Points clés
- Le registre des traitements incomplet est la défaillance documentaire la plus fréquemment relevée par les régulateurs.
- La conservation des données au-delà des durées définies est une source systématique de non-conformité.
- L'absence de formalisation des bases légales expose l'organisation à des contestations.
- Les transferts de données hors UE non encadrés constituent un risque réglementaire majeur souvent sous-estimé.
Un registre des traitements structurellement incomplet
Le registre des traitements est le document central de la conformité RGPD — et le plus fréquemment défaillant. Les organisations créent généralement un registre initial lors de la mise en conformité RGPD, puis ne le maintiennent pas à jour. Les nouveaux traitements apparaissent sans être enregistrés, les traitements modifiés ne font pas l'objet d'une révision du registre, et les traitements abandonnés restent dans le registre sans être archivés. Le résultat est un document qui décrit l'organisation telle qu'elle était — pas telle qu'elle est. Cette obsolescence transforme le registre en source de risque plutôt qu'en outil de gouvernance.
La conservation des données au-delà des durées définies
Définir des durées de conservation dans le registre des traitements est une chose — les appliquer effectivement en est une autre. Dans la plupart des organisations, les données s'accumulent sans mécanisme de purge automatique. Les bases de données marketing conservent des prospects depuis dix ans. Les RH maintiennent des dossiers de candidats refusés indéfiniment. Les systèmes de logs gardent des traces d'accès bien au-delà des durées nécessaires. Ces excès de conservation créent un passif réglementaire latent qui n'est découvert qu'à l'occasion d'un audit ou d'un incident.
L'absence de bases légales clairement formalisées
Chaque traitement de données personnelles doit reposer sur une base légale parmi les six admises par le RGPD. L'erreur fréquente est de recourir systématiquement au consentement — base la plus contraignante — sans évaluer si une autre base légale (exécution du contrat, intérêt légitime, obligation légale) serait plus appropriée. L'autre erreur est de ne pas documenter la base légale retenue pour chaque traitement, exposant l'organisation à l'impossibilité de justifier ses traitements face à un régulateur ou à une personne qui exerce ses droits.
Les transferts hors UE non encadrés : un risque sous-estimé
Les transferts de données personnelles hors de l'Union européenne sont soumis à des encadrements stricts — clauses contractuelles types, règles d'entreprise contraignantes, ou adéquation reconnue par la Commission. Dans la pratique, ces transferts se multiplient à mesure que les organisations adoptent des services cloud, des outils collaboratifs et des partenaires internationaux, souvent sans que les équipes métiers réalisent qu'elles transfèrent des données personnelles à des entités soumises à des législations moins protectrices. L'absence d'inventaire des transferts hors UE est une défaillance fréquente et potentiellement très coûteuse.
Construire une approche systématique de correction
Corriger ces erreurs fréquentes suppose une approche systématique, pas des correctifs ponctuels. La mise à jour du registre des traitements doit devenir un processus continu intégré au cycle de vie des projets — tout nouveau traitement déclenche automatiquement une fiche registre. Les durées de conservation doivent être implémentées techniquement, pas seulement déclarées. Les bases légales doivent être revues lors des modifications significatives des traitements. Les transferts hors UE doivent être cartographiés annuellement. Cette approche systématique transforme la conformité d'un exercice ponctuel en pratique organisationnelle continue.