← Sécurité

§RGPD & conformité

Conforme. Sans usine à gaz. Sans bullshit.

Cartographie des traitements, DPIA, registre RGPD, droits utilisateurs (accès, export, suppression), gestion des cookies, DPO externalisé. Prêt pour audit CNIL — et pour AI Act et NIS 2.

Audit RGPD Voir notre méthode
  • Cartographie & registre des traitements
  • DPIA · privacy by design
  • Droits utilisateurs (export, suppression)
  • RGPD · AI Act · NIS 2 · SOC 2

Le contexte

RGPD : 8 ans après, encore 90 % de sites non conformes.

En 2026, le RGPD a 8 ans et la CNIL n'a plus de patience. Sanctions records en 2025 : 50 M€ Meta sur le tracking, 32 M€ Amazon sur les cookies, 12 M€ Criteo. Pour les startups françaises ? Sanctions plus petites mais nombreuses, et surtout l'éclosion de class actions privées qui changent le rapport coût/risque.

Et le terrain réglementaire s'étend : AI Act (entré en vigueur progressivement 2025-2027) impose des obligations sur les systèmes IA à risque, NIS 2 (transposée 2024) impose la cyber-résilience aux opérateurs critiques, DSA régule les plateformes. Tous ces textes partagent une logique : pas de conformité = pas de marché européen.

Notre approche : conformité pragmatique. On n'écrit pas 200 pages de politiques que personne ne lit. On cartographie les traitements réels, on évalue les risques concrets, on met en place le minimum viable de gouvernance, on outille pour que les droits utilisateurs marchent vraiment (export en 1 clic, suppression réelle). Et on prépare le dossier pour résister à un contrôle CNIL.

1 sem

Audit cible

Cartographie complète des traitements d'une startup en 1 semaine

100%

Droits effectifs

Export RGPD et suppression compte fonctionnels et testés

30 j

Réponse demande

Délai légal respecté grâce à un workflow outillé (pas du manuel)

0

Cookie tiers non consenti

Gestion CMP propre, conforme aux lignes directrices CNIL 2025

Ce qu'on met en place

Six axes conformité données.

De la cartographie initiale au DPO externalisé, on couvre toute la chaîne de conformité opérationnelle.

§ Registre

Cartographie & registre

Article 30 RGPD — obligatoire.

Identification de tous les traitements de données personnelles (clients, employés, prospects). Pour chacun : finalité, base légale, catégories de données, durée de conservation, destinataires, transferts hors UE. Registre formalisé exportable.

§ DPIA

DPIA & analyse de risque

Pour les traitements à risque.

Data Protection Impact Assessment obligatoire si le traitement est à risque élevé (profilage, données sensibles, à grande échelle). Identification des risques, évaluation, mesures de mitigation. Présentable à la CNIL en cas d'incident.

§ Droits

Droits utilisateurs effectifs

Accès, export, suppression en 1 clic.

Mise en œuvre technique des droits Articles 15-22 RGPD : accès aux données, portabilité (JSON/CSV exportable), rectification, suppression (vraie, pas un simple flag is_deleted). Workflow de gestion des demandes outillé.

§ Cookies

Cookies & consentement

CMP conforme aux lignes CNIL 2025.

Mise en place d'une Consent Management Platform (Cookiebot, Didomi, Axeptio, ou maison). Bandeau conforme : bouton refuser visible, granularité par finalité, journalisation des consentements, mise à jour automatique selon évolution des cookies tiers.

§ Design

Privacy by design & default

Article 25 RGPD intégré au produit.

Audit de conception : minimisation des données collectées, anonymisation/pseudonymisation, chiffrement, pas de transferts hors UE par défaut. Modifications produit recommandées. Intégration des principes dans la roadmap.

§ DPO

DPO externalisé

Pour les startups sans DPO interne.

Mission DPO externalisée : conseil régulier, veille réglementaire, formation équipe, point de contact CNIL, accompagnement audits, gestion des incidents. Rapport trimestriel. Adapté startups et scale-ups sans ressources juridiques internes.

Notre approche

Quatre étapes, de l'audit au monitoring.

On commence par voir clair sur les traitements réels (souvent flous), puis on met en place le minimum viable de gouvernance.

01 §

Audit & cartographie (1 sem)

Atelier avec produit, dev, marketing pour identifier tous les traitements. Inventaire des outils (CRM, analytics, support, recrutement). Cartographie des flux : qui collecte quoi, où c'est stocké, qui y accède. Identification des écarts vs RGPD.

Registre + cartographie flux + liste des écarts
02 §

Remediation prioritaire (1-2 sem)

Correction des écarts critiques en premier : bases légales manquantes, durées non définies, transferts hors UE non encadrés, droits utilisateurs cassés. Priorisation par risque réglementaire (sanction CNIL) + risque opérationnel (incident).

Corrections critiques + politiques mises à jour
03 §

Outillage & automatisation (2-3 sem)

Mise en place CMP cookies. Workflow demandes droits (formulaire + traçabilité). Process d'incident violation données. Anonymisation des données analytics. Politique de confidentialité réécrite (lisible, pas du juridique copié-collé).

CMP + workflow droits + process incidents + politiques
04 §

Gouvernance & DPO (continu)

Mission DPO externalisé si pertinent. Veille réglementaire (AI Act, NIS 2, jurisprudence). Formation équipe annuelle. Point trimestriel de gouvernance. Pré-audit annuel pour rester prêt en cas de contrôle CNIL.

Gouvernance trimestrielle + veille + formation annuelle

Outillage utilisé

Les outils qu'on utilise vraiment.

Pas de plateforme miracle — combinaison de tools spécialisés selon le besoin.

CMP cookies

Cookiebot · Didomi · Axeptio · Tarteaucitron

Cookiebot pour les petites structures (gratuit jusqu'à 100 pages). Didomi premium pour multi-marques. Axeptio FR très propre. Tarteaucitron gratuit self-hosted.

Registre & cartographie

Dastra · Witik · Notion (template) · Aircall Doc

Dastra pour startups (FR, intégré CNIL). Witik B2B. Notion templates simples si volume faible. On préfère outil dédié dès qu'on a > 10 traitements.

Privacy & DPIA

OneTrust · TrustArc · Dastra DPIA · CNIL PIA tool

PIA tool CNIL gratuit (très bien pour démarrer). OneTrust si déjà dans la galaxie compliance. TrustArc en grosse entreprise. Dastra inclut un module DPIA.

Droits utilisateurs

Custom backend · Transcend · DataGrail · Osano

Custom backend si simple (1 API par droit). Transcend pour les vraies plateformes. DataGrail pour SaaS complexes. Osano gère les tickets utilisateurs.

Détection PII & data discovery

BigID · Privacera · Spirion · Open-source (Presidio)

Presidio (Microsoft) open-source pour démarrer. BigID/Privacera pour les data lakes. Spirion en grosse boîte. On utilise BigID quand le client a un data lake non cartographié.

Veille & ressources

CNIL · EDPB · Linc CNIL · DPnetwork · NOYB

CNIL.fr (lignes directrices, sanctions). EDPB pour les guidelines européennes. NOYB pour suivre les contentieux. Linc CNIL pour la veille technique.

Garanties chiffrées

Quatre engagements contractuels.

100%

Traitements cartographiés

Tous les traitements identifiés et documentés dans le registre Article 30. Pas un seul oublié dans un coin.

< 30 j

Réponse droit RGPD

Workflow outillé garantit le respect du délai légal de 30 jours pour toute demande utilisateur.

0

Cookie sans consentement

CMP testée et vérifiée : aucun cookie tiers ou marketing avant action utilisateur explicite.

AI Act ready

Conformité 2027

Cartographie des systèmes IA en place, classification du risque, documentation prête pour AI Act 2027.

Tarification

Chaque projet est unique. Le devis aussi.

Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.

Réponse sous 48 h ouvrées Demander un devis