RGPD + Loi Informatique — France

Conformité RGPD — Tableau de bord CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) applique le RGPD et la Loi Informatique et Libertés (Loi n°78-17) en France. Les entreprises sont soumises aux obligations de DPD, aux registres de traitement et aux audits CNIL. Anonymisez NIR, CNI, SIREN, SIRET et 285+ types d'entités — avec preuve d'audit.

Démarrer la conformité Retour

CNIL — Commission Nationale de l'Informatique et des Libertés

🏛️ Autorité de contrôle

  • Autorité : CNIL (créée en 1978, réformée 2018)
  • Loi : RGPD + Loi Informatique et Libertés n°78-17
  • Amende max. : 20 M€ ou 4 % du CA mondial
  • Record CNIL : 150 M€ (Google, 2022)
  • Notification de violation : 72 h au CNIL

📋 Loi Informatique et Libertés — Spécificités françaises

  • Art. 6 : conditions de licéité du traitement (reprend l'art. 6 RGPD)
  • Art. 48 : traitements de données de santé (hébergeurs certifiés HDS)
  • Art. 76 : recherche médicale — régime dérogatoire
  • Art. 111 : données biométriques en entreprise → avis CNIL requis
  • Données de santé : hébergement HDS certifié ANSSI obligatoire

📁 Registre des activités de traitement (RAT)

  • Obligatoire pour tous les organismes > 250 employés
  • Aussi requis si le traitement présente des risques élevés
  • Contenu : finalité, catégories, destinataires, durées de conservation
  • Traitements anonymisés : documentation simplifiée
  • Présentable au CNIL sur demande

🔍 Analyse d'Impact relative à la Protection des Données (AIPD)

  • Obligatoire pour les traitements à risque élevé (art. 35 RGPD)
  • Liste CNIL des traitements nécessitant une AIPD (mise à jour 2023)
  • Biométrie, scoring, vidéosurveillance, données de santé
  • L'anonymisation réduit le niveau de risque — AIPD souvent non requise
  • Modèles AIPD disponibles sur le site CNIL

Entités PII françaises détectées — 285+ types

Tous les identifiants français dans le moteur d'analyse anonym.legal

Entité Code Format / Description Validation
Numéro de Sécurité Sociale (NIR) FR_NIR 15 chiffres, ex. 1 85 12 75 108 111 80 Clé de contrôle (97 − NIR mod 97)
Carte Nationale d'Identité (CNI) FR_CNI 12 chiffres (nouvelle), ex. 123456789012 Format AGDREF 2
SIREN FR_SIREN 9 chiffres, ex. 552 032 534 Algorithme de Luhn
SIRET FR_SIRET 14 chiffres (SIREN + NIC), ex. 55203253400012 Luhn sur les 14 chiffres
Numéro fiscal (NIF) FR_TAX_ID 13 chiffres, ex. 12 34 567 890 123 Format DGFiP
Passeport français FR_PASSPORT 2 lettres + 7 chiffres, ex. 12AB34567 Format MRZ ICAO
Permis de conduire FR_DRIVER_LICENSE 12 chiffres, ex. 00 0000 000 000 Format numérique ANTS
Plaque d'immatriculation FR_LICENSE_PLATE SIV : AA-000-AA, ex. AB-123-CD Regex + format SIV/FNI

Check-list de conformité RGPD pour la France

Check-list CNIL : preuve d'anonymisation

  • ✓ Registre des activités de traitement (RAT) complet et à jour
  • ✓ Mesures d'anonymisation documentées dans le RAT
  • ✓ Mesures techniques et organisationnelles (MTO) selon l'art. 32 RGPD
  • ✓ Délégué à la Protection des Données (DPD) désigné et notifié au CNIL
  • ✓ Contrats de sous-traitance conformes à l'art. 28 RGPD
  • ✓ Procédure de notification des violations (72 h au CNIL)
  • ✓ AIPD réalisée pour les traitements à risque élevé
  • ✓ Politique de conservation et de suppression des données
  • ✓ Procédure d'exercice des droits (accès, effacement, rectification, portabilité)
  • ✓ Gestion du consentement et mécanisme de retrait
  • ✓ Transferts hors EEE : CCT ou décision d'adéquation (art. 46)
  • ✓ Preuve technique d'anonymisation irréversible (test de réidentification)

Utilisez le rapport de tests 419/419 d'anonym.legal comme preuve technique auprès du CNIL.

Cas d'usage : anonymisation NIR et SIRET

Avant l'anonymisation (non conforme RGPD)

Marie Dupont, NIR 2 85 12 75 108 111 80, SIRET 55203253400012.
Passeport : 12AB34567. Permis : 00 0000 000 000.
Plaque : AB-123-CD. CNI : 123456789012.

⚠ Non conforme : données personnelles de plusieurs catégories exposées

Après l'anonymisation (art. 4(5) RGPD)

[PERSONNE], NIR [FR_NIR], SIRET [FR_SIRET].
Passeport : [FR_PASSPORT]. Permis : [FR_DRIVER_LICENSE].
Plaque : [FR_LICENSE_PLATE]. CNI : [FR_CNI].

✓ Art. 4(5) RGPD : identification de la personne physique impossible — plus de donnée personnelle

Tester en direct

Obligations du DPD — Délégué à la Protection des Données

Quand un DPD est-il obligatoire ?

  • Autorités et organismes publics (toujours)
  • Traitements à grande échelle de données sensibles
  • Surveillance systématique à grande échelle
  • Recommandé pour toute entreprise traitant des données personnelles
  • Désignation volontaire toujours possible

Missions du DPD

  • Information et conseil du responsable du traitement
  • Contrôle du respect du RGPD et de la Loi Informatique
  • Point de contact pour les personnes concernées et le CNIL
  • Participation aux AIPD
  • Indépendance : pas de conflit d'intérêts (art. 38 RGPD)

Notification au CNIL

  • Désignation du DPD à notifier au CNIL (art. 37(7) RGPD)
  • Via l'espace professionnel CNIL en ligne
  • Coordonnées publiées sur le site de l'organisme
  • Révocation : uniquement pour motif légitime

Recommandations CNIL

  • Recommandations publiées sur cnil.fr (mises à jour régulières)
  • Priorités 2026 : IA, cookies, données de santé
  • Référentiel CNIL sur l'anonymisation (2021) à appliquer
  • Tests de réidentification obligatoires pour prouver l'anonymat

Défis courants pour les entreprises françaises

🔴 Les outils DLP anglais ne détectent pas les identifiants français

Les solutions DLP internationales se concentrent sur les identifiants US/UK. Le NIR (15 chiffres), le SIREN/SIRET et les CNI sont régulièrement manqués par les moteurs non localisés.

Solution : Moteur NLP français avec validation algorithmique pour NIR, SIREN, SIRET.

🔴 Audits CNIL et preuves insuffisantes

Les contrôles CNIL révèlent fréquemment des données insuffisamment anonymisées dans les sauvegardes, les bases de test et les configurations tierces. L'absence de preuves techniques est un motif récurrent de sanction.

Solution : Rapport de tests 419/419 comme preuve de conformité pour les inspecteurs.

🔴 Données de santé — hébergement HDS

La France impose un hébergement certifié HDS (Hébergeur de Données de Santé) pour toute donnée de santé. L'anonymisation préalable supprime cette contrainte — les données anonymisées ne sont pas des données de santé.

Solution : Anonymisation avant hébergement cloud — hors scope HDS.

🔴 Délai de notification de 72 heures (art. 33)

En cas de violation, les entreprises doivent notifier le CNIL dans les 72 heures. Sans détection automatisée des PII, l'évaluation de l'impact est quasi impossible dans ce délai.

Solution : Scans batch réguliers minimisent l'exposition aux PII et accélèrent l'évaluation.

Voir la démonstration

Découvrez comment anonym.legal détecte et anonymise les données personnelles

Conformité RGPD en 3 étapes

Détection → Anonymisation → Audit. Chargez vos CSV, scannez NIR, SIRET, passeports et 285+ types d'entités. Téléchargez les données anonymisées. Aucun stockage cloud.

Commencer gratuitement

Also from anonym.legal

EU DPA Coverage → Enterprise DLP → HIPAA Compliance → Anonymization Platform →

Frequently Asked Questions

L'Analyse d'Impact relative à la Protection des Données (AIPD/PIA) est requise par le RGPD Art. 35 pour les traitements à haut risque. anonym.legal fournit les preuves techniques : types d'entités détectées, méthodes d'anonymisation appliquées, et traces d'audit pour votre documentation AIPD.

Le registre des activités de traitement (Art. 30 RGPD) recense tous les traitements de données personnelles. anonym.legal aide à identifier les données personnelles dans vos systèmes — une étape essentielle pour maintenir un registre complet et à jour.