📊 Êtes-vous conforme au RGPD ?
Répondez à 12 questions pour évaluer votre niveau de conformité en 2 minutes.
1. Avez-vous une cartographie complète de vos données personnelles ?
2. Avez-vous identifié tous vos sous-traitants et logiciels utilisés ?
3. Disposez-vous d’un registre des traitements à jour ?
4. Votre site web est-il conforme RGPD (cookies, mentions, formulaires) ?
5. Avez-vous défini une durée de conservation pour chaque type de donnée ?
6. Vos contrats avec les sous-traitants contiennent-ils des clauses RGPD ?
7. Avez-vous une procédure en cas de violation de données ?
8. Avez-vous mis en place une sécurité adaptée aux données sensibles ?
9. Informez-vous les personnes concernées sur leurs droits ?
10. Êtes-vous en mesure de répondre à une demande RGPD sous 30 jours ?
11. Vos équipes sont-elles formées au RGPD ?
12. Avez-vous réalisé une analyse d’impact (AIPD) si nécessaire ?
Vous devez vous mettre en conformité avec le RGPD mais vous ne savez pas par où commencer ?
Vous n’êtes pas seul : 8 dirigeants sur 10 reportent leur mise en conformité faute de temps ou de clarté.
- éviter les sanctions,
- protéger votre entreprise,
- et rassurer vos clients.
Pourtant, le RGPD n’est pas une montagne infranchissable. En suivant une méthode simple et pragmatique, vous pouvez :
En tant qu’expert RGPD et DPO depuis plus de 10 ans, j’ai accompagné plus de 100 structures vers la conformité.
Dans ce guide, je vous partage les étapes incontournables pour être conforme au RGPD, sans jargon, avec des exemples concrets et des outils pratiques.
⚡ TL;DR — Devenir conforme RGPD en 6 étapes
La méthode actionnable pour voir clair, réduire les risques et prouver votre conformité.
Cartographier toutes vos données
Inventoriez où sont les données personnelles (outils, fichiers, emails, papier), qui y accède et pour quoi faire.
- Catégories (directes, indirectes, sensibles)
- Supports & localisations (cloud, serveurs, papier)
- Accès & usages par métier
Auditer prestataires & logiciels
Listez tous les tiers (sous-traitants, SaaS), vérifiez hébergement, transferts et clauses RGPD (art. 28).
- Qui traite quoi, où, sur quelles bases
- DPA/avenants, sous-traitance en cascade
- Exigences de sécurité documentées
Structurer en traitements (1 finalité = 1 traitement)
Passez d’une logique outil à une logique processus (prospection, RH, facturation, SAV, vidéosurveillance…).
- Finalité, personnes, données, acteurs
- Volumétrie, sensibilité, transferts
- Pré-qualification des risques
Construire le registre des traitements
Transformez le registre en tableau de bord opérationnel (Excel ou outil dédié) mis à jour et opposable.
- Bases légales, durées de conservation
- Mesures de sécurité & destinataires
- Traçabilité et mise à jour continue
Appliquer les obligations RGPD
Droits des personnes (1 mois), privacy by design, AIPD, gestion des incidents (72h), contrats art. 28.
- Procédure droits (accès, rectif., opposition, effacement…)
- Plan incident & communication interne/externe
- Clauses et responsabilités sous-traitants
Plan d’actions priorisé & formation
Durées d’effacement, conformité web (mentions, cookies, formulaires), exercices sécurité, sensibilisation équipes.
- Calendrier d’effacement & archivage
- Kit conformité site & formulaires
- Exercice annuel + formation ciblée
Voici mes 6 étapes pour devenir conforme par rapport au RGPD :
Etape 1 : Identifiez toutes les données personnelles que vous traitez
Cartographier toutes vos données personnelles
Dressez l’inventaire de toutes les données (CRM, RH, fichiers Excel, emails, formulaires, badges, vidéosurveillance…). Objectif : voir clair avant d’organiser et protéger.
- Liste des catégories de données (directes, indirectes, sensibles)
- Localisation & support (papier, cloud, base de données, emails)
- Accès internes & usages (qui, pourquoi, à quelle fréquence)
Avant toute chose, vous devez savoir quelles données personnelles vous collectez, stockez ou consultez.
C’est la base de toute mise en conformité RGPD.
🔍 Qu’est-ce qu’une donnée personnelle au sens du RGPD ?
Une donnée personnelle, c’est toute information permettant d’identifier une personne physique, directement ou indirectement.
Voici quelques exemples fréquents en entreprise :
- Données directes : nom, prénom, adresse, téléphone, email professionnel ou personnel.
- Données indirectes : identifiant client, numéro de badge, plaque d’immatriculation, cookie, adresse IP.
- Données sensibles (traitement encadré) : données de santé, origine ethnique, opinions politiques, casier judiciaire, etc.
Même une adresse email professionnelle de type prenom.nom@entreprise.com est une donnée personnelle si elle permet d’identifier un individu.
🗂️ Où chercher ces données dans votre entreprise ?
Les données personnelles ne sont pas seulement dans votre CRM ou vos outils RH. Pensez à :
- Vos fichiers Excel (clients, prospects, fournisseurs…)
- Vos emails professionnels
- Vos documents papier (contrats, bulletins de paie, candidatures…)
- Vos logiciels métiers (facturation, comptabilité, recrutement, etc.)
- Vos formulaires en ligne, notamment sur votre site web
- Vos badges d’accès, systèmes de vidéosurveillance, etc.
✅ Objectif de cette étape
Dressez une liste complète des types de données personnelles que vous gérez, en précisant :
- La nature des données (email, numéro de téléphone, coordonnées bancaires…)
- Le support (papier, fichier informatique, base de données, cloud…)
- Qui y a accès (service RH, commercial, direction, etc.)
Pourquoi je commence toujours par une cartographie des données personnelles
Lorsque j’accompagne une entreprise, la première chose que je fais systématiquement, c’est une cartographie des données.
Pourquoi ? Parce qu’il est impossible de protéger ou d’organiser ce que l’on ne voit pas clairement.
Cette cartographie permet de :
- Faire un état des lieux complet : on découvre souvent des fichiers oubliés ou des traitements non documentés.
- Éveiller la prise de conscience dans les équipes : on réalise à quel point les données sont présentes partout.
- Préparer le terrain pour les étapes suivantes : registre des traitements, mise à jour des contrats, sécurité, etc.
Je construis cette cartographie avec les équipes, en atelier ou à distance, à partir d’un modèle éprouvé.
Elle devient ensuite un document de référence, utile aussi bien pour la CNIL que pour la stratégie interne.
Etape 2 : Identifiez les partenaires et logiciels qui traitent vos données
Identifier les sous-traitants & éditeurs (SaaS)
Recensez tous les tiers qui accèdent à des données (compta, paie, marketing, cloud, IT, SAV). Vérifiez les clauses RGPD, l’hébergement, et les sous-traitants de vos sous-traitants.
- Qui fait quoi, sur quelles données, pour quelle finalité
- Pays d’hébergement et transferts hors UE
- Contrats & DPA à jour, exigences de sécurité
Une fois vos données personnelles identifiées, il est essentiel de savoir avec qui vous les partagez.
Le RGPD impose une responsabilité claire à toute entreprise qui transfère des données personnelles à un tiers : vous devez connaître qui fait quoi et sous quelles conditions.
🤝 Qui sont vos « tiers » au sens du RGPD ?
Il s’agit de toutes les personnes morales ou physiques extérieures à votre entreprise qui peuvent accéder, stocker ou traiter des données personnelles pour votre compte.
On distingue deux grandes catégories :
1. Les sous-traitants
Ce sont les prestataires à qui vous confiez des tâches, comme :
- Cabinets comptables
- Agences RH ou intérim
- Fournisseurs de maintenance informatique
- Sociétés de nettoyage (si accès à des bureaux contenant des documents sensibles)
- Agences web ou prestataires marketing
- Hébergeurs cloud, prestataires d’emailing, etc.
2. Les éditeurs de logiciels / SaaS
Certains outils que vous utilisez au quotidien hébergent eux-mêmes des données personnelles. Par exemple :
| Logiciel | Type de données traitées |
|---|---|
| HubSpot / Salesforce | Données clients, prospects |
| Google Workspace | Emails, fichiers partagés |
| PayFit / Silae | Données RH, bulletins de paie |
| Mailchimp / Brevo | Données de contact + tracking |
💡 Astuce : ce n’est pas parce qu’un logiciel est « célèbre » ou « hébergé aux USA » que le RGPD ne s’applique pas. Bien au contraire !
🧠 Pourquoi je procède toujours à un audit des tiers chez mes clients
Lors de mes accompagnements RGPD, je fais systématiquement un audit des tiers.
C’est souvent là que l’on découvre :
- Des contrats obsolètes sans clauses RGPD,
- Des prestataires oubliés,
- Des logiciels non documentés (ou dont personne ne connaît la politique de confidentialité).
L’audit des tiers qui a remis les pendules à l’heure
En listant les prestataires, on a retrouvé un contrat agence web signé en 2018… sans clauses RGPD. L’éditeur du SIRH stockait bien en Irlande (ok), mais le SAV passait par un sous-traitant aux USA (non encadré). Trois avenants plus tard et un DPA signé, le directeur administratif avait enfin une vision claire de “qui fait quoi, où”.
Je travaille avec l’équipe administrative et informatique pour croiser les sources : achats, contrats, logiciels utilisés, bons de commande, etc.
Objectif : construire une vision claire de votre écosystème de données.
✅ Ce que vous devez faire maintenant
- Lister tous les prestataires qui accèdent, manipulent ou hébergent des données personnelles.
- Identifier les logiciels utilisés dans l’entreprise (CRM, SIRH, outils comptables…).
- Pour chaque tiers, noter :
- Type de données concernées
- Finalité du traitement
- Pays d’hébergement des données
- Existence ou non d’un contrat avec clauses RGPD
Etape 3 : Regroupez vos données en traitements cohérents
Structurer par traitements (1 finalité = 1 traitement)
Passez d’une vision “outils” à une logique processus métier : prospection, recrutement, paie, facturation, SAV, vidéosurveillance…
- Définir la finalité, les catégories de données et de personnes
- Identifier acteurs internes et sous-traitants
- Préparer l’évaluation des risques et la priorisation
Maintenant que vous avez identifié vos données personnelles et les tiers impliqués, il est temps de les structurer sous forme de traitements de données.
C’est une étape clé : c’est ce que la CNIL vérifiera en premier si elle contrôle votre entreprise.
🔎 Qu’est-ce qu’un « traitement de données » selon le RGPD ?
Un traitement, c’est toute opération (ou ensemble d’opérations) réalisée sur des données personnelles.
Cela peut être :
- la collecte (via un formulaire ou un CV)
- la conservation (dans un fichier Excel ou un logiciel)
- la modification
- la transmission
- ou même la suppression
💡 Un traitement n’est pas un outil, c’est un processus métier.
Le déclic de Sophie, DG d’une PME
« On a vraiment un traitement “prospection” ? » m’a lancé Sophie, à Annecy, en regardant son fichier “Prospects_2021_final_v3.xlsx”. En 45 minutes de cartographie, on a découvert 7 versions du même fichier et un formulaire web qui alimentait… rien. L’équipe a adopté la logique “1 finalité = 1 traitement” et a gagné deux heures par semaine dès le mois suivant.
🧱 Comment structurer vos traitements ?
Votre objectif ici est de regrouper les données en « blocs logiques », selon leur finalité (le « pourquoi » du traitement).
Voici quelques exemples courants :
| Traitement | Finalité | Données concernées |
|---|---|---|
| Recrutement | Gérer les candidatures | CV, lettres de motivation, entretiens |
| Gestion RH | Suivre les salariés | Contrats, bulletins de paie, arrêts maladie |
| Prospection commerciale | Trouver de nouveaux clients | Emails, numéros de téléphone, tracking web |
| Facturation | Émettre des factures | Coordonnées client, RIB |
| Vidéosurveillance | Sécuriser les locaux | Images enregistrées, horaires |
📌 Pourquoi cette étape est stratégique
Quand j’interviens en entreprise, je remarque que les données sont souvent dispersées, traitées sans cohérence.
En regroupant les données en traitements bien définis :
- Vous gagnez en lisibilité,
- Vous préparez efficacement votre registre,
- Vous pouvez mieux évaluer les risques (données sensibles, transferts hors UE, etc.)
Je recommande de documenter chaque traitement dès cette étape (finalité, base légale, durée de conservation, acteurs concernés…)
🎓 Astuce d’expert
1 finalité = 1 traitement
Si vous utilisez un fichier clients pour :
- envoyer des devis (finalité 1)
- relancer pour des impayés (finalité 2)
- envoyer une newsletter (finalité 3)
👉 Ce sont 3 traitements différents, même si les données sont les mêmes.
Etape 4 : Créez votre registre des traitements de données personnelles
Construire un registre exploitable (outil ou Excel)
Le registre devient un tableau de bord : visibilité, preuves CNIL, réponses aux droits, pilotage des risques.
- Finalité, base légale, durées de conservation
- Catégories de données & personnes, destinataires
- Mesures de sécurité, transferts, documentation
Le registre des traitements est l’élément central de votre conformité RGPD.
C’est lui qui montre à la CNIL (et à vos partenaires) que vous savez quelles données vous traitez, pourquoi, comment et avec qui.
📘 Le registre, qu’est-ce que c’est exactement ?
Il s’agit d’un document structuré, qui recense l’ensemble des traitements de données personnelles réalisés par votre entreprise.
Il doit être mis à jour régulièrement et présenté en cas de contrôle.
Le registre est obligatoire pour :
- Toute entreprise de plus de 250 salariés
- Mais aussi pour toute entreprise (TPE/PME) qui traite des données personnelles à grande échelle, de manière sensible ou systématique.
👉 Autrement dit : tout le monde est concerné ou presque.
🧠 Pourquoi je fais du registre un outil stratégique
Dans mes accompagnements, je ne vois pas le registre comme une simple obligation.
Je le transforme en tableau de bord opérationnel, qui permet de :
- Avoir une vue d’ensemble claire des traitements,
- Identifier les risques potentiels,
- Définir des actions correctives prioritaires (ex : revoir un contrat, renforcer la sécurité…),
- Et surtout : répondre rapidement à la CNIL ou à un client qui exerce un droit RGPD.
📝 Ce que doit contenir un bon registre
Pour chaque traitement identifié, vous devez décrire les éléments suivants :
| Élément | Exemple |
|---|---|
| Finalité | Gérer les bulletins de paie |
| Catégories de données | Nom, RIB, numéro de Sécu |
| Base légale | Obligation légale, exécution du contrat |
| Personnes concernées | Salariés |
| Acteurs internes | Service RH, comptabilité |
| Sous-traitants | Logiciel de paie, expert-comptable |
| Durée de conservation | 5 ans après départ du salarié |
| Mesures de sécurité | Accès restreint, mot de passe fort, chiffrement |
💡 Ce travail est souvent fait dans un tableau Excel, mais peut aussi être intégré dans un outil spécialisé (ex : Data Legal Drive, Qontinua…).
🛠️ Mon conseil de terrain
Ne cherchez pas la perfection dès le début.
L’important est de commencer avec les traitements principaux, puis d’enrichir le registre au fil du temps.
Je recommande de prioriser :
- Les traitements à fort volume ou contenant des données sensibles
- Les traitements avec sous-traitants externes
- Ceux qui sont exposés à un risque juridique ou réputationnel
Etape 5 : Maîtrisez vos obligations légales au titre du RGPD
Appliquer les 7 obligations clés du RGPD
Information claire, droits en 1 mois, privacy by design, AIPD, contrats art. 28, gestion des violations (72h), documentation vivante.
- Procédure droits (accès, rectification, opposition, effacement…)
- Plan de réponse incident & communication
- Vérification & mise à jour contractuelle des sous-traitants
Maintenant que vous avez structuré vos traitements, il est temps de comprendre les obligations qui s’appliquent réellement à votre entreprise.
Le RGPD n’est pas qu’une démarche documentaire. C’est un cadre légal structurant, qui impose des droits pour les personnes concernées et des devoirs pour ceux qui traitent leurs données.
⚖️ Les 7 grandes obligations du RGPD (à connaître absolument)
| Obligation | Ce que vous devez faire | Référence |
|---|---|---|
| Informer les personnes | Fournir des mentions claires (site web, contrats, emails…) sur l’usage des données | Art. 12 à 14 |
| Permettre l’exercice des droits | Mettre en place une procédure simple pour que quelqu’un puisse demander un accès, une rectification ou suppression de ses données | Art. 15 à 21 |
| Protéger les données dès la conception | Intégrer la protection des données dans vos outils/processus dès leur mise en place | Art. 25 |
| Réaliser des analyses d’impact (AIPD) | Si un traitement est risqué (données sensibles, surveillance, scoring…), une analyse approfondie est obligatoire | Art. 35-36 |
| Encadrer la sous-traitance | Signer des contrats conformes RGPD avec vos prestataires | Art. 28 |
| Notifier les violations de données | En cas de piratage, perte ou fuite, alerter la CNIL et les personnes concernées dans les 72h | Art. 33-34 |
| Tenir à jour votre documentation | Registre, politique interne, formation, procédures… | Art. 30 et suivants |
🧠 Mon approche avec mes clients
Lors de mes accompagnements, j’identifie toujours les obligations prioritaires selon :
- le type de données traitées (clients, salariés, santé, etc.)
- la taille et l’organisation de l’entreprise
- le niveau de risque (juridique, financier, réputationnel)
Je fournis un plan d’action RGPD personnalisé, avec des priorités classées par niveau d’impact.
🎯 Focus sur 3 points critiques
🔐 1. Le droit des personnes
C’est la base du RGPD. Chaque personne dont vous traitez les données (client, salarié, candidat…) dispose de droits :
- Droit d’accès
- Droit de rectification
- Droit d’opposition
- Droit à l’effacement
- Droit à la portabilité
- Droit à la limitation
- Droit de refus d’un traitement automatisé
👉 Vous devez pouvoir répondre à une demande dans un délai d’un mois, avec une procédure claire.
Le jour où un client a exercé son droit d’accès
Un vendredi 16h12, un email tombe : « Merci de m’envoyer toutes les données me concernant ». Sans registre, l’équipe support partait pour un week-end blanc. Avec les traitements déjà documentés (CRM, SAV, facturation), on a compilé la réponse en 48 minutes et envoyé un accusé réception propre. Le commercial m’a soufflé : « C’est la première fois que je dors tranquille un vendredi. »
🛡️ 2. Les failles de sécurité
Le RGPD impose un formalisme strict en cas de violation :
- Notifier la CNIL dans les 72h maximum
- Documenter les causes et les mesures prises
- Informer les personnes si le risque est élevé
Je fournis souvent à mes clients un modèle de procédure de gestion des incidents à intégrer dans leur organisation.
72h chrono : l’ordinateur volé
Un commercial s’est fait voler son laptop à la Part-Dieu. Grâce au chiffrement activé, à la MDM et au modèle de procédure incident (pré-rempli), on a notifié en interne à H+2, enclenché la télédéconnexion, puis documenté l’événement. Bilan : déclaration CNIL non requise, pas de communication clients, et un exercice de reprise planifié le mois suivant.
📄 3. Les contrats avec vos sous-traitants
C’est un point d’audit fréquent lors des contrôles.
Vous devez vous assurer que vos contrats incluent des clauses RGPD obligatoires, notamment sur :
- La finalité du traitement
- Les obligations du sous-traitant
- Les mesures de sécurité
- Le sort des données en fin de mission
Etape 6 : Planifiez les changements nécessaires pour solidifier votre conformité RGPD
Planifier & prouver : durées, web, sécurité, formation
Définissez les durées de conservation, mettez à jour le site & les formulaires, préparez le plan incident, et formez les équipes clés (RH, ventes, marketing, support).
- Calendrier d’effacement & archivage
- Kit conformité web (mentions, cookies, formulaires)
- Exercice annuel “faille de sécurité” & sensibilisation
Bravo, vous avez désormais :
- Cartographié vos données
- Identifié vos sous-traitants
- Décrit vos traitements
- Créé votre registre
- Pris conscience de vos obligations
Il est temps de passer à l’action et de mettre en œuvre les ajustements nécessaires pour que votre conformité soit solide, durable et crédible en cas de contrôle.
🛠️ Voici les chantiers prioritaires à traiter
📆 1. Définir des durées de conservation
Le RGPD interdit de conserver les données personnelles « plus longtemps que nécessaire ».
Pour chaque traitement, vous devez fixer une durée maximale de conservation, puis mettre en place une procédure de suppression ou d’archivage.
| Type de données | Durée conseillée |
|---|---|
| Candidatures non retenues | 2 ans maximum |
| Données clients inactifs | 3 à 5 ans selon le secteur |
| Bulletins de paie | 5 ans |
| Vidéosurveillance | 30 jours |
💡 Je conseille de créer un calendrier d’effacement automatique, à intégrer dans vos logiciels ou vos procédures internes.
🚨 2. Gérer les données sensibles avec précaution
Certaines données dites « sensibles » nécessitent des précautions renforcées :
- Santé
- Orientation sexuelle
- Opinions politiques
- Données biométriques
- Casier judiciaire…
Si vous traitez ce type de données :
- Vérifiez que vous avez une base légale solide (ex : obligation légale, consentement explicite)
- Mettez en place des mesures de sécurité techniques et organisationnelles adaptées
- Limitez leur accès strictement aux personnes autorisées
🌐 3. Mettre à jour votre site web et vos formulaires
Votre site web est souvent le premier point de collecte des données. Il doit être conforme sur plusieurs aspects :
| Élément à vérifier | Exemples |
|---|---|
| Mentions légales & politique de confidentialité | Accessibles dès la page d’accueil |
| Consentement aux cookies | Bandeau clair + paramétrage (pas juste un bouton « OK ») |
| Formulaires de contact | Case à cocher pour consentement explicite, info sur l’usage des données |
| Sécurisation technique | HTTPS, pare-feu, mises à jour régulières |
💡 Je fournis à mes clients un kit conformité web, avec modèles de mentions et paramétrage de cookie banner.
🧯 4. Préparer une procédure en cas de faille de sécurité
Un ordinateur volé, un salarié maladroit, un logiciel piraté… Une faille peut arriver à tout moment.
Vous devez :
- Anticiper ces scénarios
- Mettre en place une procédure claire (notification CNIL + communication interne/externe)
- Documenter chaque incident dans un registre dédié
🔐 Je recommande de tester la procédure une fois par an, comme un exercice de sécurité.
👥 5. Former les équipes concernées
Le RGPD, ce n’est pas qu’un sujet juridique : c’est aussi une culture à diffuser en interne.
Formez les collaborateurs qui manipulent des données personnelles, notamment :
- Commerciaux
- RH
- Marketing
- Support client
- Direction
🎓 Je propose souvent des sessions courtes, adaptées aux profils, pour responsabiliser sans surcharger.
Conclusion : Le RGPD est finalement un travail continu.
Se mettre en conformité avec le RGPD peut paraître complexe, voire décourageant.
Mais une fois les bons outils en main et la bonne méthode suivie, c’est aussi une opportunité précieuse pour professionnaliser votre gestion des données.
✔️ Meilleure sécurité
✔️ Confiance renforcée avec vos clients et partenaires
✔️ Risques juridiques réduits
✔️ Image de marque valorisée
La conformité RGPD ne se fait pas en un jour, mais elle se construit étape par étape, en s’adaptant à votre entreprise, vos moyens, vos enjeux.
👨💼 Faire appel à un cabinet RGPD : un vrai accélérateur
En tant qu’expert RGPD et DPO externalisé, j’interviens depuis plusieurs années auprès de TPE, PME, associations et collectivités.
Ce que je vous propose, c’est :
- Une démarche claire, progressive et adaptée à votre réalité
- Des outils prêts à l’emploi (registre, modèles, politiques web…)
- Un accompagnement humain et pragmatique, loin du jargon juridique
🎯 Objectif : vous faire gagner du temps, limiter vos risques, et vous rendre autonome.
Questions fréquentes sur la mise en conformité rgpd
Comment se mettre en conformité avec le RGPD en entreprise ?
Pour être conforme au RGPD, il faut suivre 6 étapes clés : cartographie des données, identification des sous-traitants, regroupement des traitements, création du registre, respect des obligations légales et mise en œuvre des actions correctives. Cela structure votre gestion des données et réduit vos risques juridiques.
Combien de temps faut-il pour se mettre en conformité avec le RGPD ?
La mise en conformité RGPD prend en moyenne entre 2 semaines et 3 mois selon la taille et la maturité de l’entreprise. Une PME bien structurée peut avancer rapidement avec un accompagnement, surtout si les outils de traitement sont limités et les flux de données maîtrisés.
Comment me faire accompagner pour être conforme au RGPD ?
Vous pouvez faire appel à un DPO externalisé ou un cabinet spécialisé RGPD pour un accompagnement sur mesure. L’expert vous guide sur la cartographie, les registres, les contrats et les obligations, tout en vous fournissant des modèles prêts à l’emploi pour gagner du temps.
Qu’est-ce qu’une cartographie des données personnelles ?
La cartographie RGPD est l’inventaire de toutes les données personnelles collectées et traitées dans votre entreprise. Elle permet de visualiser les flux de données, identifier les risques et structurer les traitements à documenter dans le registre officiel.
Quels outils utiliser pour se mettre en conformité RGPD ?
Des outils comme Data Legal Drive, Qontinua ou des modèles Excel RGPD permettent de structurer votre conformité. Vous pouvez aussi démarrer gratuitement avec une checklist RGPD et un modèle de registre des traitements adapté aux PME ou associations.
Quels sont les risques si mon entreprise n’est pas conforme au RGPD ?
Le non-respect du RGPD peut entraîner des sanctions financières (jusqu’à 4 % du chiffre d’affaires), des plaintes, et des contrôles de la CNIL. Il expose aussi votre entreprise à des pertes de données, des litiges contractuels ou une perte de crédibilité commerciale.
Quelles sont mes obligations RGPD avec mes sous-traitants ?
Vous devez signer un contrat RGPD avec chaque sous-traitant qui traite des données personnelles pour votre compte. Ce contrat doit encadrer les finalités, la sécurité, les droits des personnes et les obligations du prestataire en cas d’incident.
