Corruption LS2 Fraude ISO 37001 ISO 37301 Devoir de vigilance RGPD Cybersécurité

RGPD : faire simple et être solide

Businessman protecting his datas with GDPR law interface

Le RGPD, ce n’est pas juste “une mention cookies”.

C’est un cadre européen pour savoir quelles données vous collectez et traitez, pourquoi, où elles vont, et comment vous protégez les personnes concernées (clients, salariés, prospects, usagers…).

On vous aide à mettre en place un dispositif de gestion des données à caractère personnel conforme au RGPD clair et applicable. Ce n’est pas un classeur (virtuel) de plus. C’est un dispositif qui permet de se poser les bonnes questions en matière de collecte de données personnelles et qui répond aux demandes internes et externes, aux audits et aux contrôles.

Ce qu’on fait, concrètement

Cartographier vos traitements :

Identifier les données personnelles collectées,
Evaluer leur nécessité et impact,
Mettre à jour le registre si nécessaire.

Sécuriser :

Les bases légales
L’information
Les durées de conservation.

Gérer les sous-traitants :

Contrats
Clauses
Vérifications pertinentes
Audits

Mettre en place une gestion simple des droits :

Accès
Suppression
Opposition
Mise à jour.

Cadrer les sujets sensibles :

Transferts des données hors UE
Données RH
Vidéosurveillance
Cookies
Incidents

NIS2 et DORA, des exigences complémentaires au RGPD

NIS2 ne parle pas “données personnelles”, mais de cybersécurité et continuité des services. Pour les entités dites essentielles ou importantes (selon le secteur et la taille), l’objectif est clair : renforcer la gestion des risques cyber (mesures techniques et organisationnelles, chaîne de sous-traitance, gouvernance) et mieux gérer et déclarer les incidents.

DORA vise le même sujet, mais pour le secteur financier. Depuis son entrée en application, il impose un cadre opérationnel de résilience numérique : gestion du risque informatique, reporting des incidents, tests de résilience, et maîtrise des prestataires IT.

Parlons-en

Et dans la vraie vie, ces textes se croisent : un incident cyber peut déclencher des actions NIS2/DORA… et, s’il y a des données personnelles impactées, des obligations RGPD aussi.

Le saviez-vous ?

En France, la CNIL parle de sanctions administratives (pas de “condamnations” au sens pénal). Et les chiffres montent vite : 83 sanctions en 2025 pour 486,8 M€ d’amendes cumulées.
En 2024, c’était 87 sanctions pour 55,2 M€.

Petit point utile : les montants sont très contrastés. En 2024, la procédure simplifiée représente 69 sanctions pour 715 500 € au total avec des sujets très concrets : droits des personnes, cookies, sécurité, coopération.

Source : CNIL, bilan 2024

Contacter un spécialiste

FAQ RGPD

Par quoi commencer si on veut remettre le RGPD à plat ?

Par une photo simple de l’existant : collecte des informations (qui, quoi, enregistrement, lieu de stockage, MAJ, …) registre, traitements principaux, prestataires, documents d’info (mentions, politiques), et gestion des droits.

Ensuite on priorise : ce qui expose vraiment (RH, prospection, transferts, données sensibles).

Enfin, on met en place l’ensemble des dispositifs pour s’assurer de la maîtrise des processus concernés.

Est-ce qu’on doit faire une AIPD (DPIA) à chaque nouveau traitement ?

Non. On la fait quand le traitement présente un risque élevé. L’idée, c’est d’identifier les cas où il faut une analyse formelle, pas d’en faire une par réflexe.

Y a-t-il d’autres règlementations relatives à la protection des données à caractère personnel ?

Plusieurs pays disposent d’une législation protégeant les données à caractère personnel collectées par les organismes privés et/ou publics.

Par exemple :

Au Royaume-Uni : “UK GDPR” et Data Protection Act 2018 (logique très proche de l’Europe).
En Suisse : nouvelle loi fédérale (nLDP) en vigueur depuis 1er septembre 2023, dans l’esprit du RGPD.
Aux Etats-Unis : Il n’existe pas de loi fédérale unique équivalente au RGPD. C’est un patchwork : des lois sectorielles (santé, finance, enfants, etc.) et des lois “PRIVACY” par État.
Au Maroc : la loi 09-08 sur la protection des personnes à l’égard du traitement des données personnelles, avec une autorité de contrôle, la CNDP.
En Chine : la PIPL (Personal Information Protection Law), en vigueur depuis le 1er novembre 2021.