1. Identification du traitement
- Nom du traitement :
(ex. : Plateforme e-learning interfacée avec CRM et ERP pour le suivi des apprenants) - Date de réalisation de l’analyse :
[JJ/MM/AAAA] - Responsable de traitement :
[Nom de l’organisme / adresse / contact] - Contact RGPD / DPO :
[Nom / email / téléphone] - Objectif du traitement :
(ex. : assurer le suivi pédagogique, administratif et financier des apprenants) - Base légale :
☐ Consentement
☐ Contrat
☐ Obligation légale
☐ Intérêt légitime (motiver ci-dessous)
2. Description détaillée du traitement
- Catégories de personnes concernées :
☐ Apprenants
☐ Formateurs
☐ Clients entreprises
☐ Administrateurs
☐ Autres : […] - Données traitées :
- Données d’identification (nom, prénom, email)
- Données pédagogiques (résultats, progression, connexions)
- Données administratives (CNI, justificatifs, attestations)
- Données sensibles (santé, handicap)
- Traces de navigation / cookies
- Paiements / coordonnées bancaires (via Stripe ou autre)
- Données d’identification (nom, prénom, email)
- Origine des données :
☐ Formulaire Web
☐ Inscriptions CPF / OPCO
☐ Import Excel
☐ API connectées
☐ Autres : […] - Outils utilisés :
(ex. : Moodle, Digiforma, Stripe, Zapier, Google Drive, WEDOF…) - Sous-traitants impliqués :
(liste des prestataires + leur rôle + localisation UE/hors UE)
3. Evaluation de la nécessité et de la proportionnalité
- Les données collectées sont-elles strictement nécessaires à la finalité ?
☐ Oui ☐ Non - Existe-t-il une durée de conservation fixée pour chaque type de donnée ?
☐ Oui ☐ Non
(préciser les durées : 1 an, 3 ans, 10 ans…) - Les personnes sont-elles informées de façon claire et compréhensible ?
☐ Oui ☐ Non
(notice, mention légale, politique de confidentialité) - Des droits sont-ils prévus pour les personnes concernées ?
☐ Accès ☐ Rectification ☐ Effacement ☐ Opposition ☐ Portabilité - Des mesures ont-elles été prises pour limiter les accès aux données ?
☐ Oui ☐ Non
(authentification, rôles, cloisonnement, logs…)
4. Analyse des risques sur les droits et libertés
| Type de risque | Gravité | Vraisemblance | Niveau global |
| Divulgation non autorisée (ex : Drive public) | Élevée | Moyenne | Élevé |
| Perte de données (ex : erreur de suppression) | Moyenne | Moyenne | Moyen |
| Accès non autorisé (ex : mauvais paramétrage) | Élevée | Faible | Moyen |
| Violation de confidentialité (ex : absence de chiffrement) | Moyenne | Élevée | Élevé |
| Conservation excessive des données | Faible | Élevée | Moyen |
5. Mesures de sécurité existantes ou prévues
- Hébergement sécurisé en UE avec chiffrement au repos
- Authentification par mot de passe fort + double facteur
- Journalisation des accès (logs)
- Accès restreint selon les profils / services
- Procédures de sauvegarde et de restauration
- Contrats de sous-traitance avec clauses RGPD (art. 28)
- Revue annuelle des traitements
6. Mesures correctives proposées (si risques élevés non maîtrisés)
- Ajout d’une politique de gestion des accès (rôles, identifiants nominatifs)
- Implémentation de l’authentification à deux facteurs (2FA)
- Paramétrage fin des droits sur les connecteurs (ex. Zapier)
- Encadrement des transferts hors UE (DPF ou SCC)
- Sensibilisation / formation RGPD des équipes
7. Conclusions de l’AIPD
- Le traitement présente-t-il un risque élevé non maîtrisé ?
☐ Oui – avis préalable de la CNIL requis
☐ Non – traitement conforme sous réserve des mesures décrites - Décision :
☐ Poursuite du traitement avec mesures correctrices
☐ Suspension en attente de mise en conformité
☐ Renoncement au projet
8. Validation
- Nom / qualité du responsable de traitement :
- Date :
- Signature :
