La conformité RGPD ne se mesure pas par l'existence de documents. Elle se mesure par la capacité de la société à démontrer, preuves à l'appui, que chaque traitement de données personnelles respecte les exigences du règlement. Cette checklist couvre les six domaines que nous évaluons systématiquement lors d'un audit de société de portefeuille.
1. Registre des traitements (Article 30)
Le registre des traitements est le document fondateur de la conformité RGPD. Il doit lister chaque traitement de données personnelles avec : la finalité, les catégories de données, les destinataires, les durées de conservation, les mesures de sécurité et la base juridique applicable.
Ce que nous vérifions : le registre existe-t-il ? Est-il à jour (dernière mise à jour inférieure à 12 mois) ? Couvre-t-il l'ensemble du stack MarTech ? Les traitements liés au marketing (emailing, retargeting, personnalisation, analytics) sont-ils documentés individuellement ? Dans 72 % des audits que nous réalisons, le registre existe mais ne couvre pas les traitements MarTech. Les équipes juridiques ont documenté les traitements RH et finance. Le marketing opère sans registre.
2. Mécanismes de consentement
Le consentement RGPD doit être libre, spécifique, éclairé et univoque. Dans la pratique, cela se traduit par des exigences techniques précises : la CMP ne doit pas précocher les cases, le refus doit être aussi simple que l'acceptation, et chaque consentement doit être enregistré avec un horodatage et un identifiant utilisateur.
Points de contrôle : la CMP est-elle conforme aux lignes directrices de la CNIL ? Les enregistrements de consentement sont-ils stockés de manière indépendante du navigateur (server-side, pas uniquement cookie) ? Le lien entre l'enregistrement de consentement et le profil CRM est-il automatique ou manuel ? La granularité du consentement correspond-elle aux finalités réelles de traitement ?
3. Droits des personnes concernées
La capacité à traiter les demandes d'exercice de droits dans le délai légal d'un mois est un indicateur opérationnel de maturité RGPD. Nous évaluons : l'existence d'un processus documenté, le canal de réception (formulaire dédié, email générique, aucun), le système de suivi (ticketing, tableur, rien) et les délais effectifs de traitement.
Pour les sociétés D2C, le volume de demandes est directement corrélé à la base clients. Une société avec 500 000 clients européens devrait traiter entre 50 et 200 demandes par mois. Si le journal affiche zéro demande, ce n'est pas que les clients ne demandent rien. C'est que le processus est absent.
4. Accords de sous-traitance (DPA)
Chaque fournisseur qui traite des données personnelles pour le compte de la société doit être couvert par un Data Processing Agreement conforme à l'article 28 du RGPD. Ce DPA doit préciser : l'objet et la durée du traitement, les catégories de données, les obligations de sécurité et les conditions de sous-traitance ultérieure.
Nous cartographions le stack complet et vérifions la couverture DPA. Résultat moyen : 40 % des outils MarTech actifs n'ont pas de DPA signé. Les outils les plus fréquemment non couverts : les plugins analytics tiers, les outils d'enrichissement de données et les connecteurs d'intégration entre plateformes.
5. Sécurité des données et notification de violation
Le RGPD impose des mesures techniques et organisationnelles adaptées au risque. En contexte MarTech, cela signifie : chiffrement des données en transit et au repos, contrôle d'accès par rôle, journalisation des accès aux données personnelles et procédure de notification de violation dans les 72 heures.
Ce que nous constatons systématiquement : les accès au CRM ne sont pas segmentés par rôle. L'ensemble de l'équipe marketing a accès à l'intégralité de la base. Les exports CSV non chiffrés circulent par email. Et la procédure de notification de violation n'existe que dans la politique de confidentialité, pas en tant que processus opérationnel testé.
6. Analyses d'impact (AIPD)
Les traitements à risque élevé exigent une analyse d'impact relative à la protection des données avant leur mise en oeuvre. Les traitements MarTech concernés : le profilage à grande échelle, la personnalisation algorithmique, le scoring comportemental et le suivi cross-device.
La CNIL a publié une liste de traitements nécessitant une AIPD. Si la société de portefeuille opère l'un de ces traitements sans AIPD documentée, c'est une non-conformité caractérisée. L'acquéreur doit estimer le coût de réalisation de ces AIPD post-close et évaluer le risque de devoir modifier ou suspendre les traitements concernés.