Published 8 mars 2026
By Emre SalmanogluProtection des données : le guide complet pour les équipes sécurité et conformité
Apprenez comment mettre en oeuvre des contrôles de protection des données conformes au RGPD, ISO 27001, SOC 2, NIS2 et DORA. Couvre la classification des données, la gestion du consentement, les AIPD, les droits des personnes concernees et les preuves de conformité.
protection des données
RGPD
données personnelles
privacy by design
conformité
Qu'est-ce que la protection des données ?
La protection des données est la discipline qui garantit que les informations personnelles sont collectees, traitees, stockees et partagees conformement aux exigences legales et aux droits individuels. Elle regit les regles relatives a la manière dont les organisations traitent les données personnelles — du consentement a la collecte jusqu'a la suppression — et donne aux individus le contrôle sur leurs informations.
Dans le paysage réglementaire du RGPD, du CCPA et des lois emergentes sur la vie privee dans le monde, la protection des données est devenue une preoccupation de niveau direction generale necessitant des processus, technologies et structures de gouvernance dedies.
Principes de protection des données
| Principe | Description | Article du RGPD |
|---|---|---|
| Licéité, loyauté, transparence | Traiter les données de manière licite, loyale et transparente | Art. 5(1)(a) |
| Limitation des finalités | Collecter les données pour des finalites determinees, explicites et legitimes | Art. 5(1)(b) |
| Minimisation des données | Ne collecter que ce qui est nécessaire | Art. 5(1)(c) |
| Exactitude | Maintenir les données personnelles exactes et à jour | Art. 5(1)(d) |
| Limitation de la conservation | Conserver les données uniquement aussi longtemps que nécessaire | Art. 5(1)(e) |
| Intégrité et confidentialité | Proteger les données par des mesures de sécurité appropriees | Art. 5(1)(f) |
| Responsabilité | Demontrer la conformité a tous les principes | Art. 5(2) |
Bases juridiques du traitement
| Base juridique | Quand l'utiliser | Exemples |
|---|---|---|
| Consentement | L'individu donne librement son accord eclaire | Emails marketing, cookies, analyses |
| Contrat | Traitement nécessaire a l'execution d'un contrat | Traitement de commandes, fourniture de services |
| Obligation légale | Traitement requis par la loi | Declarations fiscales, declarations réglementaires |
| Intérêts vitaux | Protection de la vie d'une personne | Partage de données medicales d'urgence |
| Intérêt public | Traitement pour le benefice public | Sante publique, archivage |
| Intérêts légitimes | Besoin commercial equilibre avec les droits individuels | Prevention de la fraude, sécurité du réseau |
Droits des personnes concernees
| Droit | Article du RGPD | Delai de réponse | Exigences cles |
|---|---|---|---|
| Accès | Art. 15 | 1 mois | Fournir une copie de toutes les données personnelles |
| Rectification | Art. 16 | 1 mois | Corriger les données inexactes |
| Effacement | Art. 17 | 1 mois | Supprimer les données lorsqu'elles ne sont plus nécessaires |
| Limitation | Art. 18 | 1 mois | Limiter le traitement pendant la resolution des litiges |
| Portabilité | Art. 20 | 1 mois | Fournir les données dans un format lisible par machine |
| Opposition | Art. 21 | 1 mois | Arreter le traitement fonde sur les interets legitimes |
| Décisions automatisées | Art. 22 | 1 mois | Droit de ne pas faire l'objet de décisions automatisees |
Analyse d'impact relative a la protection des données (AIPD)
| Phase | Activites | Livrable |
|---|---|---|
| Criblage | Determiner si une AIPD est nécessaire (traitement a haut risque) | Évaluation de la nécessite de l'AIPD |
| Description | Documenter l'activité de traitement, les flux de données, les finalites | Description du traitement |
| Évaluation de la nécessité | Evaluer la proportionnalite et la minimisation des données | Analyse de nécessite et de proportionnalite |
| Identification des risques | Identifier les risques pour les droits et libertes des individus | Registre des risques |
| Atténuation des risques | Determiner les mesures pour traiter les risques identifies | Plan d'attenuation |
| Consultation du DPD | Solliciter l'avis du Delegue a la Protection des Données | Avis du DPD |
| Documentation | Enregistrer l'évaluation, les décisions et les risques residuels | Rapport d'AIPD |
Cadre de conservation des données
| Catégorie de données | Conservation typique | Base juridique | Methode de suppression |
|---|---|---|---|
| Contrats clients | Duree + 6 ans | Obligation legale (prescription) | Suppression securisee |
| Dossiers d'emploi | Duree + 7 ans | Obligation legale (fiscalite, droit du travail) | Suppression securisee |
| Consentement marketing | Jusqu'au retrait | Consentement | Suppression immediate |
| Analyses de site web | 26 mois | Interet legitime | Purge automatique |
| Journaux de sécurité | 1 a 5 ans | Interet legitime / obligation legale | Purge automatique |
| Données de sauvegarde | 90 jours glissants | Interet legitime | Rotation automatique |
Transferts internationaux de données
| Mecanisme | Cas d'usage | Complexite |
|---|---|---|
| Decision d'adequation | Transferts vers des pays offrant une protection adequate | Faible |
| Clauses contractuelles types (CCT) | Mecanisme le plus courant pour les transferts vers des pays tiers | Moyenne |
| Règles d'entreprise contraignantes (BCR) | Transferts intra-groupe dans les multinationales | Elevee |
| Dérogations | Consentement explicite, nécessite contractuelle | Au cas par cas |
| Cadre UE-US de protection des données | Transferts vers des entreprises americaines certifiees | Moyenne |
Exigences de conformité
Correspondance avec les référentiels
| Exigence | RGPD | ISO 27001 | SOC 2 | NIS2 |
|---|---|---|---|---|
| Politique de confidentialité | Art. 13-14 | A.5.34 | P1.1 | Art. 21 |
| Gestion du consentement | Art. 6-7 | A.5.34 | P3.1 | — |
| Droits des personnes concernees | Art. 15-22 | A.5.34 | P4.1-P8.1 | — |
| Registre des traitements | Art. 30 | A.5.34 | P1.2 | — |
| AIPD | Art. 35 | A.5.34 | — | Art. 21(2)(a) |
| Notification de violation de données | Art. 33-34 | A.5.24 | CC7.3 | Art. 23 |
| Transferts internationaux | Art. 44-49 | A.5.34 | P5.1 | — |
| Delegue a la protection des données | Art. 37-39 | — | — | — |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|---|---|
| Politique de confidentialité | Avis de confidentialité publie et à jour | Tous les référentiels |
| Registre des traitements (RAT) | Inventaire complet des activités de traitement | RGPD, ISO 27001 |
| Registres de consentement | Preuves de collecte et de gestion valides du consentement | RGPD |
| Rapports d'AIPD | Évaluations completees pour les traitements a haut risque | RGPD, NIS2 |
| Journal des demandes des personnes concernees | Registres des demandes recues et des réponses apportees | RGPD |
| Accords de traitement des données | Contrats avec les sous-traitants au titre de l'article 28 | RGPD |
| Mecanismes de transfert international | CCT, BCR ou documentation d'adequation | RGPD |
| Calendrier de conservation | Durees de conservation documentees avec base juridique | Tous les référentiels |
Erreurs courantes
| Erreur | Risque | Correction |
|---|---|---|
| S'appuyer sur le consentement pour tout | Fatigue du consentement, consentement invalide, risque de retrait | Utiliser la base juridique appropriee — le consentement est l'une des six options |
| Absence d'inventaire des données | Impossibilite de respecter le RAT ou les droits des personnes | Creer et maintenir une cartographie complete des données |
| Ignorer les durees de conservation | Stocker les données indefiniment augmente l'impact des violations | Mettre en oeuvre des politiques automatisees de conservation et de suppression |
| Politique de confidentialité comme exercice de case a cocher | Non-conformité, action repressive | S'assurer que la politique reflete les pratiques reelles |
| Pas de processus d'AIPD | Évaluations de risques manquantes pour les traitements a haut risque | Mettre en oeuvre un processus de criblage et d'évaluation AIPD |
| Traiter la protection des données comme une affaire informatique uniquement | Dimensions commerciales et juridiques manquantes | Programme transversal avec le juridique, l'informatique et les metiers |
Comment Orbiq accompagne la conformité en matiere de protection des données
Orbiq vous aide a demontrer vos contrôles de protection des données :
- Collecte de preuves — Centralisez les politiques de confidentialité, les AIPD, les RAT et les registres de consentement
- Surveillance continue — Suivez l'efficacite des contrôles de protection des données et les taux de conformité
- Trust Center — Partagez votre posture de protection des données via votre Trust Center
- Correspondance de conformité — Reliez les contrôles de protection des données au RGPD, ISO 27001, SOC 2 et NIS2
- Preparation d'audit — Packages de preuves pre-construits pour les auditeurs et les autorites de contrôle
Pour aller plus loin
- Classification des données — Classifier les données pour des contrôles de protection appropries
- Chiffrement — Proteger techniquement les données personnelles
- Gestion des identites et des accès — Controler l'accès aux données personnelles
- Réponse aux incidents — Procedures de notification de violation de données
- Gestion des risques tiers — Gerer les risques lies aux sous-traitants
- SMSI — La protection des données au sein du systeme de management de la sécurité de l'information