AccueilExpertiseConformité RGPD
Guide · Conformité RGPD

Conformité RGPD : au-delà du registre, la sécurité réelle des données.

Le RGPD ne se résume pas à un registre des traitements. C'est un cadre opérationnel qui exige de protéger réellement les données personnelles, de gérer les violations et de démontrer sa conformité.

Le RGPD, sept ans après

Le règlement général sur la protection des données (RGPD) est applicable depuis le 25 mai 2018. Sept ans plus tard, la maturité des entreprises belges est très inégale. Beaucoup ont rempli un registre des traitements et nommé un DPO, sans aller plus loin.

L'Autorité de protection des données (APD) a clairement durci son approche depuis 2022. Les sanctions ne se limitent plus à des avertissements : amendes significatives, mises en demeure publiques, contrôles approfondis se multiplient.

Au-delà des sanctions, le RGPD est devenu un standard de qualité attendu par les clients B2B et un facteur de différenciation commerciale. Démontrer une conformité réelle est désormais un argument de vente.

Les six piliers de la conformité réelle

Une conformité RGPD opérationnelle repose sur six piliers complémentaires. La défaillance d'un seul pilier compromet l'ensemble.

  • Cartographie : registre des traitements à jour, cartographie des flux de données, identification des sous-traitants
  • Base légale : justification documentée de chaque traitement (consentement, contrat, intérêt légitime)
  • Sécurité : mesures techniques et organisationnelles proportionnées, chiffrement, contrôle d'accès, journalisation
  • Droits des personnes : procédures de réponse aux demandes (accès, rectification, effacement, opposition)
  • Violations : procédure de détection, qualification, notification à l'APD sous 72h, communication aux personnes concernées
  • Gouvernance : DPO si requis, formation, documentation, audits réguliers, AIPD pour les traitements à risque

Sécurité technique : ce que l'APD attend

L'article 32 du RGPD impose des mesures de sécurité "appropriées" sans les détailler précisément. L'APD a néanmoins publié plusieurs lignes directrices qui cadrent ses attentes en pratique.

Pour les données sensibles ou les traitements à grande échelle, l'APD attend désormais : chiffrement au repos et en transit, authentification multi-facteurs, journalisation et conservation des logs, sauvegardes testées, plan de reprise d'activité, programme de sensibilisation, gestion documentée des accès et des départs.

Pour les sous-traitants, le contrat doit comporter les clauses de l'article 28, et la sécurité du sous-traitant doit être réellement vérifiée (audits, certifications, questionnaires). L'externalisation ne décharge pas le responsable de traitement.

Gérer une violation de données

Une violation de données personnelles est un événement de sécurité (perte, accès non autorisé, modification, destruction) qui affecte des données personnelles. Il peut s'agir d'un ransomware, d'un phishing réussi, d'un e-mail envoyé à la mauvaise adresse, d'une clé USB perdue.

Dès la détection, le compte à rebours commence : vous disposez de 72 heures pour notifier l'APD si la violation présente un risque pour les droits et libertés des personnes. Au-delà de 72 heures, vous devez justifier le retard.

Si la violation présente un risque élevé (données sensibles, volume important, identité usurpée possible), vous devez également informer les personnes concernées, individuellement et dans les meilleurs délais.

La gestion d'une violation s'anticipe. Avoir une procédure documentée, des contacts pré-établis avec votre conseil, une cellule de crise prête à se réunir : c'est ce qui fait la différence entre une violation maîtrisée et une violation aggravée par la panique.

Questions fréquentes

FAQ Conformité RGPD

Mon entreprise doit-elle nommer un DPO ?
Oui dans trois cas : autorité publique, traitement de données à grande échelle nécessitant un suivi régulier, traitement à grande échelle de catégories particulières (santé, opinions, etc.). Dans les autres cas, c'est facultatif mais souvent recommandé.
Quelle est la différence entre responsable de traitement et sous-traitant ?
Le responsable décide des finalités et des moyens du traitement. Le sous-traitant agit sur instruction du responsable. Un éditeur SaaS B2B est généralement sous-traitant. Un cabinet de conseil traitant les données pour son propre compte est responsable.
Combien de temps puis-je conserver des données personnelles ?
Le RGPD impose une durée de conservation "limitée à ce qui est nécessaire". Les durées varient selon le type de données et la base légale. Pour les données clients : durée de la relation contractuelle plus délais légaux. Pour les candidats non retenus : 2 ans maximum sauf consentement explicite.
Le consentement est-il toujours nécessaire ?
Non. Le RGPD prévoit six bases légales. Le consentement n'est qu'une d'entre elles. Pour la facturation, vous utilisez la base contractuelle. Pour la lutte contre la fraude, l'intérêt légitime. Pour la fiscalité, l'obligation légale. Choisir la mauvaise base est une erreur fréquente.
Que faire si l'APD ouvre une enquête ?
Coopérer pleinement, mais avec un conseil. Désigner un point de contact unique, rassembler la documentation demandée, ne pas improviser de réponses, documenter chaque échange. Une enquête bien gérée se termine souvent par un avertissement plutôt qu'une sanction.
Mon hébergeur est aux États-Unis, est-ce un problème ?
Le transfert de données vers les USA est encadré par le Data Privacy Framework (DPF) depuis 2023. Si votre hébergeur est certifié DPF, le transfert est légal. Sinon, vous devez utiliser des clauses contractuelles types et évaluer les risques (TIA).
Pour aller plus loin

Guides et services associés

Conformité NIS2

Le RGPD et NIS2 se complètent et partagent de nombreuses exigences.

Lire

Audit ISO 27001

ISO 27001 facilite considérablement la démonstration de conformité RGPD.

Lire

RSSI externalisé

Pilotage croisé de votre conformité RGPD et de votre sécurité opérationnelle.

Lire

Une question sur ce sujet ?

Échange gratuit de 30 minutes avec un consultant senior pour cadrer votre projet.

Réserver un échange