Comment assurer la documentation de conformité au RGPD avec ISMS Copilot
Aperçu
Vous apprendrez à utiliser ISMS Copilot pour créer et maintenir une documentation complète de conformité au RGPD, des inventaires de traitement de données et politiques de confidentialité jusqu'aux analyses d'impact sur la protection des données (AIPD) et procédures de réponse aux violations.
À qui s'adresse ce guide
Ce guide est destiné aux :
Délégués à la protection des données (DPO) gérant des programmes de conformité RGPD
Professionnels de la protection de la vie privée créant de la documentation RGPD
Organisations basées dans l'UE traitant des données à caractère personnel
Entreprises hors UE proposant des services aux résidents de l'UE
Organisations combinant le RGPD avec l'ISO 27001 ou SOC 2
Prérequis
Avant de commencer, assurez-vous d'avoir :
Un compte ISMS Copilot (essai gratuit disponible)
Une compréhension des données personnelles traitées par votre organisation
Un accès aux politiques de confidentialité et accords de traitement de données existants
La connaissance de vos flux de données et de vos sous-traitants tiers
Avant de commencer
Qu'est-ce que le RGPD ? Le Règlement Général sur la Protection des Données (RGPD) est le règlement UE 2016/679 qui régit la manière dont les organisations collectent, traitent, stockent et suppriment les données personnelles des résidents de l'UE. Il établit des droits individuels, des obligations organisationnelles et une application par des amendes importantes (jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial).
Le RGPD s'applique à vous si : Vous proposez des biens/services à des résidents de l'UE OU surveillez le comportement de résidents de l'UE, quel que soit le lieu où se trouve votre organisation. Les entreprises américaines, britanniques et mondiales doivent s'y conformer lors du traitement de données personnelles de l'UE. La non-conformité peut entraîner des enquêtes réglementaires et des amendes substantielles.
La documentation est obligatoire : L'article 5(2) du RGPD exige de démontrer la conformité par la documentation. Des politiques verbales ou des processus informels sont insuffisants — vous devez maintenir des registres complets des activités de traitement, des décisions et des mesures de conformité.
Comprendre les exigences de documentation du RGPD
Documentation obligatoire
Le RGPD exige explicitement ces éléments documentés :
Document | Article du RGPD | Objectif |
|---|---|---|
Avis/Politique de confidentialité | Articles 13-14 | Informer les personnes concernées de la manière dont leurs données sont traitées |
Registre des activités de traitement (ROPA) | Article 30 | Inventorier toutes les activités de traitement de données personnelles |
Accords de traitement de données (DPA) | Article 28 | Contrats avec les sous-traitants de données tiers |
Analyse d'impact sur la protection des données (AIPD) | Article 35 | Évaluer les activités de traitement à haut risque |
Registres de consentement | Article 7 | Démontrer l'obtention d'un consentement valide et éclairé |
Registre des violations de données | Article 33 | Documenter toutes les violations de données à caractère personnel |
Procédures relatives aux droits des personnes | Articles 15-22 | Gérer les demandes d'accès, de rectification, d'effacement, de portabilité |
Évaluation de l'intérêt légitime (LIA) | Article 6(1)(f) | Justifier le traitement basé sur les intérêts légitimes |
Exigences spécifiques aux rôles
Les obligations de documentation varient selon le rôle :
Responsable du traitement : Détermine les finalités et les moyens du traitement ; responsable du ROPA, des avis de confidentialité, de l'AIPD, de la gestion du consentement
Sous-traitant : Traite les données pour le compte du responsable ; nécessite des DPA, des registres de traitement, la documentation des mesures de sécurité
Cumul de rôles : De nombreuses organisations sont responsables pour certains traitements (ex: données des employés) et sous-traitants pour d'autres (ex: données clients pour le compte de clients)
Étape 1 : Configurez votre espace de travail RGPD
Créer un espace de travail dédié
Connectez-vous à ISMS Copilot
Créez un nouvel espace de travail : "Conformité RGPD - [Votre Organisation]"
Ajoutez des instructions personnalisées :
GDPR compliance context:
Organization: [Company name]
Location: [HQ location, operating regions]
Role: [Data Controller / Data Processor / Both]
Industry: [SaaS, e-commerce, healthcare, marketing, etc.]
Size: [employees, EU customers/users]
Data processing:
- Personal data types: [names, emails, IPs, health data, financial data, etc.]
- Special category data: [Yes/No - if yes, specify: health, biometric, etc.]
- Processing purposes: [marketing, service delivery, analytics, etc.]
- Data sources: [website forms, API, third parties]
- Third-party processors: [cloud providers, payment processors, tools]
Compliance status:
- DPO appointed: [Yes/No]
- Existing documentation: [list what you have]
- Main gaps: [areas needing work]
- Integration: [also pursuing ISO 27001/SOC 2]
Preferences:
- Reference specific GDPR articles
- Provide DPA-ready language
- Consider multi-framework alignment (GDPR + ISO 27001)
- Suggest practical implementations for [startup/SMB/enterprise]Étape 2 : Créer le registre des activités de traitement (ROPA)
Qu'est-ce que le ROPA et qui en a besoin ?
L'article 30 exige que les organisations de plus de 250 employés OU traitant des données à haut risque/régulières maintiennent un ROPA documentant toutes les activités de traitement de données personnelles.
Générer la structure du ROPA
Demandez à ISMS Copilot de créer votre modèle de ROPA :
"Créez un modèle de registre des activités de traitement (ROPA) selon l'article 30 du RGPD pour un [responsable du traitement/sous-traitant]. Incluez les colonnes : Nom de l'activité, Finalité, Base légale (Article 6), Catégories de personnes concernées, Catégories de données personnelles, Catégories de destinataires, Transferts vers des pays tiers, Durée de conservation, Mesures de sécurité. Expliquez les exigences de chaque colonne."
Inventorier les activités de traitement
Identifiez toutes les opérations de traitement :
"Pour une [type d'entreprise : SaaS, e-commerce, agence marketing], identifiez les activités courantes de traitement de données personnelles à inclure dans le ROPA. Considérez : gestion des comptes clients, marketing, paiements, support client, analytique, RH, gestion des fournisseurs. Pour chaque activité, décrivez quelles données sont traitées et pourquoi."
Documenter chaque activité de traitement
Créez des entrées détaillées :
"Pour notre activité [gestion des comptes clients], remplissez l'entrée du ROPA : Nom : 'Inscription et gestion des comptes clients'. Finalité : [décrire]. Base légale : [Exécution du contrat / Intérêt légitime / Consentement]. Personnes : [clients existants, prospects]. Catégories de données : [nom, e-mail, entreprise, adresse IP, données d'utilisation]. Destinataires : [équipes internes, AWS]. Conservation : [durée de vie du compte + 2 ans]. Sécurité : [chiffrement, contrôles d'accès, MFA]."
Gérer les données de catégories particulières
Si vous traitez des données sensibles :
"Nous traitons des [données de santé / biométriques / raciales] pour [finalité]. Quelles exigences supplémentaires du RGPD s'appliquent ? Mettez à jour notre entrée ROPA pour inclure : condition légale Article 9, mesures de sécurité renforcées, justification de nécessité et proportionnalité, et évaluation de besoin d'AIPD."
Le ROPA est un document vivant : Mettez-le à jour dès que vous ajoutez un traitement, changez de finalité ou de sous-traitant. Un ROPA obsolète lors d'une inspection crée un risque de conformité et compromet votre démonstration de responsabilité (accountability).
Étape 3 : Développer les avis et politiques de confidentialité
Créer l'avis de confidentialité externe
Exigences de transparence des articles 13-14 :
"Créez un avis de confidentialité conforme au RGPD pour notre [site web/app/service] incluant : identité du responsable du traitement, coordonnées du DPO, finalités, base légale, destinataires, transferts internationaux, durées de conservation, droits des personnes (accès, rectification, effacement, opposition, portabilité, retrait du consentement), droit de réclamation auprès de la CNIL, caractère contractuel/obligatoire de la fourniture des données et détails sur la prise de décision automatisée. Rédigez de façon claire pour un public non juriste."
Développer la politique de confidentialité interne
Pour les employés et processus internes :
"Créez une politique de protection des données interne couvrant : portée, principes du RGPD (licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité/confidentialité), rôles et responsabilités (DPO, propriétaires de données), exigences de manipulation (collecte, stockage, suppression), obligations de sécurité, procédures de notification de violation et formation. Public cible : tous les employés."
Créer une politique de cookies et un mécanisme de consentement
Pour les sites utilisant des cookies :
"Créez une politique de cookies expliquant : nature des cookies, types utilisés (essentiels, analytiques, marketing), finalité, cookies tiers (Google Analytics, etc.), contrôle des préférences et impact du refus. Fournissez également le texte d'un bandeau cookie conforme : options granulaires, pas de cases pré-cochées, désinscription facile."
Adapter aux différentes personnes concernées
Différents avis selon le contexte :
"Créez des avis séparés pour : 1) Visiteurs du site (cookies), 2) Comptes clients (service), 3) Abonnés marketing (communications), 4) Candidats (recrutement), 5) Employés (RH). Pour chaque avis, précisez : données concernées, finalités, bases légales et durées de conservation spécifiques."
Conseil de pro : Les avis doivent être fournis AVANT la collecte des données. Pour les formulaires web, incluez le lien vers l'avis immédiatement à côté des champs de saisie. Demandez : "Concevez une stratégie de présentation d'avis pour notre [formulaire d'inscription/page de paiement]."
Étape 4 : Créer les accords de traitement de données (DPA)
Quand les DPA sont-ils requis ?
L'article 28 impose des contrats écrits avec tout tiers traitant des données personnelles pour votre compte (sous-traitants).
Générer un modèle de DPA
Créer un accord responsable-sous-traitant :
"Créez un modèle de DPA conforme à l'article 28 entre notre organisation (responsable) et [fournisseur cloud / processeur de paiement] (sous-traitant). Incluez les clauses obligatoires : objet et durée, nature et finalité, types de données, obligations des parties, exigences de l'Article 28(3) (instructions du responsable, confidentialité, sécurité, sous-traitance ultérieure avec accord, assistance pour les droits des personnes et AIPD, suppression ou retour des données)."
Identifier vos sous-traitants
Inventorier les tiers manipulant vos données :
"Nous utilisons ces services : [liste : AWS, Google Workspace, Stripe, Mailchimp, etc.]. Déterminez pour chacun : Sont-ils sous-traitants ou responsables ? À quelles données accèdent-ils ? Avons-nous besoin d'un DPA ? Fournissent-ils des DPA standard ? Quelles protections contractuelles supplémentaires sont nécessaires ?"
Gérer les sous-traitants ultérieurs
Quand les sous-traitants utilisent leurs propres prestataires :
"Notre sous-traitant [nom] utilise des sous-traitants ultérieurs pour [services]. Quelles exigences s'appliquent ? Rédigez une clause de DPA couvrant : autorisation générale vs spécifique, responsabilité du sous-traitant pour ses prestataires, obligation d'imposer des obligations RGPD équivalentes et notre droit d'audit."
Étape 5 : Réaliser des analyses d'impact sur la protection des données (AIPD)
Quand l'AIPD est-elle obligatoire ?
L'article 35 exige une AIPD pour les traitements susceptibles d'engendrer un risque élevé, notamment :
Évaluation systématique et approfondie d'aspects personnels (profilage) avec effets juridiques
Traitement à grande échelle de données sensibles (santé, biométrie, etc.)
Surveillance systématique à grande échelle de zones accessibles au public (vidéosurveillance)
Utilisation de nouvelles technologies ou méthodes de traitement novatrices
Évaluer si une AIPD est nécessaire
Évaluez votre traitement :
"Nous traitons des données pour [activité : scoring client IA, app de santé, reconnaissance faciale]. Évaluez si une AIPD (Article 35) est requise. Considérez : décision automatisée, grande échelle, données sensibles, surveillance systématique, technologie nouvelle. Fournissez une recommandation motivée."
Créer un modèle et un processus d'AIPD
Structurez votre analyse d'impact :
"Créez un modèle d'AIPD incluant : description des opérations et finalités, évaluation de nécessité et proportionnalité, évaluation des risques pour les droits et libertés (probabilité et gravité), mesures pour traiter les risques (techniques et organisationnelles) et démonstration de l'atténuation des risques. Incluez une méthodologie (matrice probabilité × impact)."
Réaliser une AIPD pour un traitement spécifique
Complétez l'évaluation pour les activités à risque :
"Réalisez une AIPD pour notre [plateforme d'analyse client par IA]. Détails : analyse du comportement (historique, achats, démo) par machine learning pour prédire le risque de départ. 100 000+ clients UE. Évaluez : risques (profilage, discrimination), mesures d'atténuation (revue humaine, opt-out, transparence) et si le risque résiduel est acceptable."
Consulter le DPO et les parties prenantes
Les AIPD nécessitent une consultation :
"Pour notre AIPD sur [activité], qui devons-nous consulter ? Rédigez des questions pour : le DPO (conformité), les personnes concernées (acceptabilité), l'équipe sécurité IT (risques techniques), l'équipe juridique et les parties prenantes métier. Comment documenter les résultats ?"
Consultation préalable de l'autorité : Si l'AIPD montre un risque résiduel élevé malgré les mesures, l'article 36 impose de consulter votre autorité de protection des données (ex: CNIL) AVANT de commencer. L'omission de cette étape est une violation grave.
Étape 6 : Établir les procédures de droits des personnes
Comprendre les droits des personnes concernées (Articles 15-22)
Le RGPD accorde huit droits aux individus :
Droit d'accès (Art. 15) : Obtenir copie de leurs données
Droit de rectification (Art. 16) : Corriger des données inexactes
Droit à l'effacement / "Droit à l'oubli" (Art. 17) : Supprimer des données sous conditions
Droit à la limitation (Art. 18) : Limiter le traitement dans certains cas
Droit à la portabilité (Art. 20) : Recevoir les données dans un format lisible par machine
Droit d'opposition (Art. 21) : S'opposer au traitement, surtout pour le marketing
Droits liés à la décision automatisée (Art. 22) : Contester des décisions automatisées
Droit de retrait du consentement (Art. 7(3)) : Retirer le consentement aussi facilement qu'il a été donné
Créer des procédures de satisfaction des droits
Documentez la gestion de chaque droit :
"Créez des procédures pour gérer les demandes de droits : canal de réception (formulaire), vérification d'identité, délais de réponse (1 mois, extension possible), étapes pour chaque droit, politique de frais (gratuit par défaut), critères de refus, archivage (log des demandes) et processus d'escalade. Doit être opérationnel pour le support client."
Concevoir la réponse aux demandes d'accès (SAR)
Le type de demande le plus fréquent :
"Pour les demandes d'accès RGPD, créez : 1) Format d'export (catégories, finalités, destinataires, sources), 2) Format de présentation (structuré, intelligible), 3) Mise en œuvre technique pour extraire les données de [systèmes], 4) Lettre type d'accompagnement. Assurez-vous de pouvoir répondre sous 30 jours."
Gérer la complexité des demandes d'effacement
La suppression n'est pas toujours absolue :
"Pour les demandes d'effacement, traitez : Quand refuser (obligation légale, intérêt légitime) ? Que supprimer vs anonymiser ? Comment supprimer des sauvegardes ? Comment notifier les tiers ? Créez un arbre de décision pour évaluer l'effacement."
Conseil de pro : Automatisez les flux de travail là où c'est possible. Demandez : "Comment implémenter techniquement l'export automatisé pour les demandes d'accès ? Quelles requêtes SQL ou outils permettent d'extraire toutes les données liées à un e-mail/ID spécifique ?"
Étape 7 : Développer les procédures de notification de violation
Comprendre les exigences de notification
Obligations en cas de violation de données :
Article 33 - Notification à l'autorité : Rapporter à l'autorité sous 72h (sauf si peu risqué)
Article 34 - Notification aux individus : Alerter les personnes sans délai si le risque est élevé
Créer un plan de réponse aux incidents
Se préparer aux incidents :
"Créez une procédure de réponse aux violations RGPD : définition, détection, évaluation de la gravité, flux de notification 72h à la CNIL (infos Article 33, modèle), processus d'alerte des personnes (modèle, méthode), tenue du registre des violations (Art. 33(5)) et revue post-incident. Doit être actionnable sous pression."
Créer des modèles de notification
Préparez les modèles à l'avance :
"Créez deux modèles : 1) Notification autorité (Art. 33) incluant description, catégories de données, nombre de personnes, contact DPO, conséquences probables, mesures prises. 2) Notification individuelle (Art. 34) en langage clair décrivant la nature, les conséquences et les actions recommandées pour les personnes."
Établir un registre des violations
Documenter chaque incident :
"Créez un modèle de registre : ID violation, date de détection, date de rapport, description, données affectées, volume, cause racine, actions de confinement, notification requise (Oui/Non), niveau de risque, statut et leçons apprises. Ce registre doit être tenu même pour les violations non signalées à l'autorité."
Le compte à rebours de 72h commence dès la connaissance : Dès que vous avez assez d'infos pour déterminer qu'une violation a eu lieu, le délai démarre. Planifiez des processus d'évaluation capables de conclure en moins de 72 heures.
Étape 8 : Documenter la gestion du consentement
Quand le consentement est-il approprié ?
Le consentement (Art. 6(1)(a)) n'est qu'UNE base légale parmi d'autres :
"Pour nos activités [liste], déterminez la base légale : Consentement, Contrat, Obligation légale, Intérêts vitaux, Mission de service public ou Intérêt légitime (test de mise en balance). Recommandez une base avec justification pour chaque activité. Quand privilégier le consentement ?"
Concevoir des mécanismes de consentement valides
Exigences de l'article 7 :
"Créez des mécanismes : libre (pas de couplage, vrai choix), spécifique (finalités distinctes), éclairé (info claire), univoque (acte positif, pas de pré-coché) et facile à retirer. Concevez les formulaires et bandeaux cookies en conséquence."
Maintenir des preuves de consentement
L'article 7(1) exige la preuve du consentement :
"Créez un système de registre documentant : qui, quand, quoi (description du traitement), comment (version du formulaire, texte de la case), mécanisme utilisé et statut. Comment stocker cela pour démonstration de conformité ?"
Étape 9 : Effectuer des évaluations de l'intérêt légitime (LIA)
Quand utiliser l'intérêt légitime
L'article 6(1)(f) permet le traitement si les droits des personnes ne prévalent pas :
"Expliquez l'intérêt légitime comme base légale. Quand est-il approprié ? Quel est le test en trois points : 1) Test de finalité (intérêt poursuivi), 2) Test de nécessité, 3) Test de mise en balance. Donnez des exemples (fraude, marketing direct client existant) vs contre-exemples (données sensibles, enfants)."
Réaliser le test de mise en balance
Documenter l'évaluation (LIA) :
"Créez un modèle d'évaluation de l'intérêt légitime incluant : description, intérêt poursuivi, analyse de nécessité, test de mise en balance (impact sur la personne, attentes raisonnables, mesures de protection), conclusion et date de révision. Doit être opposable aux autorités."
Exemple de LIA pour des scénarios courants
Appliquer le cadre :
"Réalisez une LIA pour : l'envoi d'e-mails marketing aux clients existants pour des produits similaires. Intérêt légitime : [relation client, intérêt commercial]. Nécessité : [pourquoi est-ce requis]. Mise en balance : [attente du client, opt-out facile]. Conclusion : [justifié ou non] ? Quelles garanties atténuent l'impact ?"
Étape 10 : Intégrer le RGPD avec d'autres référentiels
Alignement RGPD et ISO 27001
De nombreuses exigences se recoupent :
"Mappez les exigences RGPD aux mesures de l'annexe A de l'ISO 27001:2022. Pour chaque exigence (sécurité, accès, notification, minimisation), identifiez la mesure correspondante, comment elle satisfait le RGPD et quelles mesures spécifiques au RGPD manquent. Créez une matrice de correspondance."
Alignement RGPD et critères de confidentialité SOC 2
Exploitez les critères SOC 2 :
"Comment les critères SOC 2 Privacy soutiennent-ils le RGPD ? Mappez transparence, droits, effacement, consentement aux critères SOC 2 (avis, choix, accès, sécurité). Quels contrôles servent les deux ? Quelle documentation spécifique au RGPD manque ?"
Créer un programme de conformité intégré
Éviter les doublons :
"Nous visons le RGPD et l'ISO 27001. Concevez un programme intégré : politique sécurité/vie privée unifiée, analyse de risques combinée, cadre de contrôle unique, programme d'audit consolidé et tableau de bord de conformité partagé. Comment documenter une fois pour satisfaire plusieurs référentiels ?"
Gain d'efficacité : Les organisations certifiées ISO 27001 couvrent déjà 60-70 % des exigences techniques du RGPD. Concentrez vos efforts RGPD sur la transparence, les droits individuels et la gouvernance plutôt que sur les bases de la sécurité.
Erreurs courantes de documentation RGPD
Erreur 1 : Copier-coller une politique générique - Utiliser des modèles sans personnalisation. Solution : Adaptez chaque avis à VOS traitements. Demandez : "Comparez cet avis avec notre ROPA. Décrit-il fidèlement nos pratiques ? Y a-t-il des écarts ?"
Erreur 2 : ROPA obsolète - Créer le ROPA une seule fois. Solution : Révisions trimestrielles. Demandez : "Comparez le ROPA actuel aux flux de données réels. Quels traitements ne sont pas documentés ? Lesquels n'existent plus ?"
Erreur 3 : DPA manquants avec les sous-traitants - Utiliser des outils sans contrat signé. Solution : Auditez vos tiers. Demandez : "Listez les outils/fournisseurs accédant aux données. Pour chacun, avons-nous : DPA signé, évaluation sécurité faite, liste des sous-traitants ultérieurs ?"
Erreur 4 : Absence d'AIPD pour les risques élevés - Sauter l'AIPD. Solution : Filtrez vos traitements. Demandez : "Évaluez chaque entrée ROPA pour le besoin d'AIPD. Décision automatisée, données sensibles, grande échelle ? Si oui, l'AIPD est-elle faite ?"
Prochaines étapes après la documentation
Vous avez créé une documentation RGPD complète :
✓ Registre des activités de traitement (ROPA) complété
✓ Avis et politiques de confidentialité publiés
✓ Accords de traitement de données (DPA) avec les sous-traitants
✓ AIPD terminées pour les traitements à risque
✓ Procédures de droits des personnes établies
✓ Procédures de notification de violation prêtes
✓ Gestion du consentement documentée
✓ Évaluations de l'intérêt légitime réalisées
Maintenir la conformité continue :
Mettre à jour le ROPA chaque trimestre ou à chaque nouveau traitement
Réviser les avis de confidentialité annuellement
Réaliser des AIPD annuelles pour les traitements à risque
Suivre le volume des demandes de droits et les délais de réponse
Former le personnel aux procédures RGPD chaque année
Tenir le registre des violations et effectuer des simulations
Obtenir de l'aide
Téléverser des documents : Apprendre à téléverser des politiques pour analyse d'écarts RGPD
Vérifier la conformité : Comprendre comment prévenir les hallucinations de l'IA lors de la validation des conseils RGPD
Bonnes pratiques : Consulter comment utiliser ISMS Copilot de manière responsable pour la documentation
Commencez votre documentation RGPD aujourd'hui : Créez votre espace sur chat.ismscopilot.com et commencez à bâtir votre ROPA en moins d'une heure.