Le piège classique
L'article 99 fixe la date butoir : 25 mai 2018. Pourtant, sept ans plus tard, la CNPD et la CNIL constatent encore des organisations qui traitent leurs obligations RGPD comme un projet ponctuel de 2018, avec un registre des traitements fige, des analyses d'impact jamais actualisees et des politiques de confidentialite qui mentionnent encore la directive 95/46/CE. Les autorités sanctionnent moins le retard initial que l'absence de mise a jour continue depuis l'applicabilite : un registre date de 2018 prouve a lui seul un defaut de accountability au titre de l'article 5(2).
Le RGPD est applicable en continu, pas en mode projet
Depuis le 25 mai 2018, chaque nouveau traitement, chaque nouveau sous-traitant, chaque nouvelle finalité doit être intégré au dispositif avant sa mise en production. Les pièges typiques constates par la CNPD et l'EDPB :
- Registre article 30 fige a la date de 2018, jamais re-evalue malgre les nouveaux outils SaaS adoptes depuis
- Politique de confidentialite publiee en mai 2018 et jamais revue, alors que les sous-traitants et transferts hors UE ont change (post Schrems II, juillet 2020)
- AIPD réalisées une fois puis archivees, sans revision lors d'evolution du traitement
- Mandats DPO non renouveles ou contacts DPO non mis a jour aupres de la CNPD
- Clauses contractuelles types (SCC) encore basees sur la décision 2010/87/UE, alors que les nouvelles SCC de 2021 sont obligatoires depuis le 27 decembre 2022
- Mécanismes de consentement cookies non realignes apres les lignes directrices EDPB 03/2022
Le standard de fait : conformité vivante et datee
Le critère implicite des autorités : chaque preuve de conformité doit porter une date de revision récente et une trace de revue. Un document non revu depuis 18 mois est presume obsolete devant la CNPD.
Comment Luxgap automatise ce risque
Notre outil Luxgap Compliance Heartbeat est le moteur de revision continue du RGPD : il surveille en permanence la fraicheur de chaque livrable de conformité (registre, AIPD, DPA, politique de confidentialite, mandat DPO, SCC) et déclenche des alertes automatiques avant peremption. Il s'intégré a Microsoft 365, SharePoint, Confluence, Odoo et votre gestionnaire documentaire pour scanner les metadonnees, croiser avec les evolutions réglementaires (lignes directrices EDPB, décisions CJUE, arretes CNPD) et generer un rapport de fraicheur mensuel.
- Module Document Aging Engine : score de fraicheur sur 100 par livrable
- Module Regulatory Watch : flux temps reel EDPB / CNPD / CNIL / CJUE
- Module Renewal Scheduler : calendrier automatique de revisions (registre trimestriel, AIPD annuelle, DPA bisannuel)
- Module Evidence Vault : horodatage qualifié eIDAS de chaque revision
- Sortie : rapport PDF Article 99 - preuve de conformité continue depuis le 25 mai 2018
Disponible en SaaS (3 plans : Starter jusqu'a 25 livrables suivis, Pro jusqu'a 150, Enterprise illimite multi-entites), ou inclus dans le mandat DPO externe Luxgap. Demandez un snapshot gratuit de la fraicheur de votre conformité RGPD sous 48h.
