Le RGPD est entré en application en mai 2018. Sept ans plus tard, les audits et les missions de DPO que je conduis révèlent les mêmes manquements récurrents - souvent chez des entreprises qui pensaient être conformes. Depuis, l'environnement réglementaire s'est considérablement complexifié : l'arrêt Schrems II en 2020 a invalidé le Privacy Shield et imposé des conditions strictes aux transferts de données hors UE, l'IA Act est entré en vigueur en 2024 et crée de nouvelles obligations pour les systèmes qui traitent des données personnelles, et les autorités de contrôle européennes ont significativement durci leur approche.

Voici ce que les entreprises font encore mal - et pourquoi ça mérite d'être traité sérieusement.

Les transferts de données hors UE : un sujet mal maîtrisé

Schrems II a rendu invalide le mécanisme du Privacy Shield et a imposé que les transferts de données personnelles vers des pays tiers soient encadrés par des garanties appropriées - typiquement les Clauses Contractuelles Types (CCT) de la Commission européenne, accompagnées d'une Transfer Impact Assessment (TIA). En théorie, beaucoup d'entreprises ont mis à jour leurs DPA avec leurs prestataires américains. En pratique, très peu ont réellement conduit l'analyse d'impact requise.

Le risque est réel : utiliser un prestataire cloud américain, un outil de CRM, un service d'emailing, ou même certains outils de visioconférence sans avoir correctement documenté le transfert de données qui en découle expose l'organisation à des sanctions significatives - et à des difficultés en cas de plainte d'un utilisateur.

Le registre des traitements : incomplet ou obsolète

Le registre des activités de traitement est l'une des obligations les plus fondamentales du RGPD - et l'une des moins bien tenues. Dans beaucoup d'organisations, il a été créé lors de la mise en conformité initiale de 2018 et n'a jamais été mis à jour. De nouveaux outils ont été intégrés, de nouvelles catégories de données traitées, de nouveaux prestataires ajoutés - sans que le registre ne reflète ces évolutions.

Un registre incomplet ne protège pas l'organisation. Il lui donne une fausse impression de conformité tout en laissant des zones d'ombre qui deviendront problématiques en cas d'audit ou d'incident.

L'IA Act et l'intersection avec le RGPD

L'IA Act introduit de nouvelles obligations pour les organisations qui utilisent ou déploient des systèmes d'IA - y compris des outils commerciaux comme certains assistants, des systèmes de scoring, ou des outils de recrutement automatisé. Pour les systèmes d'IA qui traitent des données personnelles, les obligations du RGPD et de l'IA Act se cumulent.

La plupart des organisations qui utilisent des outils d'IA dans leurs processus RH, commerciaux ou opérationnels n'ont pas encore évalué si ces usages sont conformes aux deux textes simultanément. C'est un angle mort qui va devenir de plus en plus visible à mesure que les autorités de contrôle montent en compétence sur le sujet.

Les droits des personnes concernées : des processus pas toujours opérationnels

Le RGPD accorde des droits aux personnes dont les données sont traitées : droit d'accès, de rectification, d'effacement, de portabilité, d'opposition. Ces droits doivent pouvoir être exercés dans des délais stricts - un mois en règle générale. Dans beaucoup d'organisations, le processus pour répondre à ces demandes n'est pas vraiment opérationnel : pas de point d'entrée clair, pas de procédure documentée, pas de système pour tracer les demandes reçues et les réponses apportées.

C'est une zone de risque réelle - les plaintes auprès des autorités de contrôle portent très fréquemment sur des demandes de droits qui n'ont pas reçu de réponse correcte.

Ce que ça implique pour votre organisation

La conformité RGPD n'est pas un état qu'on atteint une fois pour toutes. C'est une gouvernance continue, qui doit évoluer avec la réglementation, avec les pratiques de l'organisation, et avec les décisions des autorités. C'est précisément pour ça que la fonction de DPO - externe ou interne - a de la valeur : non pas pour produire de la documentation, mais pour maintenir une vigilance opérationnelle sur un cadre réglementaire qui ne cesse d'évoluer.