FAQ RGDP
Vos questions sur la protection des données personnelles
Les juristes de La Robe Numérique répondent aux questions les plus fréquentes que se posent DPO, responsables conformité et dirigeants sur le RGPD.
Vos questions sur le RGPD et la conformité
-
Intégrez le RGPD dès la conception des outils d'IA via l'identification d'une base légale claire, la réalisation d'une AIPD si nécessaire et des mesures techniques de minimisation et de sécurité.
L'intégration opérationnelle du RGPD dans la conception et le déploiement d'une IA implique notamment de :
Qualifier la finalité précise du modèle et vérifier la compatibilité avec la collecte intiale ;
Identifier la base légale adaptée (contrat, intérêt légitime avec test de balance, obligation légale);
Réaliser une AIPD si nécessaire (notamment dans le cas de profilage, données sensibles ou impact significatif sur les personnes) ;
Mettre en oeuvre la minimisation des données, notamment des données d'entraînement (échantillonnage, pseudonymisation) ;
Sécuriser les jeux de données et modèles (contrôles d'accès, chiffrement, journalisation) ;
Documenter les traitements dans le registre ;
Prévoir un mécanisme de gestion des droits des personnes (accès, rectification, opposition).
Il est également essentiel d'anticiper les risques liés aux biais algorithmiques, à la transparence et à l'explicabilité, notamment si l'outil influence les décisions individuelles.
L'œil du consultant : Le piège classique est d'intégrer le RGPD en fin de projet, lorsque le modèle est déjà entraîné. Sur le terrain, les entreprises performantes incluent le DPO ou la fonction conformité dès la phase de cadrage produit. Refaire un dataset ou réentraîner un modèle après un audit coûte bien plus cher que d'intégrer la conformité dès la phase de design.
-
Une AIPD est obligatoire dès qu'un outil d'IA ou d'automatisation est susceptible d'engendrer un risque élevé pour les droits et libertés pour les personnes concernées. Sont expressément visés par le RGPD le profilage, les décisions automatisées produisent des effets juridiques ou significatifs, et la surveillance systématique à grande échelle. La CNIL a par ailleurs publié une liste des traitements nécessitant obligatoirement une AIPD, incluant certains systèmes d'IA RH, de scoring, ou de surveillance des salariés
Plus précisément, une AIPD est généralement requise si l'outil :
Réalise un profilage ou scoring automatisé (candidats, clients, salariés) ;
Produit une décision sans intervention humaine significative ;
Traite des données sensibles ;
Surveille de manière systématique et à grande échelle (tracking, contrôle d'activité);
Combine plusieurs bases de données pour analyser le comportement ;
Utilise des technologies innovantes avec impact difficilement prévisible.
La logique repose sur une approche par critères cumulatifs : si au moins deux critères de risque élevés identifiés par le CEPD/CNIL sont réunis, l'AIPD devient en pratique indispensable. Elle doit être réalisée avant la mise en production.
L'œil du consultant : Le piège classique est de considérer qu'un outil interne "simple" n'exige pas d'AIPD. En réalité, un système d'IA visant au scoring RH ou un système d'automatisation d'évaluation peut déclencher l'obligation sans que l'entreprise en ait conscience. Sur le terrain, l'absence d'AIPD est l'un des premiers points relevés en cas de contrôle, surtout lorsqu'un traitement automatisé impacte la carrière ou la rémunération.
-
Le RGPD permet le transfert de données hors de l'UE mais il faut s'appuyer sur un mécanisme légal prévu au Chapitre V du RGPD (article 44 et suivants) et vérifier que le pays tiers ou le destinataire assure un niveau de protection adéquat ou qu'une garantie appropriée est mise en place. Avec l'adoption du Data Privacy Framework (DPF), l'UE a reconnu que les Etats-Unis assurent un niveau de protection adéquat pour certains transferts sous conditions.
Le DPF est une décision d'adéquation de la Commission européenne (article 45 du RGPD), applicable depuis le 10 juillet 2023, qui facilite les transferts depuis l'UE vers des sociétés américaines auto-certifiées sous ce cadre sans avoir à ajouter d'autres garanties comme les clauses contractuelles types (SCCs). La certification implique que l'entité américaine s'engage à respecter les principes du Data Privacy Framework (minimisation, finalité, droits des personnes, etc.) et qu'elle figure sur la liste officielle des participants.
Obligations légales à respecter pour chaque transfert :
Décision d'adéquation : pour un pays tiers ou un cadre reconnu, le transfert est légal sans garanties supplémentaires si une décision d'adéquation existe (DPF pour les Etats-Unis et entités certifiés) ;
Garanties appropriées : pour un pays né bénéficiant pas de décision d'adéquation, utiliser les clauses contractuelles types (SCCs), des règles règles contraignantes d'entreprises (BCR) ou d'autres garanties reconnues ;
Dérogations limitées (article 49 du RGPD) : dans des cas exceptionnels, le consentement explicite, la nécessité contractuelle ou un intérêt public peut justifier le transfert de données ;
Information et transparence : informer les personnes concernées du transfert hors UE et des droits éventuels ;
Sécurité et la conformité : s'assuerer que les principes prévus par le RGPD (minimisation, sécurité des données) accompagnent l'ensemble du traitement, même hors UE.
Points spécifiques au Data Privacy Framework :
L'entité américaine doit être auto-certifiée au DPF auprès du Département du commerce américain;
La liste de vérification régulièrement et documenter la conformité,
Si une entité perd sa certification, les données reçues sous ce régime doivent être supprimées, retournées ou protgégées par d'autres garanties.
Certains droits spécifiques pour les personnes concernées (rectification, suppression, mécanisme de recours) sont prévus dans le cadre DPF.
L'œil du consultant : Sur le terrain, le piège classique est de supposer que le DPF couvre automatiquement tous les transferts vers les Etats-Unis. En réalité, il ne s'applique que si l'entité américaine est certifiée et que la certification couvre précisément la nature des données transférées (y compris RH, santé, etc.). Sans certification valide, il faut retomber sur des garanties alternatives comme les SCCs ou BCR et souvent réaliser une évaluation d'impact de transfert de données (Transfer Imapct Assesment) pour documenter le niveau de protection effectivement offert. Le risque est réel : absence de base légale solide = non-conformité RGPD et sanctions possibles.
-
Pour prouver la conformité RGPD d'un sous-traitant SaaS étranger, il faut vérifier son encadrement contractuel (article 28), ses garanties de sécurité (article 32) et la légalité des transferts hors UE (chapitre V).
Le RGPD impose que tout sous-traitant soit lié par un contrat conforme à l'article 28, précisant l'objet, la durée, la nature du traitement, les catégories de données et les obligations de sécurité. Le responsable de traitement doit s'asurer que le prestataire présente des garanties suffisantes (article 28§1) et documenter cette évaluation dans une logique d'accountability (article 5§2).
Si le prestataire est hors UE, il faut appliquer les règles de transfert prévues aux articles 44 à 49 (décision d'adéquation, SCCs, BCR) (Sources : RGPD – EUR-Lex : https://eur-lex.europa.eu/eli/reg/2016/679/oj ; CNIL – Sous-traitants : https://www.cnil.fr/fr/sous-traitant ; Commission européenne – Transferts internationaux : https://commission.europa.eu)
Elements de preuve à documenter :
Contrat de sous-traitance conforme à l'article 28 (DPA signé) ;
Liste des mesures techniques et organisationnelles (chiffrement, contrôle d'accès, sauvegardes - article 32) ;
Certification ou audit indépendant (ISO27001, SOC2) ;
Encadrement des sous-traitants ultérieurs (article 28§2 et §4) ;
Localisation des données et mécanismes de transfert (DPF, SCCs, BCR, Chapitre V) ;
Réalisation éventuelle d'un Transfert Impact Assesment (TIA) si hors décision d'adéquation ;
Clauses d'assistance en cas d'exercice des droits ou violations de données.
La conformité ne repose pas uniquement sur une certification marketing : elle doit être démontrable par des documents contractuels et techniques.
L'œil du consultant : Le piège classique est de se contenter d'un DPA standard téléchargé en ligne sans vérifier les flux réels de données ni les sous-traitants secondaires. En audit, l'absence de cartographie précise des transferts internationaux est un point faible majeur. La preuve de conformité doit être conservée et actualisée, notamment en cas d'évolution géographique des datas centers ou du cadre juridique international.
-
La CNIL attend un registre des traitements complet, à jour et reflétant la réalité opérationnelle, conforme à l'article 30 du RPGD.
L'article 30 du RGPD impose au responsable de traitement de tenir un registre documentant chaque activité de traitement : finalités, catégories de données, bases légales, destinataires, transferts hors UE, durées de conservation et mesures de sécurité. Lors d'un contrôle, la CNIL vérifie la cohérence entre le registre et les pratiques effectives, ainsi que l'actualisation régulière du document. Un registre générique ou incomplet constitue un manquement formel. (Sources : RGPD – Art. 30 : https://eur-lex.europa.eu/eli/reg/2016/679/oj ; CNIL – Le registre des activités de traitement : https://www.cnil.fr/fr/le-registre-des-activites-de-traitement)
Ce que la CNIL examine concrètement :
L'existence d'un registre formalisé et centralisé ;
La présence des mentions obligatoires (finalités, bases légales, durées, destinataires) ;
La justification des durées de conservation (cohérence avec la politique d'archivage) ;
L'identification claire des transferts hors UE (chapitre V du RGPD) ;
La description des mesures de sécurité (article 32) ;
L'actualisation du registre en cas de nouveau rejet (ex : outil IA, nouveau SaaS) ;
La cohérence avec les contrats de sous-traitance (article 28) ;
L'articulation avec les AIPD lorsque requises (article 35).
La CNIL compare souvent le registre aux outils réellement utilisés (SIRH, CRM, outils collaboratifs). Un traitement non mentionné est un signal d'alerte immédiat.
L'œil du consultant : Le piège classique est de considérer le reigstre comme un simple tableau administratif. En pratique, la CNIL s'en sert comme porte d'entrée pour auditeur toute l'organisation. Un registre trop vague ("gestion RH") sans détail sur les sous-traitants, durées ou tranferts internationaux expose fortement l'entreprise. Les organisations matures utilisent le registre comme un outil de gouvernance, mis à jour à chaque nouveau projet digital.
-
Les données de recrutement et RH doivent être conservées uniquement pour la durée strictement nécessaire à leur finalité, conformément au principe de limitation du RGPD.
Les durées de conservation recommandées en France :
Candidats non retenus : 2 ans après le dernier contact (recommandation CNIL)
Candidats retenus : intégration des données au dossier salarié
Dossier du salarié (contrat, évaluations, sanctions) : 5 ans après le départ (délai de prescription prud’homale – Code du travail)
Bulletins de paie (copie employeur) : 5 ans
Registre unique du personnel : 5 ans après le départ du salarié
Documents relatifs aux charges sociales : 3 à 6 ans selon la nature (Code de la sécurité sociale)
Ces durées doivent être formalisées dans le registre des activités de traitement (Art. 30 RGPD) et communiquées aux personnes concernées (Art. 13 RGPD). Il est également recommandé de distinguer base active et archivage intermédiaire sécurisé.
L’œil du consultant : Sur le terrain, le piège classique est l’absence de purge automatique dans les ATS ou SIRH : la durée est écrite dans une politique interne mais jamais appliquée techniquement. En cas de contrôle CNIL, ce décalage entre la règle et la pratique est immédiatement sanctionnable. La conformité RH est d’abord une question d’organisation opérationnelle, pas seulement de documentation.
-
La CNIL sanctionne une PME ou ETI selon la gravité des manquements, leur durée, le nombre de personnes impactées et le niveau de coopération (article 83 du RGPD).
L'article 83 du RGPD fixe les critères d'appréciation des amendes administratives : nature, gravité et durée de la violation, caractère intentionnel ou négligent, mesures prises pour atténuer le dommage, degré de responsabilité, antécédents, coopération avec l'autorité et catégories de données concernées (notamment sensibles - article 9). La taille de l'entreprise n'exonère pas de resposnabilité mais elle est prise en compte dans la proportionnaltié de la sanction.
Critères concrets examinés par la CNIL :
Gravité du manquement (exemple : défaut de sécurité - article 32 ; absence de base légale - article 6),
Nombre de personnes concernées et ampleur du traitement,
Durée de la non-conformité (manquement ponctuel ou structurel),
Nature des données impactées (données sensibles, mineurs, données financières),
Caractère intentionnel ou négligence grave,
Existence d'un registre des traitements (article 30) et d'une AIPD si requise (article 35),
Mesures correctrices mises en oeuvre après contrôle,
Niveau de coopération avec la CNIL,
Avantage économique tiré de la violation.
La CNIL peut prononcer un avertissement, une mise en demeure, une injonction de se mettre en conformité avec astreinte ou une amende administrative pouvant atteindre jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial total (article 85§3 du RGPD).
la CNIL dispose également d'une procédure simplifiée pour les manquements courants et peu complexes. Un membre unique de la formation restreinte peut prononcer rapidement un avertissement ou une amende plafonnée à 20 000 €. Cette procédure cible en priorité les PME et ETI pour des infractions fréquentes : cookies non conformes, absence de mentions légales, défaut d'information des personnes.
L'œil du consultant : Le piège classique pour une PME est de penser que sa taille la protège. En pratique, la CNIL sanctionne régulièrement des structures de taille moyenne, notamment pour défaut de sécurité ou non-respect des droits des personnes. Ce qui aggrave une situation n'est pas toujours la violation initiale, mais l'absence de réaction rapide et documentée après l'incident. Une gouvernance active et des preuves d'amélioration continue peuvent significativement atténuer le risque financier et réputationnel.
-
Oui, le RGPD est compatible avec l’entraînement de modèles d’IA internes, à condition de respecter strictement les principes de licéité, minimisation et sécurité des données.
L’entraînement d’un modèle d’IA interne constitue un traitement de données personnelles au sens de l’article 4 du RGPD. Il doit donc reposer sur une base légale (Art. 6 RGPD), respecter le principe de minimisation (Art. 5 §1 c), et intégrer la protection des données dès la conception (Art. 25).
Si des données sensibles sont utilisées (santé, opinions, biométrie), l’article 9 s’applique avec des conditions renforcées. Une AIPD (analyse d’impact) est obligatoire si le traitement présente un risque élevé (Art. 35), ce qui est fréquent pour des modèles prédictifs ou RH.
La compatibilité dépend surtout du cadre mis en place.
Concrètement :
Définir une base légale documentée (contrat, intérêt légitime avec test de balance, obligation légale, etc.)
Limiter les données aux seules strictement nécessaires (Art. 5 §1 c)
Informer les personnes concernées (Art. 13 et 14)
Mettre en œuvre des mesures techniques adaptées (Art. 32 : chiffrement, pseudonymisation, contrôle d’accès)
Réaliser une AIPD si risque élevé (Art. 35)
Encadrer les sous-traitants IA via un contrat conforme à l’Art. 28
L’ANSSI rappelle par ailleurs l’importance de la sécurité des environnements d’entraînement (segmentation réseau, gestion des accès, journalisation).
L’œil du consultant : Sur le terrain, le piège classique est d’utiliser des bases historiques “déjà disponibles” sans vérifier leur base légale initiale. Beaucoup d’entreprises pensent qu’une donnée collectée pour un contrat peut automatiquement servir à entraîner un modèle. Or le principe de limitation des finalités (Art. 5 §1 b) impose de vérifier la compatibilité ou d’obtenir un nouveau fondement juridique. C’est souvent là que se situe le risque réel, plus que dans la technologie elle-même.
-
Six points sont contrôlés en continu, indépendamment des thématiques prioritaires de l'année (recrutement, répertoire électoral unique, fédérations sportives en 2026) : la tenue à jour du registre des traitements (art. 30), la sécurité des données (art. 32), le respect des délais de réponse aux demandes des personnes concernées, le consentement cookies, la documentation des transferts hors UE, et la réalisation des AIPD pour les traitements à risque élevé. Selon la CNIL, environ 80 % des contrôles annuels résultent de plaintes ou de violations notifiées, et non des thématiques prioritaires publiées chaque année. La conformité aux fondamentaux reste donc l'enjeu principal, quel que soit le secteur d'activité.
L'œil du consultant : Deux pièges guettent les responsables conformité en 2026. Le premier consiste à croire que la conformité se limite aux secteurs prioritaires de l'année : une simple plainte suffit à déclencher un contrôle, quel que soit le secteur, et les points structurels (registre, sécurité, droits des personnes) restent la première porte d'entrée des sanctions. Le second piège est de confondre conformité documentaire et conformité réelle : la CNIL sanctionne moins l'absence de documents que leur décalage avec la pratique effective. Un registre non actualisé depuis plusieurs mois, une politique de sécurité sans preuve d'exécution, ou une mention d'information absente d'un formulaire sont des signaux qui déclenchent une vigilance accrue.
Ces réponses donnent un cadre général. Chaque situation étant différente, La Robe Numérique accompagne les organisations dans l'analyse de leurs obligations spécifiques.
Vous avez une question spécifique ?
Faites le point sur votre conformité avec nos DPO certifiés.
