RÈGLEMENT (UE) 2016/679 - RGPD

RGPD-Express
Structurez votre conformité RGPD

Le RGPD s'applique à toute structure qui collecte des données personnelles, sans seuil de taille. SYAGA CONSULTING vous aide à formaliser un registre des traitements, encadrer vos sous-traitants, répondre aux questionnaires RGPD de vos clients et assureurs, et réaliser une analyse d'impact quand elle est nécessaire.

4
Piliers de conformité couverts
Art. 30
Registre des traitements
Art. 28
Encadrement des sous-traitants
Art. 83
Sanctions jusqu'à 20 M EUR ou 4% du CA mondial

Le problème

Le RGPD est en vigueur depuis 2018, mais reste largement non formalisé dans les PME

Le RGPD ne connaît pas de seuil de taille

Dès qu'une structure collecte des données personnelles (clients, salariés, prospects), elle est concernée. Une exception limitée existe pour les structures de moins de 250 salariés dont le traitement est occasionnel, mais elle ne couvre pas une activité commerciale régulière.

📋

Le registre des traitements (art. 30) manque ou est périmé

Beaucoup de PME n'ont jamais formalisé leur registre, ou l'ont rédigé une fois puis jamais mis à jour alors que leurs traitements, sous-traitants et outils ont changé.

📧

Vos clients et assureurs vous envoient des questionnaires RGPD

Un client, une banque ou un assureur cyber demande de plus en plus souvent à ses fournisseurs de répondre à un questionnaire sur la protection des données (art. 28) : sous-traitance, chiffrement, MFA, sauvegardes, journalisation, plan d'incident.

Vos équipes n'ont pas le temps de se former au RGPD

Rédiger un registre, encadrer des sous-traitants ou monter une analyse d'impact demande une expertise juridique et technique croisée que peu de PME ont en interne.

La démarche RGPD-Express

Une méthode structurée, adaptée à la taille et au contexte réel de votre structure

1
Étape 1 - Cadrage

Entretien et cartographie des traitements

Entretien avec le dirigeant ou le référent RGPD. Identification des traitements de données personnelles (clients, salariés, prospects, fournisseurs), des outils utilisés et des sous-traitants déjà en place.

2
Étape 2 - Registre des traitements

Formalisation du registre (art. 30)

Rédaction du registre des activités de traitement : finalités, bases légales, catégories de données et de personnes concernées, destinataires, durées de conservation, mesures de sécurité.

3
Étape 3 - Sous-traitance et mesures techniques

Contrats de sous-traitance et réponses aux questionnaires

Revue ou rédaction des clauses de sous-traitance (art. 28) avec vos prestataires, et préparation des réponses aux questionnaires RGPD que vous adressent vos clients ou assureurs (mesures techniques et organisationnelles).

4
Étape 4 - Restitution

Livraison et analyse d'impact si nécessaire

Remise des documents et présentation à la direction. Si votre traitement entre dans un des cas prévus par l'art. 35(3) du RGPD (profilage à effet juridique, données sensibles à grande échelle, surveillance systématique d'une zone publique), une analyse d'impact (AIPD) est réalisée ou cadrée avec vous.

Ce que vous recevez

Des documents adaptés à votre structure réelle, pas des templates génériques

📝

Registre des traitements (ROPA)

Registre complet conforme à l'article 30 du RGPD.

  • Fiches par traitement (finalité, base légale)
  • Catégories de données et de personnes concernées
  • Destinataires et sous-traitants identifiés
  • Durées de conservation documentées
  • Volet responsable de traitement et sous-traitant

Contrats de sous-traitance (DPA)

Encadrement contractuel de vos prestataires au sens de l'article 28.

  • Clauses de sous-traitance à jour
  • Identification des sous-traitants ultérieurs
  • Encadrement des transferts hors UE le cas échéant
  • Obligations de sécurité et de notification
🔍

Analyse d'impact (AIPD)

Réalisée uniquement lorsque l'article 35(3) du RGPD l'impose, ou à titre de précaution sur demande.

  • Analyse de nécessité et de proportionnalité
  • Évaluation des risques pour les personnes concernées
  • Mesures pour atténuer les risques identifiés
  • Méthodologie traçable et sourcée
📧

Réponses à vos questionnaires RGPD

Préparation des réponses aux questionnaires envoyés par vos clients, banques ou assureurs cyber.

  • Trame de réponses sur les thèmes récurrents
  • MFA, chiffrement, sauvegardes, journalisation
  • Plan de réponse à incident
  • Politique de conservation des données
🛡

Mesures techniques et organisationnelles

État des lieux des mesures exigées par l'article 32 du RGPD.

  • Points de contrôle sécurité liés aux données personnelles
  • Recommandations priorisées
  • Passerelle possible avec un audit M365 SYAGA Audit existant
📄

Documents remis

Les livrables vous sont remis dans des formats directement exploitables.

  • Documents Word et PDF
  • Prêt à être signé ou diffusé en interne
  • Support à l'appropriation par vos équipes

Les articles clés du RGPD

Le RGPD (Règlement (UE) 2016/679) structure la démarche RGPD-Express

30

Art. 30 - Registre des activités de traitement

Obligation de tenir un registre, côté responsable de traitement et côté sous-traitant. L'exemption prévue au 30.5 pour les structures de moins de 250 salariés ne s'applique qu'aux traitements occasionnels.

28

Art. 28 - Sous-traitant

Encadrement contractuel de tout sous-traitant traitant des données pour votre compte : garanties suffisantes, clauses obligatoires, sous-traitance ultérieure autorisée par écrit préalable.

32

Art. 32 - Sécurité du traitement

Mesures techniques et organisationnelles appropriées au risque : pseudonymisation, chiffrement, moyens garantissant la confidentialité et la disponibilité, procédure de test et d'évaluation régulière.

35

Art. 35 - Analyse d'impact (AIPD)

Obligatoire uniquement lorsque le traitement est susceptible d'engendrer un risque élevé : évaluation systématique à effet juridique, données sensibles à grande échelle, ou surveillance systématique d'une zone accessible au public.

Des formules sur devis

Chaque structure a un périmètre de traitements différent : le tarif est établi après le cadrage

Essentiel

TPE / PME, périmètre de traitements simple

Devis
sur mesure
  • Registre des traitements (art. 30)
  • Revue des contrats de sous-traitance existants
  • Trame de réponse aux questionnaires simples
  • Document remis en Word et PDF
Demander un devis

Sur mesure

Structure avec traitements sensibles ou réglementation sectorielle

Devis
sur mesure
  • Tout Standard +
  • Analyse d'impact (AIPD) si l'art. 35(3) s'applique
  • Cadrage des transferts hors UE
  • Accompagnement multi-sites ou multi-entités
Demander un devis
Aucun prix fixe n'est affiché car le périmètre réel de vos traitements (nombre de sous-traitants, sensibilité des données, questionnaires à traiter) conditionne la charge de travail. Un devis personnalisé est établi après l'entretien de cadrage, sans engagement.

Questions fréquentes

Mon entreprise est-elle concernée par le RGPD ?
Dès que votre structure collecte des données personnelles (fichier clients, paie, prospection commerciale, vidéosurveillance...), vous êtes concerné, quelle que soit votre taille. Une exemption limitée existe à l'article 30.5 pour les structures de moins de 250 salariés dont le traitement est occasionnel : elle ne s'applique généralement pas dès qu'il y a une activité commerciale régulière.
Dois-je obligatoirement réaliser une analyse d'impact (AIPD) ?
Non. L'article 35(3) du RGPD ne l'impose que dans des cas précis : décision automatisée à effet juridique ou similaire sur une personne, traitement à grande échelle de données sensibles, ou surveillance systématique à grande échelle d'une zone accessible au public. Hors de ces cas, une AIPD peut être menée par précaution mais n'est pas une obligation légale.
Un de mes clients ou mon assureur cyber m'envoie un questionnaire RGPD, que faire ?
C'est une démarche de plus en plus fréquente au titre de l'article 28 (votre client vérifie les garanties de ses propres sous-traitants ou fournisseurs). SYAGA vous aide à structurer des réponses cohérentes et documentées sur les thèmes récurrents : sous-traitance, MFA, chiffrement, sauvegardes, journalisation et plan de réponse à incident.
Le registre des traitements suffit-il à être "conforme RGPD" ?
Non, c'est une brique parmi d'autres. Le RGPD couvre aussi la base légale de chaque traitement, l'information des personnes concernées, l'exercice de leurs droits, la sécurité des traitements (art. 32) et, le cas échéant, l'encadrement de la sous-traitance et des transferts hors UE. RGPD-Express traite ces briques selon le périmètre réel de votre structure, défini lors du cadrage.
RGPD-Express remplace-t-il un avis juridique ?
Non. RGPD-Express est un outil d'accompagnement opérationnel qui vous aide à formaliser votre documentation RGPD. Il ne constitue pas un avis juridique et ne remplace pas la consultation d'un avocat ou d'un délégué à la protection des données pour les situations complexes ou contentieuses.
En quoi SYAGA est légitime pour m'accompagner sur le RGPD ?
SYAGA CONSULTING réalise des audits de sécurité et de conformité des systèmes d'information depuis 2009. Cette activité nous a conduits à documenter nous-mêmes, pour notre propre offre d'audit M365, un registre des traitements, des contrats de sous-traitance et une analyse d'impact complets et sourcés. RGPD-Express met cette même méthodologie au service de votre structure.

Prêt à structurer votre conformité RGPD ?

Écrivez-nous pour un cadrage initial et un devis personnalisé, sans engagement.

RGPD-Express est un outil d'accompagnement opérationnel. Il ne constitue pas un avis juridique et ne se substitue pas à la consultation d'un avocat ou d'un délégué à la protection des données.

Veille réglementaire - sources officielles

Ce que dit vraiment le texte, traduit en langage simple. Chaque point renvoie au texte officiel.

Le RGPD, c'est quoi au juste ?

C'est le texte européen qui encadre la collecte et l'utilisation des données personnelles (clients, salariés, prospects...). Il a été adopté le 27 avril 2016 et publié au Journal officiel de l'Union européenne le 4 mai 2016.

Depuis quand il s'applique

Le règlement est entré en vigueur vingt jours après sa publication, mais il n'est réellement applicable que depuis le 25 mai 2018. C'est cette date qui compte pour vos obligations concrètes.

Le registre des traitements : le document de base

Vous devez tenir la liste de ce que vous faites avec les données personnelles : pour quoi, avec qui, combien de temps vous les gardez, comment vous les protégez. Une exception existe pour les structures de moins de 250 salariés, mais seulement si le traitement est occasionnel, une activité commerciale régulière n'en bénéficie pas.

Faut-il nommer un délégué à la protection des données (DPO) ?

Ce n'est obligatoire que dans trois situations précises : vous êtes un organisme public, ou votre activité principale consiste à surveiller des personnes de façon régulière et à grande échelle, ou à traiter à grande échelle des données sensibles. En dehors de ces cas, nommer un DPO reste facultatif.

En cas de fuite de données : 72 heures pour prévenir l'autorité

Si des données personnelles sont perdues, volées ou exposées, vous devez en informer la CNIL (ou l'autorité compétente) au plus tard 72 heures après en avoir eu connaissance, sauf si le risque pour les personnes est négligeable. Vous devez aussi garder une trace écrite de chaque incident.

Si le risque est élevé, vos clients ou salariés doivent aussi être prévenus

Quand une fuite de données fait courir un risque élevé aux personnes concernées, vous devez les informer directement, en langage clair et simple. Vous pouvez être dispensé de cette communication si les données étaient chiffrées ou si vous avez déjà neutralisé le risque.

Les sanctions en clair

En cas de manquement, l'amende peut aller jusqu'à 10 millions d'euros (ou 2% du chiffre d'affaires mondial de l'entreprise) pour les manquements les plus courants, et jusqu'à 20 millions d'euros (ou 4% du chiffre d'affaires mondial) pour les atteintes les plus graves aux droits des personnes, c'est toujours le montant le plus élevé qui est retenu. Le montant réel dépend de la gravité, de la bonne foi et de la coopération avec l'autorité.

Cette veille est une synthèse pédagogique établie à partir des textes officiels cités ci-dessus (EUR-Lex et CNIL). Elle ne remplace pas une lecture juridique du texte et ne constitue pas un avis juridique.