Points clés
- La cartographie des traitements est un exercice continu, pas un document produit une fois lors de la mise en conformité initiale.
- Les outils SaaS adoptés sans validation DPO sont la principale source de traitements non cartographiés.
- Les traitements hérités des systèmes anciens et des acquisitions sont systématiquement sous-documentés.
- Une cartographie incomplète est une cartographie fausse — elle donne une fausse assurance de maîtrise.
La promesse tenue en 2018 et l'érosion qui suit
La plupart des organisations ont réalisé un exercice de cartographie des traitements lors de la mise en conformité RGPD de 2018. Cet exercice a produit un registre initial, souvent incomplet dès sa création mais au moins représentatif de l'état des traitements à ce moment. Depuis, les organisations ont continué de créer de nouveaux traitements, d'adopter de nouveaux outils, d'intégrer de nouvelles entités par acquisition — sans nécessairement mettre à jour le registre. Huit ans plus tard, la distance entre le registre de 2018 et la réalité opérationnelle de 2026 peut être considérable dans les organisations qui n'ont pas institué un processus de mise à jour continue.
L'expansion non maîtrisée des outils SaaS
L'adoption d'outils SaaS par les directions métiers est la principale source de traitements non cartographiés. Un outil de CRM choisi par la direction commerciale, un logiciel de paie adopté par les RH, une plateforme de webinaires utilisée par le marketing — chacun de ces outils traite potentiellement des données personnelles et doit figurer dans le registre des traitements. Sans un processus de qualification DPO intégré dans les procédures d'achat et d'adoption de nouveaux outils, ces traitements échappent à la cartographie. La prolifération des outils SaaS dans les entreprises modernes rend ce défi particulièrement difficile à maîtriser sans processus structuré.
Les systèmes hérités et les angles morts acquis
Les systèmes informatiques anciens — souvent appelés legacy — sont systématiquement sous-documentés. Ces systèmes ont été construits avant le RGPD, dans un contexte où la cartographie des traitements n'était pas une obligation légale. Les données qu'ils contiennent, les finalités de leur traitement et les durées de conservation applicables sont rarement documentées avec la précision requise. Les fusions et acquisitions aggravent ce problème en ajoutant au patrimoine de l'organisation des systèmes d'une autre organisation, avec leur propre historique de gouvernance data.
Les sous-traitants oubliés dans la cartographie
La cartographie des traitements doit inclure les traitements réalisés par des sous-traitants pour le compte de l'organisation. Dans la pratique, les sous-traitants de second rang — les sous-traitants des sous-traitants — sont rarement inclus dans la cartographie. De même, les contrats anciens avec des prestataires dont la nature data n'avait pas été qualifiée lors de leur signature peuvent ne jamais avoir été intégrés dans le registre. Ces oublis créent des zones de responsabilité réglementaire non maîtrisées, potentiellement coûteuses lors d'un incident impliquant ces prestataires.
Instituer un processus de cartographie continue
La solution à l'incomplétude chronique de la cartographie n'est pas un exercice de remise à niveau annuel — c'est l'institution d'un processus continu. Tout nouveau projet, tout nouveau partenariat, tout nouvel outil doit déclencher une mise à jour du registre. Les processus d'achat doivent intégrer une qualification DPO. Les revues de projets en cours doivent vérifier la conformité de la cartographie. Les audits annuels doivent comparer le registre à un échantillon de traitements réels pour mesurer l'écart. Cette approche continue transforme la cartographie d'un document figé en un instrument de gouvernance vivant.