Le piège classique
L'article 29 paraît anodin, mais il est le talon d'Achille des audits CNPD et CNIL : les collaborateurs et prestataires accedent aux données personnelles sans instruction documentée. Quand un salarié consulte le CRM par curiosité, exfiltre un fichier client avant de démissionner, ou qu'un consultant externe télécharge des bases RH sans périmètre défini, l'autorité considère que le responsable du traitement a perdu le contrôle de ses données. Les sanctions tombent sur la chaîne de responsabilité interne, pas sur la personne fautive.
Les pièges en pratique qui font tomber les organisations
- Accès trop larges par défaut : un commercial junior qui voit l'intégralité de la base clients alors que son périmètre légitime se limite à son portefeuille.
- Absence d'instructions écrites : aucune politique interne ne précise ce qu'un employé peut ou ne peut pas faire avec les données auxquelles il accède (extraction, copie locale, partagé WhatsApp).
- Comptes orphelins : anciens salariés, stagiaires, prestataires dont les accès Microsoft 365 ou Salesforce restent actifs 6 mois après leur départ.
- Shadow IT : utilisation de ChatGPT, Notion personnel, Dropbox perso pour traiter des données pro, hors instruction.
- Sous-traitants en cascade : le freelance de votre agence marketing accède à vos données sans que vous le sachiez, et sans instruction écrite.
- Pas de traçabilité : impossible de démontrer à la CNPD qui a accédé à quelles données, quand, et sur quelle instruction.
Le test 'instruction documentée' que la CNPD applique
Lors d'un contrôle, la CNPD demande systématiquement : montrez-moi l'instruction écrite qui autorise ce collaborateur à traiter cette catégorie de données. Si vous répondez par une fiche de poste vague ou un règlement intérieur générique, c'est un constat de non-conformité. L'instruction doit être spécifique, traçable, et révocable, avec un lien clair entre la personne, la finalité, et la base légale du traitement concerné (article 5 et 6 RGPD).
Comment Luxgap automatise ce risque
Notre outil Luxgap Access Instruction Manager transforme l'obligation déclarative de l'article 29 en preuve opérationnelle continue. Il se branche sur votre Active Directory, Microsoft Entra ID, Okta, Google Workspace, Salesforce, Odoo et vos partagés SharePoint pour cartographier qui accède à quoi, et générer automatiquement les instructions de traitement personnalisées par collaborateur, par finalité, par catégorie de données.
- Module Just-In-Time Instruction : génère une instruction écrite signée électroniquement à chaque attribution d'accès, liée au registre de traitements article 30.
- Module Orphan Account Detector : détecte les comptes dormants, anciens collaborateurs et accès résiduels avec alertes hebdomadaires.
- Module Shadow IT Scanner : intégration Microsoft Defender for Cloud Apps pour détecter ChatGPT, Dropbox perso, Notion non autorisés.
- Module Cascade Watch : surveille les sous-sous-traitants de vos prestataires (intégration avec Luxgap Third-Party Register).
- Rapport PDF 'Article 29 - preuve par collaborateur' exportable pour audit CNPD avec traçabilité complète des instructions et accès.
- Tableau de bord Least Privilege Score sur 100 par direction et par traitement.
Disponible en SaaS (3 plans : Starter jusqu'à 50 utilisateurs, Pro jusqu'à 250, Enterprise illimité avec multi-tenant), ou inclus dans le mandat DPO externe Luxgap. Demandez un scan gratuit de vos accès et comptes orphelins en 48h, avec snapshot signé sur 90 jours.
