La conformité au RGPD n’est pas un état figé : c’est un processus dynamique qui exige une vigilance permanente. En 2026, alors que la CNIL a intensifié ses contrôles, disposer d’une checklist RGPD structurée et à jour est devenu un impératif pour toute organisation. Selon les données de l’EDPB, les amendes prononcées en Europe ont augmenté de 35 % entre 2024 et 2025, atteignant un total cumulé supérieur à 4,5 milliards d’euros depuis l’entrée en vigueur du règlement.
Cette checklist RGPD vous permet de vérifier point par point que votre organisation respecte les exigences du Règlement Général sur la Protection des Données. Chaque section couvre un domaine clé de la conformité, avec des actions concrètes et des indicateurs de vérification. Utilisez-la comme outil d’audit interne ou comme base pour préparer un contrôle de la CNIL.
Gouvernance et pilotage de la conformité
Le premier volet de toute checklist RGPD concerne la gouvernance. Sans une organisation claire et des responsabilités définies, les efforts de conformité restent fragmentés et inefficaces.
Faut-il désigner un DPO dans votre organisation ?
Le Délégué à la Protection des Données (DPO) est obligatoire pour les organismes publics, les entreprises dont l’activité principale exige un suivi régulier et systématique des personnes à grande échelle, et celles traitant des données sensibles à grande échelle.
Points de vérification pour votre checklist RGPD :
- Un DPO ou un référent conformité est formellement désigné.
- Ses coordonnées sont communiquées à la CNIL.
- Il dispose des ressources et de l’indépendance nécessaires à l’exercice de ses missions.
- Il est associé à tout nouveau projet impliquant des données personnelles.
Le registre des traitements est-il complet et à jour ?
Le registre des traitements est l’outil central de votre conformité. Imposé par l’article 30 du RGPD, il recense l’ensemble des activités de traitement de données personnelles de votre organisation.
Votre registre doit documenter pour chaque traitement : les finalités, les catégories de données et de personnes concernées, les destinataires, les transferts hors UE, les durées de conservation et les mesures de sécurité. Vérifiez que votre registre est mis à jour au minimum une fois par an ou à chaque modification significative d’un traitement existant. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé record de 486,8 millions d’euros, dont une part significative liée à des défauts de documentation des traitements (source : CNIL, bilan 2025).
Bases juridiques et licéité des traitements
Chaque traitement de données personnelles doit reposer sur une base juridique clairement identifiée parmi les six prévues à l’article 6 du RGPD. Ce volet de la checklist RGPD est souvent négligé, alors qu’il conditionne l’ensemble des droits des personnes concernées.
Comment vérifier vos bases juridiques ?
Pour chaque traitement inscrit dans votre registre, posez-vous les questions suivantes :
- La base juridique est-elle explicitement documentée ?
- Si le traitement repose sur le consentement, celui-ci est-il libre, spécifique, éclairé et univoque ?
- Si le traitement repose sur l’intérêt légitime, un test de balance des intérêts a-t-il été réalisé et documenté ?
- Les bases juridiques sont-elles communiquées aux personnes concernées dans les mentions d’information ?
La CNIL a rappelé dans ses dernières recommandations que le choix d’une base juridique inappropriée constitue un manquement sanctionnable, indépendamment de toute atteinte effective aux droits des personnes.
Droits des personnes et transparence
Le RGPD accorde aux individus un ensemble de droits fondamentaux sur leurs données. Votre checklist RGPD doit intégrer la vérification systématique de la capacité de votre organisation à traiter ces demandes.
Les droits à vérifier incluent : le droit d’accès, de rectification, d’effacement, de portabilité, de limitation du traitement et le droit d’opposition. L’article 12 du RGPD impose un délai de réponse maximal d’un mois, extensible à trois mois pour les demandes complexes.
Points de vérification essentiels :
- Un formulaire dédié ou un canal clair est mis à disposition des personnes concernées.
- Une procédure interne de traitement des demandes est documentée et connue des équipes.
- Un registre des demandes reçues et des réponses apportées est tenu à jour.
- Le délai moyen de réponse respecte le seuil réglementaire d’un mois.
Assurer la transparence de l’information
La collecte de données personnelles doit être accompagnée d’une information conforme aux articles 13 et 14 du RGPD. Vérifiez que vos mentions d’information sont présentes sur chaque formulaire, page de collecte et contrat. Elles doivent mentionner l’identité du responsable de traitement, les finalités, la base juridique, les destinataires, la durée de conservation, les droits des personnes et les coordonnées du DPO.
La protection des données personnelles passe avant tout par une information claire et accessible, rédigée dans un langage compréhensible par le public visé.
Sécurité des données et mesures techniques
L’article 32 du RGPD impose la mise en place de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ce volet de la checklist RGPD couvre la protection effective des données traitées.
La sécurité des données repose sur plusieurs piliers que vous devez évaluer régulièrement :
- Le chiffrement des données en transit et au repos est-il activé ?
- La pseudonymisation est-elle appliquée lorsque cela est pertinent ?
- Les techniques d’anonymisation sont-elles utilisées pour les jeux de données qui n’exigent pas l’identification des personnes ?
- La gestion des accès est-elle fondée sur le principe du moindre privilège ?
- Des sauvegardes régulières sont-elles réalisées et testées ?
- Un plan de réponse aux incidents et aux violations de données est-il documenté ?
Les organisations doivent notifier toute violation de données à la CNIL dans un délai de 72 heures lorsqu’elle est susceptible d’engendrer un risque pour les droits et libertés des personnes. Cette notification doit inclure la nature de la violation, les catégories de données concernées et les mesures correctives prises.
Relations avec les sous-traitants
La gestion des sous-traitants est un volet critique de la checklist RGPD, souvent source de non-conformités. L’article 28 du RGPD impose des obligations strictes en matière de contractualisation.
Chaque sous-traitant traitant des données personnelles pour votre compte doit être encadré par un contrat conforme à l’article 28. Ce contrat doit préciser les instructions du responsable de traitement, les obligations de confidentialité et de sécurité, les conditions de sous-traitance ultérieure, les modalités d’audit et les conditions de restitution ou de suppression des données.
Vérifiez les points suivants :
- Un contrat de sous-traitance est signé avec chaque prestataire ayant accès à des données personnelles.
- Les sous-traitants ultérieurs sont identifiés et approuvés.
- Les transferts de données hors de l’Espace Économique Européen sont encadrés par des garanties appropriées.
- Un processus d’audit ou de vérification de la conformité des sous-traitants est en place.
L’EDPB a publié des recommandations actualisées sur la responsabilité conjointe et les obligations des sous-traitants qui méritent une attention particulière lors de la revue de vos contrats.
Points souvent oubliés dans une checklist RGPD
Certains aspects de la conformité sont fréquemment négligés lors des audits internes. Voici les éléments à ne pas oublier :
- La réalisation d’analyses d’impact (AIPD) pour les traitements à risque élevé, conformément à l’article 35 du RGPD.
- La tenue d’un registre des violations de données, même celles ne nécessitant pas de notification à la CNIL.
- La formation régulière des collaborateurs aux bonnes pratiques en matière de protection des données.
- La documentation du principe d’accountability : chaque décision relative à la protection des données doit pouvoir être justifiée et tracée.
- La revue annuelle de la politique de conservation des données et la suppression effective des données ayant dépassé leur durée de conservation.
FAQ
À quelle fréquence faut-il mettre à jour sa checklist RGPD ?
Une revue complète de votre checklist RGPD est recommandée au minimum une fois par an. Cependant, toute modification significative de vos activités de traitement, un changement de sous-traitant, le lancement d’un nouveau produit ou service, ou l’évolution de la réglementation doit déclencher une mise à jour immédiate. La conformité est un processus vivant, pas un exercice ponctuel.
Quels outils peuvent aider à suivre sa conformité RGPD ?
Plusieurs catégories d’outils facilitent le suivi de la conformité : les plateformes de gestion de la conformité comme Legiscope automatisent le registre des traitements, le suivi des demandes de droits et la documentation. Les outils de scan de sécurité permettent d’identifier les vulnérabilités techniques. Les solutions de gestion des consentements assurent la conformité des cookies et traceurs. L’essentiel est de choisir des outils adaptés à la taille et aux besoins de votre organisation.
Comment préparer un contrôle de la CNIL grâce à cette checklist ?
En cas de contrôle, la CNIL examine principalement le registre des traitements, les bases juridiques, les mesures de sécurité, les procédures de gestion des droits et les contrats avec les sous-traitants. Utilisez cette checklist RGPD pour constituer un dossier de conformité complet comprenant l’ensemble de ces documents. Veillez à ce que le DPO ou le référent conformité soit disponible et capable de répondre aux questions des agents de la CNIL avec des éléments documentés et à jour.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
