Pôle d'expertise

Conformité RGPD : protéger les données, pas seulement cocher des cases

La conformité RGPD ne se résume pas à un formulaire ou à une politique de confidentialité : c'est un état continu qui garantit que chaque donnée personnelle est traitée sur une base légale, pour une finalité définie, et protégée par des mesures de sécurité proportionnées. AOCSI traite les deux faces indissociables du sujet - la conformité juridique et la sécurité effective des données - pour que votre organisation soit en règle et réellement protégée.
Experts seniors nominatifs
Prix publics affichés
Livrables priorisés par le risque
Intervention partout en France

RGPD · 01

Qu'est-ce que la conformité RGPD ?

Le Règlement général sur la protection des données (RGPD) encadre tout traitement de données personnelles réalisé par une organisation établie dans l'Union européenne ou ciblant des personnes qui s'y trouvent. Être conforme, c'est pouvoir démontrer à tout moment que chaque traitement repose sur une base légale valable (consentement, contrat, obligation légale, intérêt légitime...), poursuit une finalité déterminée et se limite aux données strictement nécessaires : c'est le principe de minimisation.

La conformité n'est pas un document unique mais un ensemble cohérent : registre des traitements, information des personnes, gestion de leurs droits, encadrement des sous-traitants, maîtrise des durées de conservation et des transferts hors UE. Le RGPD repose sur la responsabilisation (accountability) : ce n'est pas à la CNIL de prouver un manquement, c'est à vous de prouver votre conformité.

RGPD · 02

Conformité et sécurité : deux faces d'un même sujet

L'article 32 du RGPD impose des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Autrement dit, on ne peut pas être conforme sans être sécurisé : une donnée collectée dans les règles mais stockée sur un serveur mal configuré, accessible sans authentification forte ou exposée par un sous-traitant négligent constitue un manquement, et souvent le point de départ d'une violation de données.

C'est la spécificité d'AOCSI : nous ne séparons pas le juridique du technique. Un audit RGPD mené par nos soins vérifie autant la licéité des traitements que la robustesse des mesures qui protègent les données : chiffrement, cloisonnement, gestion des accès, journalisation, sauvegardes. La conformité sur le papier ne vaut rien si les données restent exploitables par un attaquant.

RGPD · 03

Notre démarche de mise en conformité

Nous partons d'un état des lieux - l'audit RGPD - qui cartographie vos traitements, identifie les écarts et cote les risques. Cette photographie sert de base à une trajectoire de mise en conformité réaliste, séquencée par priorité juridique et par exposition au risque, que vos équipes peuvent réellement exécuter. Chaque étape produit des livrables concrets et opposables.

Cartographie et registre des traitements (article 30).
Qualification des bases légales et des durées de conservation.
Mise à niveau de l'information des personnes et de la gestion de leurs droits.
Encadrement contractuel des sous-traitants et des transferts hors UE.
Renforcement des mesures de sécurité (article 32).

RGPD · 04

L'analyse d'impact (AIPD) pour les traitements à risque

Certains traitements - surveillance à grande échelle, données sensibles, profilage, croisement de fichiers - sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. Le RGPD impose alors une analyse d'impact relative à la protection des données (AIPD, ou PIA en anglais), avant leur déploiement.

L'AIPD décrit le traitement, évalue sa nécessité et sa proportionnalité, apprécie les risques pour les personnes et définit les mesures pour les réduire. C'est un exercice à la croisée du droit et de la sécurité : exactement le terrain d'AOCSI.

RGPD · 05

Le rôle du DPO

Le délégué à la protection des données (DPO) pilote la conformité dans la durée : il conseille, contrôle, sensibilise et fait le lien avec la CNIL. Sa désignation est obligatoire pour les organismes publics et pour les organisations dont l'activité principale implique un suivi régulier et systématique à grande échelle, ou le traitement à grande échelle de données sensibles.

Beaucoup d'organisations n'ont ni le volume ni le besoin d'un DPO à temps plein. Notre offre de DPO externalisé apporte cette compétence à la demande, avec la double casquette juridique et sécurité qui fait la différence au quotidien.

RGPD · 06

Combien coûte une mise en conformité RGPD ?

AOCSI publie ses tarifs. Un audit RGPD se chiffre selon le nombre de traitements, d'applications et de sous-traitants à examiner ; une mise en conformité dépend de l'écart constaté et du périmètre. Le devis est transparent, sans revente de licence ni marge cachée, et un abonnement de DPO externalisé permet d'étaler l'effort dans le temps.

Notre méthode

Une intervention cadrée, du premier échange au suivi.

La même rigueur à chaque mission, quel que soit le périmètre.

1

Cadrage

Périmètre, objectifs et règles d'engagement définis avec vous.

2

Intervention

Nos experts exécutent la mission : outillage et analyse manuelle.

3

Restitution

Rapport priorisé par le risque, synthèse direction et plan d'action.

4

Accompagnement

Suivi de la remédiation et contre-vérification des correctifs.

Notre expertise en détail

Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.

Prêt à y voir clair sur votre exposition ?

Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.

Questions fréquentes

Quelle différence entre RGPD, NIS2 et ISO 27001 ?

Le RGPD protège les données personnelles et les droits des personnes ; NIS2 vise la résilience des systèmes essentiels et importants ; ISO 27001 est une norme de management de la sécurité de l'information. Les trois se recoupent sur la sécurité : les mesures techniques qui protègent vos données servent les trois démarches à la fois.

Sommes-nous obligés de désigner un DPO ?

Pas systématiquement. Le DPO est obligatoire pour le secteur public et pour les traitements à grande échelle de suivi régulier ou de données sensibles. Hors de ces cas, il reste vivement recommandé pour structurer la conformité ; un DPO externalisé répond au besoin sans embauche.

Quand doit-on réaliser une AIPD ?

Dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL publie une liste de traitements qui l'imposent (profilage, surveillance systématique, données sensibles à grande échelle...). En cas de doute, l'AIPD est la démarche prudente.

Que risque-t-on en cas de non-conformité ?

La CNIL peut prononcer une mise en demeure, une injonction, voire une amende administrative pouvant atteindre, selon le RGPD, 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. S'y ajoutent le préjudice de réputation et le coût d'une éventuelle violation de données.

Un audit RGPD suffit-il à être conforme ?

Non : l'audit établit le diagnostic et priorise les actions. La conformité s'obtient en exécutant la trajectoire de remédiation, puis en la maintenant dans la durée. Le RGPD impose une conformité continue, pas ponctuelle.