digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Le RGPD a huit ans. Les grandes lignes n’ont pas changé, mais la manière dont les autorités vérifient leur application, elle, a considérablement évolué. Les déclarations de bonne intention ne suffisent plus. La CNIL et ses homologues européens veulent des preuves : des logs, des rapports d’audit, des attestations techniques. Ajoutez à cela l’entrée en application de l’AI Act et du Data Act, et vous obtenez un environnement réglementaire où la conformité RGPD ne peut plus se gérer en silo.
Cet article fait le point sur ce qui a changé, ce qui se durcit et ce que ça implique concrètement pour les RSSI, DPO et directions juridiques.
Un cadre réglementaire qui passe de la théorie à la pratique
La philosophie du RGPD reste la même. Ce qui change, c’est le niveau d’exigence des contrôleurs.
Des contrôles plus fréquents, des preuves exigées
Les audits de la CNIL se sont multipliés depuis 2024, avec un focus particulier sur trois sujets : les flux transfrontaliers, les algorithmes de décision automatisée et la sécurité des grandes bases de données.
La période de pédagogie est terminée. Lors d’un contrôle, les agents ne se contentent plus de vérifier l’existence d’une politique de sécurité. Ils demandent les logs d’accès, les rapports de tests d’intrusion, les preuves de déploiement de la MFA. Une politique de mots de passe qui autorise encore « Entreprise2024! » ? C’est une non-conformité caractérisée.
Le registre des traitements doit être à jour, évidemment. Mais ce n’est que le point de départ.
La réforme Omnibus numérique et ses effets pour les PME
La Commission européenne a finalisé l’Omnibus numérique pour alléger certaines contraintes administratives, notamment pour les structures de moins de 250 salariés dont les traitements présentent un risque faible.
Concrètement : seuils relevés pour la tenue du registre, notification des incidents modulée selon la gravité. Pour une PME qui traite des données clients basiques sans profilage ni données sensibles, c’est une simplification bienvenue.
Attention toutefois : l’allègement porte sur les formalités, pas sur les principes. La sécurité et la confidentialité restent des obligations pleines et entières, quelle que soit la taille de l’entreprise.
Comment le RGPD s’articule avec l’AI Act et le Data Act
Le RGPD n’est plus seul. Les nouvelles régulations européennes créent un maillage où chaque texte interagit avec les autres.
AI Act : ce que ça change pour vos traitements automatisés
Si vous utilisez des systèmes d’IA – scoring, recommandation, analyse prédictive, l’AI Act ajoute des obligations spécifiques. Le RGPD continue de s’appliquer pour tout ce qui touche aux données personnelles. L’AI Act, lui, impose des exigences de transparence et de documentation supplémentaires.
Pour les modèles de langage (LLM), la question de la provenance des données d’entraînement devient centrale. D’où viennent les données ? Le principe de minimisation est-il respecté ? Ces questions, les autorités les posent désormais systématiquement.
Un projet IA qui ne prend pas en compte cette double contrainte dès la conception accumule une dette de conformité qui se paiera cher plus tard.
Data Act et DSA : les nouveaux paramètres à intégrer
Le Data Act encadre le partage des données générées par les objets connectés. Si vous fabriquez ou utilisez des équipements IoT, vous devez permettre la portabilité des données sans compromettre la vie privée des utilisateurs. Le RGPD s’applique aux données personnelles, le Data Act à l’ensemble des données générées.
Le Digital Services Act (DSA) impacte principalement les plateformes, mais ses effets se propagent. Les règles sur la modération de contenu et la publicité ciblée modifient la manière dont les données personnelles peuvent être exploitées.
Pour le DPO, cela signifie une coordination plus étroite avec les équipes data et innovation. Travailler en silo n’est plus une option.
Cookies et consentement : ce qui évolue vraiment
Le sujet des cookies reste un casse-tête pour beaucoup d’organisations. Les évolutions de 2026 visent à clarifier les règles, pas à les alléger.
L’intégration d’ePrivacy dans le RGPD
La Commission a intégré les dispositions d’ePrivacy directement dans le cadre RGPD. L’objectif : en finir avec les doublons réglementaires et les incertitudes juridiques.
Pour les entreprises, cela simplifie la lecture des obligations. Un seul texte de référence pour la protection des données et le suivi en ligne. Les règles sur les cookies restent strictes, mais au moins elles sont désormais cohérentes avec le reste du dispositif.
Dark patterns : les pratiques désormais sanctionnées
Les interfaces conçues pour pousser l’utilisateur vers l’acceptation maximale sont dans le viseur des autorités. Un bouton « Tout accepter » en vert vif et un lien « Paramétrer » en gris clair au milieu d’un paragraphe ? C’est un dark pattern, et c’est sanctionné.
La règle est simple : les options de refus doivent être aussi visibles et accessibles que les options d’acceptation. Même taille, même contraste, même niveau d’accessibilité.
Si votre CMP (Consent Management Platform) date de 2021, il est probablement temps de la revoir.
Sécurité technique : les exigences concrètes de la CNIL
La sécurité n’est pas un chapitre à part dans la conformité RGPD. C’est le socle sur lequel tout repose.
Authentification et journalisation : le minimum attendu
Les mesures de sécurité « appropriées » mentionnées dans le RGPD ont désormais un contenu concret. La CNIL a publié des recommandations détaillées, et les sanctions récentes montrent ce qui est considéré comme insuffisant.
MFA : pourquoi c’est devenu non négociable
L’authentification par mot de passe seul n’est plus acceptable pour les accès à des données sensibles ou les comptes d’administration. Point final.
La MFA doit être déployée sur tous les accès distants, tous les outils SaaS critiques, tous les comptes à privilèges. Les exceptions doivent être documentées et justifiées par des contraintes techniques réelles, pas par des habitudes ou du confort utilisateur.
Lors d’un audit, l’absence de MFA sur un accès administrateur est relevée systématiquement. C’est devenu un marqueur de maturité – ou d’immaturité – en matière de sécurité.
Journalisation : ce que les auditeurs vérifient
Qui a accédé à quelle donnée, quand, depuis quel poste, pour faire quoi ? Ces informations doivent être tracées et conservées de manière inaltérable.
Les auditeurs vérifient trois choses : l’exhaustivité (tous les accès critiques sont-ils tracés ?), l’intégrité (les logs peuvent-ils être modifiés ?) et l’exploitation (quelqu’un regarde-t-il ces logs régulièrement ?).
Une journalisation qui existe mais que personne ne consulte ne sert à rien. Un SIEM sans règles d’alerte configurées, c’est de la décoration.
Destruction des données : comment prouver qu’on l’a fait
La durée de conservation, tout le monde connaît. La destruction effective, c’est plus compliqué.
Les données doivent être supprimées de manière sécurisée et traçable. Pour les archives numériques comme pour les supports physiques. Les auditeurs demandent des preuves : certificats de destruction, procès-verbaux, traçabilité du processus.
Les données « fantômes » – celles qui dorment dans des sauvegardes oubliées, des environnements de test, des boîtes mail d’anciens collaborateurs – représentent un risque réel. Elles sont souvent moins protégées que les données de production et constituent une surface d’attaque inutile.
Sous-traitants : votre responsabilité ne s’arrête pas à vos murs
Un prestataire mal sécurisé, c’est votre problème. Les autorités l’ont rappelé à plusieurs reprises dans leurs décisions récentes.
Contrats et clauses d’audit : ce qu’il faut mettre à jour
Les contrats de sous-traitance signés il y a cinq ans sont probablement obsolètes. Les clauses doivent préciser :
- Les responsabilités de chaque partie en cas de violation
- Le droit d’audit effectif (pas seulement sur le papier)
- L’obligation de transparence sur les sous-traitants de rang 2
- Les délais de notification en cas d’incident
De plus en plus de donneurs d’ordres exigent un audit de sécurité indépendant avant toute signature de contrat significatif. Si vous êtes sous-traitant, anticipez ces demandes. Si vous êtes donneur d’ordres, intégrez-les à vos processus achats.
Violations de données : les 72 heures qui comptent
En cas de violation, vous avez 72 heures pour notifier l’autorité de contrôle. Ce délai court à partir du moment où vous avez connaissance de l’incident, pas à partir du moment où vous avez fini d’enquêter.
Concrètement, cela implique d’avoir des procédures de détection et de qualification des incidents déjà en place. Qui décide qu’un incident est une violation notifiable ? Qui rédige la notification ? Qui la soumet ? Ces questions doivent avoir des réponses claires avant que l’incident ne survienne.
La collaboration entre RSSI, DPO et équipes techniques doit être rodée. Une violation découverte un vendredi soir ne peut pas attendre le lundi matin pour être qualifiée.
Former les équipes : le maillon souvent négligé
La majorité des violations de données impliquent une erreur humaine. Un clic sur un lien de phishing, un fichier envoyé au mauvais destinataire, un mot de passe partagé. La technologie ne peut pas tout rattraper.
Adapter la sensibilisation aux risques réels
Les formations génériques de type « ne cliquez pas sur les liens suspects » ne suffisent plus. La sensibilisation doit être adaptée aux risques métiers réels.
Les équipes commerciales sont exposées au phishing ciblé (spear phishing). Les équipes RH manipulent des données sensibles et sont des cibles privilégiées pour l’ingénierie sociale. Les développeurs doivent intégrer la sécurité dès la conception.
L’usage non encadré des outils d’IA générative (shadow AI) est un risque émergent. Des collaborateurs qui copient des données clients dans ChatGPT pour rédiger un compte-rendu, ça arrive. Et ça pose des problèmes de confidentialité réels.
Le DPO comme facilitateur, pas comme obstacle
Le DPO qui dit non à tout finit par être contourné. Celui qui comprend les enjeux métiers et propose des solutions conformes devient un allié des projets.
L’intégration du privacy by design dès la phase de conception n’est pas un frein à l’innovation. C’est une assurance contre les mauvaises surprises réglementaires et les coûts de mise en conformité a posteriori.
Un DPO impliqué dans les comités projet, qui participe aux revues d’architecture, qui forme les équipes produit aux principes de minimisation – c’est un investissement qui se rentabilise sur le long terme.
Ce qu’il faut retenir
- Preuves techniques obligatoires : Les déclarations ne suffisent plus. Logs, rapports d’audit, attestations de déploiement MFA – les contrôleurs veulent du concret.
- Convergence réglementaire : RGPD, AI Act, Data Act forment un ensemble. Les traiter séparément génère des angles morts.
- MFA et journalisation : Ces mesures sont devenues le standard minimum pour tout accès à des données sensibles.
- Dark patterns sanctionnés : Les interfaces de consentement manipulatrices sont dans le viseur. Revoyez vos bannières cookies.
- Sous-traitants audités : Vos contrats doivent prévoir des droits d’audit réels et des obligations de notification précises.
- Formation ciblée : La sensibilisation générique ne fonctionne pas. Adaptez-la aux risques métiers spécifiques.
Questions frequentes
Qu’apporte concrètement l’Omnibus numérique pour une PME ?
Pour une PME dont les traitements présentent un risque faible (pas de données sensibles, pas de profilage, pas de grande échelle), l’Omnibus allège les formalités administratives. Les seuils pour la tenue obligatoire du registre sont relevés, et la notification des incidents est modulée selon la gravité. Attention : les obligations de sécurité et de confidentialité restent identiques.
Mon entreprise utilise des outils d’IA. Que dois-je vérifier en priorité ?
Trois points : la transparence (les personnes concernées savent-elles qu’une IA traite leurs données ?), la minimisation (l’IA n’utilise-t-elle que les données strictement nécessaires ?) et la documentation (pouvez-vous expliquer comment le système fonctionne et d’où viennent les données d’entraînement ?). Si vous utilisez des LLM, la question de la provenance des données d’apprentissage est particulièrement sensible.
La MFA est-elle vraiment obligatoire ou juste recommandée ?
Le RGPD parle de « mesures techniques appropriées » sans citer la MFA nommément. Mais les recommandations de la CNIL et les sanctions récentes ne laissent pas de doute : pour tout accès à des données sensibles ou à des comptes d’administration, l’absence de MFA est considérée comme une insuffisance de sécurité. En pratique, c’est devenu obligatoire.
Comment savoir si mon bandeau cookies pose problème ?
Testez-le comme un utilisateur normal. Le bouton de refus est-il aussi visible que le bouton d’acceptation ? Peut-on refuser en un seul clic ou faut-il naviguer dans plusieurs écrans ? Si le refus demande plus d’efforts que l’acceptation, c’est probablement un dark pattern. La CNIL a publié des exemples concrets de pratiques non conformes.
À quelle fréquence dois-je auditer mes sous-traitants ?
Cela dépend du niveau de risque. Un hébergeur qui gère des données de santé ou des données bancaires justifie un audit annuel. Un prestataire de mailing pour une newsletter peut se contenter d’une auto-évaluation documentée, avec un droit d’audit activable en cas de problème. L’essentiel est de pouvoir justifier votre choix de fréquence en fonction du risque réel.
Pour aller plus loin
La conformité RGPD n’est pas un projet avec une date de fin. C’est un processus continu qui doit s’intégrer dans le fonctionnement normal de l’organisation.
Première étape concrète : évaluer votre niveau de maturité actuel. Un audit de sécurité permet d’identifier les écarts entre ce qui est documenté et ce qui existe réellement sur le terrain. C’est souvent là que se cachent les mauvaises surprises.
Deuxième priorité : la gestion des accès. Déployez la MFA partout où c’est techniquement possible. Commencez par les accès d’administration et les accès distants, puis étendez progressivement.
Troisième chantier : la cartographie des données en fin de vie. Où sont les données qui devraient être supprimées ? Dans quelles sauvegardes, quels environnements de test, quels outils SaaS ? Cette surface d’attaque invisible est souvent négligée.
Digitemis accompagne les organisations sur ces sujets, du pilotage RGPD aux tests d’intrusion, en passant par la stratégie de gouvernance. L’objectif n’est pas de cocher des cases, mais de construire une conformité qui tient dans la durée.
