Le piège classique
L'article 99 fixe la date d'application au 25 mai 2018, mais le vrai piège n'est pas cette date historique : c'est la derive temporelle silencieuse de votre conformité depuis cette date. La CNPD et la CNIL constatent régulièrement que des organisations ont realise un projet RGPD en 2018, puis n'ont jamais remis a jour leur registre, leurs DPA, leurs mentions d'information ou leur cartographie des transferts. Lors d'un contrôle en 2024 ou 2025, l'autorité ne sanctionné pas l'absence initiale de conformité, mais le fait que le dispositif est fossilise a l'etat de 2018 alors que le SI, les fournisseurs et les finalités ont evolue.
Les zones de derive les plus sanctionnées depuis 2018
- Registre article 30 obsolete : traitements ajoutes (outils IA, plateformes collaboratives post-COVID, nouveaux CRM) jamais inscrits.
- DPA signes en 2018 qui ne couvrent plus les sous-sous-traitants reels (ex : un editeur SaaS a migre de OVH vers AWS US sans avenant).
- Transferts hors UE : SCC 2010 jamais remplacees par les SCC 2021, TIA jamais réalisées post-Schrems II (2020).
- Mentions d'information figees, ne reflétant plus les finalités marketing, analytics ou IA reellement deployees.
- Durees de conservation jamais auditees : données de 2018 toujours en base alors que la finalité est eteinte depuis 4 ans.
- DPIA réalisées en 2018 sur des traitements qui ont change de perimetre sans reevaluation.
Le test du contrôle CNPD en 2025
La question que pose un controleur n'est plus "avez-vous un registre ?" mais "quand l'avez-vous mis a jour pour la derniere fois et comment le prouvez-vous ?". L'accountability article 5(2) exige une preuve continue, pas un instantane de 2018. Une organisation qui presente un registre date du 23 mai 2018 signale elle-meme sa non-conformite structurelle.
Comment Luxgap automatise ce risque
Notre Luxgap Compliance Drift Detector elimine le risque de fossilisation post-2018 en surveillant en continu l'ecart entre votre conformité documentee et votre realite opérationnelle. L'outil branche un agent IA sur vos sources vivantes (Active Directory, M365, Odoo, SAP, AWS, Azure, Salesforce, factures comptables Sage BOB 50) et detecte automatiquement chaque divergence avec votre registre RGPD, vos DPA et vos mentions d'information actuelles, sans demander au DPO de remplir un seul formulaire trimestriel.
- Detecte chaque nouveau traitement reel des qu'un nouveau SaaS, une nouvelle intégration API ou un nouveau flux de données apparait dans le SI, et le compare a l'inventaire article 30 existant.
- Alerte instantanement sur Teams ou Slack quand un sous-traitant change d'infrastructure (ex : migration AWS EU vers AWS US) sans avenant DPA correspondant.
- Calcule un score de derive mensuel par traitement, par fournisseur et par finalité, avec historique 36 mois pour materialiser la trajectoire de conformité depuis 2018.
- Identifié automatiquement les DPIA, TIA et mentions d'information qui n'ont pas ete revues depuis plus de 18 mois et propose un plan de rafraichissement priorise.
- Produit un rapport PDF horodate cryptographiquement scelle, opposable a la CNPD, qui démontré la continuite de l'accountability article 5(2) et non un instantane fige.
- Predit les zones de risque a 6 mois en croisant les certifications fournisseurs expirantes, les changements de sous-traitance annonces et l'historique HIBP.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre perimetre reel, avec un audit blanc gratuit sous 48h qui mesure votre derive de conformité depuis 2018 avant tout engagement.
