Mise en conformité RGPD
pour les entreprises, associations et collectivités
Diagnostic de conformité en trois forfaits, à partir de 350 €, registre des traitements, politique de confidentialité, mentions d'information, gestion des violations de données. Et pour commencer sans engagement, un Audit RGPD Express offert, restitué sous 72 heures.
Le Règlement Général sur la Protection des Données (UE 2016/679, RGPD) est directement applicable depuis le 25 mai 2018. La loi n°2018-493 du 20 juin 2018 adapte le droit français. En France, la CNIL est l'autorité de contrôle compétente. L'accompagnement proposé constitue une information juridique au sens de la loi n°71-1130 du 31 décembre 1971.
Prestations proposées
Un accompagnement modulaire, de la première mise en conformité à la gestion continue. Le diagnostic de conformité existe en trois forfaits aux tarifs affichés ci-dessous.
Diagnostic documentaire RGPD
Audit de votre situation actuelle : cartographie des traitements existants, identification des risques, évaluation des lacunes documentaires. Le diagnostic produit un rapport de conformité priorisé.
Registre des activités de traitement
Constitution ou mise à jour du registre obligatoire (article 30 RGPD). Description de chaque traitement : finalités, bases légales, catégories de données, durées de conservation, destinataires, mesures de sécurité.
Politique de confidentialité
Rédaction ou refonte de votre politique de confidentialité, conforme aux exigences des articles 13 et 14 du RGPD. Adaptée à votre activité, rédigée en langage clair, publiée sur votre site.
Mentions d'information et formulaires
Rédaction des mentions d'information pour vos formulaires de collecte (contact, inscription, commande, adhésion). Base légale, finalités, droits des personnes, conservation : chaque mention est précise et conforme.
Gestion des violations de données
Mise en place d'une procédure de détection et de notification des violations de données (article 33 RGPD). Rédaction du registre interne des violations. Accompagnement en cas d'incident.
Réponses aux droits des personnes
Mise en place des procédures de réponse aux demandes d'exercice des droits (accès, rectification, effacement, opposition, portabilité). Rédaction des modèles de réponse. Délais et traçabilité.
Diagnostic de conformité : trois forfaits
Diagnostic à partir de 350 €, abonnement DPO mensuel à partir de 150 €/mois selon volumétrie. Les forfaits Essentiel et Standard se commandent directement en ligne, le forfait Approfondi sur devis personnalisé.
Forfait Essentiel
Livrable sous 15 jours
Micro-entreprise, freelance, petite association (moins de 5 traitements)
Commandable directement en ligne
Forfait Standard
Livrable sous 30 jours
TPE, association établie, profession libérale (5 à 15 traitements)
Entretien visio de cadrage et de restitution inclus
Forfait Approfondi
à partir de 1 400 €
Délai précisé au devis
PME, structure de santé ou sociale, collectivité, GIE, plus de 15 traitements ou données sensibles
Cartographie multi-niveaux et rapport étendu
Le détail de chaque forfait
| Étape | Essentiel | Standard | Approfondi |
|---|---|---|---|
| Questionnaire et échange initial par email | Inclus | Inclus | Inclus |
| Analyse des réponses, des outils et du site | Inclus | Inclus | Inclus |
| Entretien visio de cadrage | Non | Inclus | Inclus |
| Cartographie des traitements (finalités, bases légales, durées, destinataires) | Simplifiée | Complète | Multi-niveaux |
| Analyse des écarts (RGPD et loi Informatique et Libertés) | Inclus | Inclus | Détaillée |
| Hiérarchisation des actions par niveau de risque | Inclus | Inclus | Multi-niveaux |
| Tarif | 350 € | 900 € | Dès 1 400 € |
| Livrable | 15 jours | 30 jours | Au devis |
Les délais de livraison courent à compter de la réception de vos réponses complètes au questionnaire de cadrage. Les entretiens et restitutions visio se déroulent sans caméra côté cabinet, par partage d'écran avec support commenté. Tarifs affichés en montant net. Le cabinet n'est pas assujetti à la TVA.
Toutes les organisations sont concernées
Le RGPD ne fait pas de distinction selon la taille ou le secteur d'activité.
TPE · PME
Tout commerce, artisan, profession libérale ou société qui collecte des données clients, prospects ou salariés.
Associations
Données des adhérents, bénévoles, donateurs, bénéficiaires. Traitement souvent non évalué mais obligatoire.
Collectivités
Communes, intercommunalités, établissements publics. Traitements massifs et catégories sensibles fréquentes.
Professions libérales
Médecins, avocats, comptables, architectes : données clients souvent sensibles, obligations renforcées.
Une page dédiée à votre situation ? Consultez RGPD pour les associations et l'ESS ou RGPD pour les TPE et indépendants.
Les bases légales du traitement (article 6 RGPD)
Tout traitement de données personnelles doit reposer sur l'une des six bases légales du règlement. Identifier la bonne base est une étape fondamentale de la conformité.
Consentement (art. 6.1.a)
Accord explicite et libre de la personne. Révocable à tout moment. Souvent requis pour les cookies analytics et le marketing.
Contrat (art. 6.1.b)
Traitement nécessaire à l'exécution d'un contrat avec la personne. Ex : gestion d'une commande, d'un abonnement.
Obligation légale (art. 6.1.c)
Traitement requis par une obligation légale applicable. Ex : conservation des bulletins de paie, facturation.
Sauvegarde des intérêts vitaux (art. 6.1.d)
Traitement nécessaire à la protection de la vie ou de l'intégrité physique de la personne concernée ou d'un tiers. Ex : urgence médicale, situation mettant en jeu la sécurité d'une personne.
Mission d'intérêt public (art. 6.1.e)
Traitement nécessaire à une mission d'intérêt public ou à l'exercice de l'autorité publique. Ex : collectivité, association ou acteur de l'ESS opérateur d'une politique publique, gestion d'un service public délégué.
Intérêt légitime (art. 6.1.f)
Intérêt légitime du responsable, sous réserve qu'il ne prévale pas sur les droits des personnes. Ex : sécurité du SI, prévention de la fraude.
Non-conformité : un risque à la fois administratif, pénal et civil
Au-delà de l'amende CNIL, la responsabilité peut être engagée sur trois terrains distincts. L'absence de registre, de politique de confidentialité ou de consentement pour les cookies figure parmi les manquements les plus fréquents.
Sanctions administratives (CNIL)
Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La CNIL peut aussi prononcer des injonctions de mise en conformité, des limitations de traitement, et rendre la sanction publique.
Sanctions pénales (Code pénal, art. 226-16 à 226-24)
Les manquements les plus graves sont des délits, punis jusqu'à cinq ans d'emprisonnement et 300 000 euros d'amende, montant porté à 1,5 million d'euros pour une personne morale, assortis de peines complémentaires (interdiction d'exercice, fermeture). Le dirigeant, ou l'entrepreneur responsable de traitement, est exposé à titre personnel : la société ne fait pas toujours écran.
Responsabilité civile et risque commercial
Les personnes concernées peuvent demander réparation de leur préjudice (art. 82 du RGPD). En parallèle, partenaires, donneurs d'ordre et acheteurs publics exigent de plus en plus une preuve de conformité avant de contracter, et une sanction rendue publique pèse durablement sur la réputation.
Un diagnostic préalable permet d'identifier les risques prioritaires et d'engager les corrections avant tout contrôle. Commencez par l'Audit RGPD Express offert ci-dessous.
Audit RGPD Express
Un diagnostic flash sans engagement. Vous répondez à cinq questions clés, notre juriste identifie vos trois risques prioritaires et vous remet une note de synthèse de deux à trois pages.
Ce que l'audit passe en revue :
Demander mon Audit Express
Renseignez vos coordonnées : nous vous envoyons le questionnaire et votre restitution sous 72 heures ouvrées.
Sans engagement · Restitution sous 72 heures ouvrées
Conformité dans la durée
La conformité RGPD ne s'arrête pas à la première mise en conformité
Le service DPO externalisé assure la conformité continue : veille réglementaire, mise à jour du registre, gestion des incidents, interlocuteur CNIL désigné. À partir de 150 €/mois selon volumétrie.
Suis-je obligé de désigner un DPO ? Auto-évaluation (article 37.1 RGPD)
La désignation d'un DPO est obligatoire si vous vous reconnaissez dans au moins une des trois situations suivantes :
Au moins un critère coché : la désignation est probablement obligatoire. Aucun critère : elle reste recommandée si vous traitez des données sensibles. Notre juriste confirme votre situation lors du diagnostic.
Questions fréquentes
Les réponses aux questions les plus courantes sur le RGPD et nos forfaits.
Combien coûte un diagnostic RGPD ?+
Le diagnostic RGPD existe en trois forfaits : Essentiel à 350 € (micro-entreprise, freelance, petite association de moins de 5 traitements), Standard à 900 € (TPE, association établie, profession libérale de 5 à 15 traitements) et Approfondi sur devis à partir de 1 400 € (structures complexes, données sensibles, plus de 15 traitements). Les forfaits Essentiel et Standard sont commandables directement en ligne par carte bancaire ou virement : Essentiel livré sous 15 jours, Standard sous 30 jours, à compter de la réception de vos réponses. L'Approfondi est réalisé sur devis, selon le délai indiqué.
Qu'est-ce que l'Audit RGPD Express offert ?+
C'est un diagnostic flash offert, d'une valeur de 150 €, sans engagement. À partir de cinq questions clés, notre juriste identifie vos trois risques prioritaires et vous remet une note de synthèse de deux à trois pages sous 72 heures ouvrées, avec une mini-feuille de route et une orientation vers le forfait de diagnostic adapté. Un échange téléphonique de dix minutes est proposé si vous le souhaitez.
Le RGPD s'applique-t-il aux petites structures ?+
Oui. Le RGPD s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille. Une TPE, une association ou une micro-entreprise sont soumises aux mêmes obligations, avec certains aménagements pour les structures de moins de 250 personnes (notamment une tenue simplifiée du registre pour les traitements non réguliers).
Qu'est-ce qu'un registre des activités de traitement ?+
Le registre (article 30 RGPD) est un document interne obligatoire qui recense tous les traitements de données personnelles. Il décrit pour chaque traitement les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. C'est le document de référence en cas de contrôle CNIL.
Quelles sont les sanctions en cas de non-conformité ?+
La CNIL peut prononcer des sanctions jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Ces plafonds s'appliquent à toutes les organisations, y compris les associations et les collectivités. La CNIL peut aussi imposer des injonctions de mise en conformité et des limitations de traitement.
Quelle est la différence entre le RGPD et la loi Informatique et Libertés ?+
Le RGPD est un règlement européen directement applicable depuis le 25 mai 2018. La loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978, modifiée par la loi n°2018-493 du 20 juin 2018) est la loi française qui complète le RGPD et précise les règles spécifiques au droit français.
La mise en conformité RGPD est-elle un projet ponctuel ou continu ?+
C'est un processus continu. Une première mise en conformité produit les documents et procédures nécessaires. Mais le RGPD impose une conformité permanente : le registre doit être mis à jour à chaque nouveau traitement, les mentions d'information doivent refléter la réalité, les incidents doivent être tracés. Notre service de DPO externalisé assure cette conformité dans la durée.
Prêt à évaluer votre conformité RGPD ?
Commencez par l'Audit RGPD Express offert, ou commandez directement votre Diagnostic Essentiel à 350 €, livrable sous 15 jours, réglable par carte bancaire ou virement.