{"version":"RGPD UE 2016/679 + CNIL — référentiel pratique 2026","axes":[{"id":1,"label":"Cartographie des traitements et registre"},{"id":2,"label":"Droits des personnes concernées"},{"id":3,"label":"Sécurité et notification"},{"id":4,"label":"Gouvernance et responsabilité"},{"id":5,"label":"Sous-traitance et transferts"}],"indicators":[{"id":"R-1","axis":1,"title":"Registre des activités de traitement (art. 30)","blocking":true,"question":"Maintenez-vous un registre des activités de traitement (à jour) ? Citez la dernière mise à jour, le responsable et les rubriques renseignées (finalités, catégories, durées, destinataires).","evidenceLabel":"Extrait du registre + date de mise à jour + responsable.","expectedKeywords":["registre","finalité","durée","catégorie","destinataire"],"minMatch":0.6},{"id":"R-2","axis":1,"title":"Cartographie des données personnelles collectées","blocking":false,"question":"Avez-vous une cartographie des données collectées (RH, clients, prospects, salariés, mineurs) ?","evidenceLabel":"Matrice / tableau de cartographie par direction métier.","expectedKeywords":["cartographie","catégorie","métier","personnel","client"],"minMatch":0.4},{"id":"R-3","axis":1,"title":"Base légale identifiée pour chaque traitement (art. 6)","blocking":true,"question":"Pour chaque traitement, la base légale est-elle documentée ? Consentement / contrat / obligation légale / intérêt légitime / mission d'intérêt public / sauvegarde des intérêts vitaux.","evidenceLabel":"Annexe registre indiquant la base légale par traitement.","expectedKeywords":["base légale","consentement","contrat","intérêt légitime","obligation"],"minMatch":0.5},{"id":"R-4","axis":1,"title":"Minimisation et durées de conservation (art. 5)","blocking":false,"question":"Avez-vous défini les durées de conservation par catégorie de données ?","evidenceLabel":"Politique de durées de conservation + procédures de purge.","expectedKeywords":["durée","conservation","purge","archivage","suppression"],"minMatch":0.5},{"id":"R-5","axis":1,"title":"Mentions d'information aux personnes (art. 13/14)","blocking":true,"question":"Vos mentions d'information (web, formulaires, contrats RH/clients) couvrent-elles : finalité, base légale, destinataires, durée, droits, contact DPO ?","evidenceLabel":"Capture mentions site web + mention pied de mail / formulaire RH.","expectedKeywords":["finalité","destinataire","durée","droits","dpo"],"minMatch":0.5},{"id":"R-6","axis":2,"title":"Procédure d'exercice des droits","blocking":true,"question":"Avez-vous une procédure pour traiter une demande d'accès, rectification, effacement, portabilité, opposition dans le délai d'1 mois ?","evidenceLabel":"Procédure écrite + journal des demandes traitées.","expectedKeywords":["accès","rectification","effacement","portabilité","délai"],"minMatch":0.5},{"id":"R-7","axis":2,"title":"Recueil et gestion du consentement","blocking":false,"question":"Si vous traitez sur la base du consentement (newsletter, cookies, prospection) : comment le recueillez et le tracez-vous ?","evidenceLabel":"Bannière cookies + outil CMP + journal des consentements.","expectedKeywords":["consentement","bannière","cookie","cmp","journal"],"minMatch":0.4},{"id":"R-8","axis":2,"title":"Information enfants / personnes vulnérables","blocking":false,"question":"Si vous traitez des données de mineurs, informez-vous différemment ?","evidenceLabel":"Mentions adaptées / consentement parental + procédure.","expectedKeywords":["mineur","parental","vulnérable","consentement"],"minMatch":0.3},{"id":"R-9","axis":3,"title":"Mesures de sécurité techniques (art. 32)","blocking":true,"question":"Quelles mesures techniques (chiffrement, MFA, sauvegardes, gestion des accès) avez-vous mises en place ?","evidenceLabel":"Politique sécurité SI + capture configuration MFA, chiffrement.","expectedKeywords":["chiffrement","mfa","sauvegarde","accès","tls"],"minMatch":0.5},{"id":"R-10","axis":3,"title":"Mesures de sécurité organisationnelles","blocking":false,"question":"Charte informatique signée ? Sensibilisation périodique ? Politique mots de passe ?","evidenceLabel":"Charte signée + plan de sensibilisation + politique MdP.","expectedKeywords":["charte","sensibilisation","mot de passe","formation"],"minMatch":0.5},{"id":"R-11","axis":3,"title":"Procédure de notification de violation (art. 33)","blocking":true,"question":"Avez-vous une procédure de notification d'une violation à la CNIL dans les 72h ?","evidenceLabel":"Procédure écrite + qualification de l'incident + délai 72h.","expectedKeywords":["notification","violation","72","cnil","incident"],"minMatch":0.5},{"id":"R-12","axis":3,"title":"Information des personnes en cas de violation (art. 34)","blocking":false,"question":"Si la violation est à risque pour les personnes, comment les informez-vous ?","evidenceLabel":"Modèle d'information personnes + canal de communication.","expectedKeywords":["information","personne","violation","risque","communication"],"minMatch":0.4},{"id":"R-13","axis":3,"title":"AIPD / DPIA pour les traitements à risque","blocking":false,"question":"Avez-vous identifié les traitements nécessitant une AIPD (analyse d'impact) ? Pour quels traitements ?","evidenceLabel":"Liste des traitements concernés + AIPD réalisées.","expectedKeywords":["aipd","dpia","impact","risque","analyse"],"minMatch":0.3},{"id":"R-14","axis":4,"title":"Désignation d'un DPO (si applicable)","blocking":false,"question":"Avez-vous désigné un DPO ? Si oui, externe ou interne ? Notifié à la CNIL ?","evidenceLabel":"Notification CNIL + lettre de mission DPO.","expectedKeywords":["dpo","désignation","cnil","notification","mission"],"minMatch":0.4},{"id":"R-15","axis":4,"title":"Politique de protection des données documentée","blocking":false,"question":"Avez-vous une politique RGPD interne, validée par la direction, communiquée aux salariés ?","evidenceLabel":"Politique signée par dirigeant + diffusion (intranet, courrier).","expectedKeywords":["politique","rgpd","direction","diffusion","salarié"],"minMatch":0.4},{"id":"R-16","axis":4,"title":"Formation des collaborateurs","blocking":false,"question":"Vos collaborateurs ont-ils été formés au RGPD ? Quand et selon quelles modalités ?","evidenceLabel":"Programme de formation + attestations / e-learning.","expectedKeywords":["formation","collaborateur","attestation","e-learning"],"minMatch":0.3},{"id":"R-17","axis":4,"title":"Privacy by design / by default (art. 25)","blocking":false,"question":"Intégrez-vous la protection des données dès la conception des projets (nouveaux outils, sites, app) ?","evidenceLabel":"Checklist projet + revue conception + collecte minimisée par défaut.","expectedKeywords":["privacy by design","conception","minimisation","par défaut"],"minMatch":0.3},{"id":"R-18","axis":4,"title":"Revue annuelle / audit interne","blocking":false,"question":"Réalisez-vous une revue annuelle de votre conformité RGPD ?","evidenceLabel":"PV revue annuelle + plan d'action.","expectedKeywords":["revue","audit interne","annuel","plan d'action"],"minMatch":0.3},{"id":"R-19","axis":5,"title":"Contrats sous-traitants RGPD (art. 28)","blocking":true,"question":"Vos sous-traitants (SaaS, hébergeurs, infogérance) ont-ils signé un DPA / contrat avec clauses RGPD ?","evidenceLabel":"DPA signé + liste des sous-traitants.","expectedKeywords":["sous-traitant","dpa","contrat","clauses","art 28"],"minMatch":0.5},{"id":"R-20","axis":5,"title":"Évaluation des sous-traitants (sécurité)","blocking":false,"question":"Comment évaluez-vous le niveau de sécurité de vos sous-traitants (questionnaire, certification ISO 27001/HDS) ?","evidenceLabel":"Questionnaire sécurité rempli + certificats fournisseurs.","expectedKeywords":["évaluation","questionnaire","iso","certification","sécurité"],"minMatch":0.3},{"id":"R-21","axis":5,"title":"Transferts hors UE (art. 44+)","blocking":false,"question":"Si vous transférez des données hors UE (US, Inde, etc.) : sur quelle base (clauses contractuelles types, DPF Etats-Unis) ?","evidenceLabel":"Liste des transferts + bases (SCC / DPF).","expectedKeywords":["transfert","hors ue","scc","clauses","dpf"],"minMatch":0.3},{"id":"R-22","axis":5,"title":"Cartographie des hébergeurs / cloud","blocking":false,"question":"Connaissez-vous où sont hébergées vos données (région, certifications, sous-hébergeurs) ?","evidenceLabel":"Carte des hébergeurs (OVH, AWS, Azure…) + localisation.","expectedKeywords":["hébergeur","ovh","aws","azure","localisation"],"minMatch":0.3},{"id":"R-23","axis":5,"title":"Anonymisation / pseudonymisation","blocking":false,"question":"Utilisez-vous des techniques d'anonymisation ou pseudonymisation (statistiques, archives) ?","evidenceLabel":"Procédure + exemples (hashing, masking).","expectedKeywords":["anonymisation","pseudonymisation","hash","masking"],"minMatch":0.3},{"id":"R-24","axis":5,"title":"Gestion des accès et journaux","blocking":false,"question":"Tracez-vous les accès aux données personnelles ? Conservez-vous des journaux ?","evidenceLabel":"Politique d'habilitation + journaux d'accès (durée de conservation).","expectedKeywords":["journal","log","habilitation","accès","traçabilité"],"minMatch":0.4}]}