Quand le gendarme boite : ce qu'une ETI industrielle a appris à faire sans la CNIL

# Quand le gendarme boite : ce qu'une ETI industrielle a appris à faire sans la CNIL

Ce que personne ne dit tout haut

En 2026, la CNIL — Commission Nationale de l'Informatique et des Libertés, le régulateur français chargé de protéger les données personnelles — traverse une période difficile. Sous-dotée en ressources humaines, ralentie par des contentieux juridiques interminables et prise en étau entre des injonctions européennes contradictoires, l'autorité peine à instruire les plaintes dans des délais raisonnables. Ses recommandations sur l'IA ou l'hébergement cloud arrivent souvent trop tard, une fois les contrats déjà signés.

Pour beaucoup de DSI — Directeurs des Systèmes d'Information — et de RSSI — Responsables de la Sécurité des Systèmes d'Information — cette situation est vécue comme un signal d'alarme silencieux. On attendait un arbitre. On se retrouve seul sur le terrain.

Mais dans cette fragilité institutionnelle, une logique inattendue émerge : certaines ETI européennes en tirent une leçon de maturité. Elles arrêtent de sous-traiter leur conformité à un régulateur externe. Elles la réinternalisent.

Voici le cas d'une d'entre elles.

Le cas : une ETI industrielle de 800 salariés, quelque part en Europe

Cette entreprise fabrique des équipements mécaniques de précision. Trois sites de production. Un ERP — logiciel central de gestion d'entreprise — déployé depuis une dizaine d'années. Une équipe IT de onze personnes. Et une exposition aux données personnelles qui semblait, jusqu'ici, modeste : données RH, données clients B2B, traces de navigation sur les outils internes.

En apparence, un profil « bas risque ».

Sauf que depuis deux ans, l'entreprise a intégré des outils de supervision industrielle connectés. Des capteurs sur les lignes de production transmettent des données en continu. Et certains de ces flux passent par des plateformes dont les serveurs sont localisés hors Union européenne — souvent aux États-Unis, parfois en Asie.

Le RSSI l'avait signalé en interne. Plusieurs fois. Sans succès immédiat.

Puis, début 2025, un incident de sécurité mineur — une fuite de données RH sur un outil collaboratif mal configuré — a tout accéléré. L'entreprise devait notifier la CNIL dans les 72 heures, comme l'exige le RGPD — le Règlement Général sur la Protection des Données, texte européen en vigueur depuis 2018.

La notification a été faite. Mais la réponse de la CNIL n'est jamais vraiment venue. Pas de mise en demeure. Pas de retour formel. Juste un silence institutionnel.

La mauvaise leçon à ne pas tirer

On pourrait conclure : « Tant mieux, on a évité une sanction. » C'est exactement l'erreur que le RSSI a refusé de commettre.

Un régulateur affaibli ne signifie pas une obligation affaiblie. Le RGPD reste du droit opposable. Les juridictions civiles peuvent être saisies directement par des salariés ou des clients. Et surtout, d'autres régulateurs européens — en Allemagne, aux Pays-Bas, en Irlande — sont eux parfaitement actifs. Si l'entreprise exporte, traite des données de ressortissants d'autres États membres, elle tombe sous leur compétence aussi.

L'absence de réponse de la CNIL n'est pas une autorisation tacite. C'est un vide. Et dans un vide, c'est toujours l'acteur le plus agressif qui s'installe.

En l'occurrence : les acteurs américains qui fournissent les outils, et qui continuent d'aspirer des données, régulateur présent ou non.

Ce que l'équipe IT a concrètement changé

Face à ce constat, le RSSI et le DSI ont engagé une démarche que l'on pourrait appeler — sans jargon excessif — une autonomisation de la gouvernance data.

Trois chantiers ont été ouverts simultanément.

1. Cartographier ce que l'on ne voyait plus

Premier réflexe : reprendre le registre des traitements. Ce document, obligatoire sous RGPD, liste tous les usages de données personnelles dans l'entreprise. Il était à jour sur le papier. Il ne reflétait plus la réalité.

En deux ans, plusieurs outils SaaS — logiciels accessibles via internet, sans installation locale — avaient été adoptés par des équipes métiers sans validation IT formelle. C'est ce qu'on appelle le shadow IT : des usages numériques hors radar de la DSI.

Parmi eux : un outil de planification de réunions connecté à une messagerie externe, un service de signature électronique dont les conditions de stockage n'avaient jamais été lues, et — plus problématique — un module d'analyse de performance des machines dont les données remontaient vers un cloud non qualifié.

La cartographie a pris six semaines. Réalisée avec un outil de découverte réseau déjà en place, sans budget supplémentaire. Le résultat a été présenté au CODIR — Comité de Direction. Pour la première fois, les dirigeants ont vu, en un tableau, l'étendue de leur exposition.

2. Appliquer une règle simple : souveraineté par défaut sur les données sensibles

L'entreprise a décidé d'une doctrine interne claire, formulée sans ambiguïté : toute donnée relative à des personnes identifiables — salariés, clients, sous-traitants — doit être hébergée sur une infrastructure qualifiée européenne, sauf exception documentée et validée par le RSSI.

Cette règle ne nécessite pas d'attendre une recommandation de la CNIL. Elle s'appuie sur l'esprit du RGPD et sur le référentiel SecNumCloud, la qualification de sécurité délivrée par l'ANSSI — l'Agence Nationale de la Sécurité des Systèmes d'Information, équivalent français d'une agence cyber nationale.

Concrètement, cela a impliqué de migrer la messagerie interne d'une solution américaine vers un prestataire dont l'hébergement et la chaîne de sous-traitance sont intégralement localisés en Europe. La migration a duré trois mois. Elle a généré des résistances. Elle a tenu.

3. Intégrer la conformité dans les processus IT, pas dans un document annexe

C'est peut-être le changement le plus structurant — et le moins visible.

Jusqu'ici, la conformité RGPD était traitée comme un projet à part : un DPO — Délégué à la Protection des Données — externalisé produisait un rapport annuel, et la DSI s'en tenait à ses recommandations de surface.

Désormais, chaque nouveau projet IT passe par une revue d'impact données avant validation. Pas un audit lourd : une checklist de douze questions, remplie en moins d'une heure, qui force à répondre à trois interrogations fondamentales. Où vont les données ? Qui y a accès ? Peut-on les effacer sur demande ?

Cette checklist est intégrée à l'outil de ticketing — le système de suivi des demandes IT — déjà utilisé par l'équipe. Aucun outil supplémentaire. Juste un formulaire de plus dans un flux existant.

Ce que ça change pour les équipes au quotidien

Le RSSI le formule ainsi : « Avant, on attendait que quelqu'un nous dise ce qu'on avait mal fait. Maintenant, on décide ce qu'on fait bien. »

En pratique, les équipes IT ont gagné en lisibilité. Elles savent quels outils sont « souverains » et lesquels sont sous surveillance. Elles ont une doctrine à opposer aux demandes des métiers : non pas « la CNIL interdit », mais « notre politique interne l'exclut ».

Ce n'est pas une posture défensive. C'est une posture de maîtrise.

La conclusion que l'on peut transférer

Un régulateur affaibli ne libère pas les entreprises de leurs obligations. Il leur transfère une responsabilité qu'elles auraient dû assumer depuis longtemps.

La dépendance à la CNIL comme arbitre externe était, en réalité, une forme de déresponsabilisation. Et tant que cette dépendance existait, elle profitait — sans que personne ne le dise — aux acteurs qui n'ont aucun intérêt à ce que la conformité européenne soit réellement appliquée.

L'ETI industrielle de cet article ne fait plus confiance à un gendarme boiteux pour protéger son périmètre. Elle l'a fait elle-même. Avec les moyens qu'elle avait déjà.

C'est, à ce stade, la réponse la plus souveraine qui soit.