Les erreurs les plus fréquentes en matière de documentation RGPD, et comment les éviter

Introduction

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, la majorité des organisations ont mis en place un registre des traitements ainsi que des politiques et procédures en lien avec la protection des données.
Pourtant, la documentation reste souvent un point fragile : registres incomplets, durées de conservation floues, AIPD superficielles, responsabilités mal définies, etc. Ces lacunes exposent à des risques juridiques, financiers et opérationnels.
Nous vous proposons un décryptage des erreurs fréquentes et des solutions concrètes pour les éviter.

1. Une tenue du registre des traitements défaillante

Le registre est souvent la 1ère pièce demandée lors d’un contrôle. Cependant, il est généralement :
• Inexistant ou incomplet (pas de base légale, catégories de données traitées non exhaustives, etc.)
• Trop ancien pour refléter la réalité du terrain

Comment corriger cela rapidement ? :
• Décrire chaque traitement avec des finalités précises. Ex : « Gestion des candidatures » à la place de « RH »
• Remplir toutes les informations nécessaires selon l’article 30 du RGPD
• Documenter les bases légales du registre. Ex : conserver la preuve d’un consentement ; établir une note de mise en balance des intérêts si la base légale est l’intérêt légitime, etc.
• Mettre à jour le registre régulièrement. Ex : vérification générale tous les un à deux ans et mise à jour directe en cas de changement important (ex : changement de SIRH, etc.)

Astuce : organiser un atelier avec les équipes opérationnelles pour vérifier que le registre correspond bien à la réalité du terrain et expliquer son importance.

2. Des durées de conservation non définies… ou trop longues

La limitation des durées de conservation est une exigence simple en apparence, mais c’est l’un des points les plus souvent sanctionnés.

Erreurs classiques :
• La durée, ou les critères pour la définir, ne sont pas renseignés dans le registre
• Il n’y a aucune purge réellement pratiquée
• Les équipes ne savent pas « qui purge quoi, quand et comment »
• Des systèmes conservent des archives sans limite (« on garde au cas où »)

Pour faire correctement :
• Définir une durée précise lorsque cela est possible. Pour cela, l’aide de votre service juridique, de vos référents métiers et de votre DPO (ici plutôt en relecture des durées) sera indispensable.
• Formaliser une politique de conservation et de purge des données incluant un référentiel à appliquer
• Automatiser la suppression ou l’archivage quand c’est possible
• Vérifier que les sous-traitants appliquent la même logique

Cas fréquent : les bases marketing s’alourdissent au fil des ans, alors que beaucoup de données ne sont plus valides. Une purge régulière renforce la conformité et améliore l’efficacité des campagnes.

3. Une gestion approximative des sous-traitants

Beaucoup d’organisations travaillent avec des dizaines de prestataires (hébergement, support IT, marketing, outils SaaS, etc.). Mais la documentation liée aux sous-traitants est souvent :
• Non assortie de preuves (audit, certificats, fiches techniques, documents techniques à faire vérifier par l’IT ou par le DPO, etc.)
• Incomplète (pas d’accord juridique signé conforme à l’art. 28 du RGPD)
• Non mise à jour

Les bonnes pratiques :
• Tenir une liste à jour de tous les sous-traitants impliqués dans les traitements
• Vérifier que chaque accord avec un sous-traitant contient une clause conforme à l’article 28 du RGPD (devoir d’assistance du sous-traitant, sécurité des données, etc.)
• Conserver des preuves de conformité (certifications, grille d’audit, etc.)
• Prévoir une revue régulière des prestataires

À noter : le responsable de traitement doit obligatoirement vérifier, avant toute contractualisation, que le sous-traitant amené à traiter des données personnelles respecte le RGPD.

4. AIPD : une étape essentielle, mais encore difficile à maîtriser

L’analyse d’impact relative à la protection des données (AIPD) est souvent vue comme une simple formalité à remplir. Les résultats observés sont :
• Une absence d’AIPD lorsque cela est nécessaire
• Des AIPD réalisées de manière trop générale ou incomplète
• D’autres ne contiennent aucune mesure réellement adaptée
• La consultation du DPO est parfois absente
• Les risques sont mal évalués (« faible » par défaut)

Ce qu’il faut faire :
• Définir les AIPD à réaliser
• Impliquer les bonnes personnes (DPO, IT, référent métier concerné, etc.)
• Décrire clairement le fonctionnement du traitement
• Identifier les risques concrets pour les personnes
• Définir des mesures proportionnées et réalistes (pseudonymisation, limitation des accès, etc.)

À noter : une AIPD bien menée peut devenir un véritable outil de pilotage de la sécurité, plutôt qu’un document réalisé uniquement pour répondre à une formalité administrative.

5. Des mentions d’information qui ne remplissent pas leur rôle

Les mentions d’information RGPD sont la vitrine de la conformité. Pourtant, elles sont souvent :
• Absentes ou trop longues
• Imprécises (« vos données peuvent être utilisées à des fins diverses… »)
• Non alignées avec le registre
• Obsolètes

Ce qui fonctionne vraiment :
• Décrire chaque traitement avec des finalités précises
• Écrire simple et clair (accessible à tous), tout en étant conforme aux articles 13 et 14 du RGPD
• Établir une mention d’information type à adapter et la faire vérifier par le DPO
• Prioriser, dans un premier temps, les points essentiels (site internet, mentions d’information RGPD pour les collaborateurs et les clients, etc.), puis compléter rapidement le reste dès que possible
• Vérifier la cohérence entre le registre des traitements et les mentions d’information RGPD

À noter : si la base légale est le consentement, il doit être spécifique à chaque finalité et couvrir plusieurs usages.
Astuce : n’hésitez pas à animer un atelier sur les mentions d’information avec les équipes concernées.

6. La documentation sécurité inexistante ou trop floue

La sécurité va bien au-delà des outils techniques comme un antivirus et un pare-feu (qui doivent, bien sûr, être maintenus à jour). Elle inclut aussi une certaine gouvernance (processus internes, formation des collaborateurs, suivi des accès informatiques, etc.) pour réduire efficacement les risques.

Erreurs courantes :
• Absence de politique claire
• Mesures déclarées mais non appliquées
• Aucune trace des audits, tests ou vérifications
• Pas de plan de gestion des violations de données

Exemples d’actions pour se mettre au niveau :
• Faire établir par votre DSI une politique de sécurité du système d'information (PSSI) et une charte informatique
• Former les équipes au RGPD et à la sécurité de manière générale (phishing, etc.)
• Documenter les contrôles (tests d’intrusion, revues d’accès, etc.)
• Prévoir une procédure de gestion des violations de données et vérifier son intégration auprès des équipes

Astuce : n’hésitez pas à prévoir une fiche pratique de la procédure de gestion des violations de données et à animer un atelier sur ce sujet auprès des collaborateurs.

Conclusion : viser l’utile, pas le parfait

Une documentation RGPD efficace ne doit pas rester théorique. Elle forme un ensemble vivant, ancré dans les pratiques et utile pour piloter et sécuriser les traitements de données personnelles.
Les organisations les plus matures ne cherchent pas la perfection juridique, mais une documentation claire, régulièrement mise à jour, connectée au terrain et soutenue par la direction.

Le bon réflexe : commencer simple, mettre à jour dans le temps, et intégrer la conformité dans les habitudes de travail.

Sources

CNIL – « Les six grands principes du RGPD »
https://www.cnil.fr/fr/comprendre-le-rgpd/les-six-grands-principes-du-rgpd
CNIL – « Guide 2024 de la sécurité des données personnelles »
https://www.cnil.fr/fr/guide-de-la-securite-des-donnees-personnelles-nouvelle-edition-2024