne des violations de données que le RGPD exige est ainsi un filtre sur le registre que vous tenez de toute façon, et les violations de données comptent dans le tableau de bord et dans la tendance des incidents du rapport de gestion.

Des obligations éparses à une gestion cohérente

C'est ici que se situe l'étape que beaucoup d'organisations sautent. Vous ne pouvez pas vous conformer au RGPD sans avoir une vue d'ensemble de vos traitements. La base de tout est donc le registre des traitements, c'est-à-dire un aperçu à jour de chaque traitement, avec sa finalité, sa base légale, les catégories de données, la durée de conservation et les parties concernées.

Dans Kantyra, ce registre est le cœur du module de protection des données. Pour chaque traitement, vous consignez la finalité, la base légale (l'une des six du RGPD), les catégories de personnes concernées et de données, les destinataires et les sous-traitants, la durée de conservation et les mesures de sécurité, et vous indiquez s'il y a un transfert en dehors de l'EEE et si une AIPD est requise. Chaque traitement a un propriétaire et une date de révision : à l'approche de cette date, le propriétaire reçoit automatiquement une tâche, de sorte que le registre reste démontrablement à jour, ce qu'exige précisément l'article 30. Ce dernier marquage fonctionne : un traitement pour lequel une AIPD est requise mais fait défaut apparaît en rouge dans le registre jusqu'à ce que l'AIPD soit disponible.

À partir de ce registre, les lignes mènent à vos autres obligations. L'AIPD elle-même est réalisée sous forme d'évaluation, avec un modèle fixe suivant l'article 35 (description, nécessité et proportionnalité, risques pour les personnes concernées, mesures et avis du délégué à la protection des données), un tour de revue selon le principe des quatre yeux et un export PDF. Les contrats de sous-traitance sont consignés dans le registre des fournisseurs : pour chaque fournisseur, vous indiquez s'il traite des données à caractère personnel et si le contrat de sous-traitance est signé, avec un suivi de la date du contrat et de l'évaluation périodique. Et le cadre RGPD figure comme référentiel dans le registre de conformité, au même titre qu'ISO 27701 (l'extension vie privée d'ISO 27001), de sorte que vous suivez, pour chaque exigence, le statut, le propriétaire et la preuve.

Cette administration se rattache directement à votre sécurité de l'information et à votre gestion des risques (ISMS). Vous gérez les mesures de sécurité qu'exige le RGPD comme vos autres mesures, conformément à ISO 27001. La protection des données et la sécurité forment ainsi les deux faces d'une même maîtrise.

Où le RGPD se situe-t-il dans le modèle Kantyra ?

Comme la gestion des risques, le management de la conformité et le règlement sur l'IA, la conformité au RGPD ne peut pas se réduire à une seule phase du modèle Kantyra : elle est le cycle du modèle, appliqué aux données à caractère personnel.

Cela commence par détecter : savoir quelles données vous traitez, repérer les nouveaux traitements et les modifications, et enregistrer les violations de données. Vient ensuite évaluer : déterminer la base légale par traitement et, en cas de risque élevé, réaliser une AIPD. Dans la phase résoudre, vous prenez les mesures appropriées : sécurité, contrats de sous-traitance et protection des données dès la conception. Et la phase démontrer a, dans le RGPD, un nom propre et un statut juridique : la responsabilité. Le registre des traitements, l'aperçu des violations de données et le cadre RGPD accompagné des preuves forment ensemble cette reddition de comptes.

La conformité au RGPD à côté des quatre phases du modèle Kantyra : cartographier les traitements relève de détecter, la base légale et l'AIPD d'évaluer, les mesures appropriées de résoudre, et la responsabilité de démontrer

Cela rend le RGPD particulier au sein de cette série : là où d'autres référentiels supposent la démontrabilité de manière implicite, le RGPD en a fait un principe fondamental. Celui qui suit le modèle n'a donc pas à organiser la responsabilité séparément : elle naît d'elle-même du cycle.

Travaillez-vous avec des documents épars ou avec une plateforme GRC ?

Vous pouvez tenir votre registre des traitements et les aperçus associés dans des fichiers épars, et pour commencer, c'est défendable. Mais à mesure que le nombre de traitements croît et que l'autorité de contrôle réclame de la démontrabilité, vous vous heurtez aux mêmes limites que pour tout autre chantier de conformité. Les fichiers épars finissent par se désynchroniser, et il vous manque la vue d'ensemble et l'historique dont vous avez besoin.

Dans une plateforme GRC, vous gérez le registre des traitements, les accords avec les sous-traitants, les AIPD et les violations de données comme des aperçus liés au sein d'un même environnement, et le lien avec votre sécurité de l'information évite de faire deux fois le même travail.

Avec Kantyra, vous gérez le RGPD dans le même environnement que votre ISMS. Que vous considériez la protection des données comme une obligation autonome ou comme une partie de votre maîtrise plus large, vos traitements, vos risques et vos mesures se réunissent en un seul endroit, conformément à ISO 27001 et ISO 27701. Vous rendez ainsi votre gestion de la protection des données aussi démontrable que votre sécurité de l'information.

Se lancer avec le RGPD en cinq étapes

  1. Cartographiez vos traitements. Créez un registre des traitements de tous les endroits où vous utilisez des données à caractère personnel.
  2. Déterminez la base légale par traitement. Consignez pourquoi vous pouvez traiter les données et dans quel but.
  3. Réglez les accords avec les tiers. Concluez un contrat de sous-traitance avec toute partie qui traite des données pour votre compte.
  4. Évaluez les risques. Réalisez une AIPD pour les traitements présentant un risque élevé et prenez des mesures de sécurité appropriées.
  5. Gérez le tout de manière cohérente. Reliez votre registre des traitements à votre gestion des risques et à votre ISMS, et tenez-le à jour.

Questions fréquentes sur le RGPD

Quelle est la différence entre le RGPD et la GDPR ? Il n'y a aucune différence. RGPD est le nom français, GDPR le nom anglais. Il s'agit du même règlement européen.

Quand le RGPD s'applique-t-il à mon organisation ? Le RGPD s'applique dès que vous traitez des données à caractère personnel, c'est-à-dire dès que vous enregistrez ou utilisez des données concernant des personnes identifiables. Il n'y a pas de seuil minimal de taille : une petite organisation y est également soumise.

Ai-je toujours besoin d'un consentement pour traiter des données ? Non. Le consentement est l'une des six bases légales, mais souvent pas la plus appropriée. Un contrat, une obligation légale ou un intérêt légitime peut tout aussi bien constituer une base valable.

Que dois-je faire en cas de violation de données ? Si la violation présente un risque pour les personnes concernées, vous la notifiez dans les 72 heures à l'autorité de protection des données compétente. Si le risque est élevé, vous informez également les personnes concernées elles-mêmes. Vous consignez chaque violation de données dans un aperçu interne.

Dois-je désigner un délégué à la protection des données ? Pas toujours. C'est obligatoire pour les organismes publics et pour les organisations qui suivent des personnes ou traitent des catégories particulières de données à grande échelle. Dans les autres cas, c'est facultatif.

Se lancer avec le RGPD dans Kantyra

Vous préféreriez ne pas gérer la conformité au RGPD dans des fichiers épars, mais dans un environnement unique qui se rattache à votre sécurité de l'information ? Avec le module de protection des données de Kantyra, vous tenez le registre des traitements, vous réalisez des AIPD avec un modèle fixe et un tour de revue, vous consignez les accords de sous-traitance auprès de vos fournisseurs et vous traitez les violations de données dans le registre des incidents, avec le cadre RGPD et les preuves dans le registre de conformité. Demandez une démo et découvrez comment bâtir la conformité au RGPD par-dessus votre ISMS existant.


Kantyra est une plateforme ISMS et GRC européenne qui permet aux organisations de gérer leur sécurité de l'information, leur gestion des risques, leur protection des données et leur conformité de manière démontrable, conformément à des normes telles qu'ISO 27001, ISO 22301 et ISO 27701 et à des législations telles que le RGPD, la directive NIS2 et le règlement sur l'IA.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen