Diagnostic
Nous auditons les traitements de données personnelles tels qu'ils se déroulent réellement au quotidien — pas tels que décrits dans la documentation héritée — et identifions les lacunes, les risques et les priorités d'action.
Mise en œuvre et maintien du cadre de protection des données — le Règlement général sur la protection des données (UE) 2016/679 et la loi organique espagnole 3/2018 (LOPDGDD) — avec des modèles vivants, un canal de violation réel et la formation de l'équipe. Un service opérationnel dès le premier jour, pas un dossier de documents que plus personne n'ouvre.
La différence entre une entreprise conforme au RGPD et une entreprise qui possède seulement des papiers RGPD se voit le jour où survient une violation de données. La première a une procédure, un canal et une personne ; la seconde a une adresse e-mail générique et un dossier qu'on n'a pas rouvert depuis l'audit initial.
Nous travaillons sur l'activité réelle de l'entreprise : nous cartographions les traitements tels qu'ils se produisent, pas tels qu'ils sont décrits dans le modèle fourni avec le logiciel de gestion, et nous construisons le système sur cette réalité. Ce que nous livrons est un cadre qui évolue avec l'entreprise : des documents qui changent quand les processus changent, une formation périodique, des simulations de violation et une révision continue — pas un PDF signé une fois puis oublié.
Lorsqu'arrive l'inspection de l'AEPD, ou qu'un grand client demande un audit fournisseur, le travail est déjà fait. Et lorsque survient une violation de sécurité — car tôt ou tard cela arrive — vous savez qui appeler et dans quel ordre agir.
Le Règlement général sur la protection des données (UE) 2016/679 s'applique directement dans toute l'Union européenne depuis le 25 mai 2018 et concerne toute organisation, publique ou privée, qui traite des données personnelles de personnes physiques, quels que soient sa taille ou son chiffre d'affaires. Aucun seuil d'effectif ou de revenus n'exempte de la conformité : un indépendant avec trois clients et une multinationale sont soumis au même texte, même si l'ampleur de leurs obligations — et le risque réel — diffère fortement.
La loi organique espagnole 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD) développe le RGPD dans l'ordre juridique espagnol : elle précise les cas de désignation obligatoire du DPD (art. 34), encadre les traitements de vidéosurveillance (art. 22), les systèmes d'opposition à la prospection commerciale, les données des personnes décédées et les droits numériques au travail, et fixe le régime national de sanctions (art. 70 à 78) aligné sur les paliers de l'article 83 du RGPD. L'Agence espagnole de protection des données (AEPD) est l'autorité de contrôle compétente en Espagne et celle qui traite les réclamations, ouvre les procédures de sanction et publie les recommandations de référence du secteur.
Pour une PME, se conformer au RGPD et à la LOPDGDD signifie en pratique cinq choses : savoir quelles données personnelles elle traite et sur quelle base légale (art. 6), le documenter dans un registre des activités de traitement (art. 30), informer correctement les personnes concernées (art. 13 et 14), maîtriser les contrats avec les prestataires qui accèdent à ces données (art. 28), et être prête à répondre aussi bien à une demande d'exercice de droits qu'à une violation de sécurité dans les délais légaux.
Le RGPD ne se résout pas avec une seule page ni un seul document : c'est un système de gestion composé de briques spécialisées qui se combinent selon le risque et le secteur de chaque organisation. Cette page est le point de départ — la carte des obligations — et depuis ici nous relions les services qui couvrent chaque front concret : le DPD externe lorsque la désignation est obligatoire ou renforce le système, la gestion des violations de sécurité, la mise en conformité de la vidéosurveillance avec l'article 22 de la LOPDGDD, la procédure de traitement des droits des personnes concernées, et les déclinaisons sectorielles pour la santé, l'éducation et les administrations locales.
Toutes les organisations n'ont pas besoin des mêmes briques du silo : un cabinet de cinq salariés résout probablement sa conformité avec la mise en conformité de base et un canal de violations ; une clinique ou une école auront presque certainement besoin en plus d'un DPD externe inscrit auprès de l'AEPD ; et une mairie ou une entreprise installant des caméras ajoute la brique vidéosurveillance. Le diagnostic initial détermine quelle combinaison s'applique à votre cas concret, sans vendre de services superflus.
Le régime de sanctions de l'article 83 du RGPD comporte deux paliers : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les infractions les moins graves (registre des traitements incomplet, contrats de sous-traitance absents, défaut de désignation du DPD lorsqu'elle est obligatoire), et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les plus graves (absence de base légale, violation des principes du traitement, manquement systématique aux droits). La LOPDGDD, dans ses articles 72 à 74, transpose ces paliers dans l'ordre juridique espagnol et ajoute des délais de prescription selon la gravité de l'infraction.
L'AEPD n'agit pas uniquement d'office : la plupart des procédures de sanction s'ouvrent à la suite d'une réclamation d'un particulier ou de la notification d'une violation de sécurité mal gérée. Disposer d'un système documenté et opérationnel avant qu'un incident ne survienne fait, en pratique, la différence entre une sanction et un dossier classé sans suite.
Détection de la violation
Canal direct, sans formulaire. Une personne humaine pendant les heures ouvrables ; permanence en dehors.
Classification et endiguement
L'équipe active la procédure documentée et contient l'incident.
Analyse d'impact
Données personnelles concernées ? Combien de personnes affectées ? Données de catégorie particulière ?
Décision de notification
Le cas échéant : notification à l'autorité de contrôle sous 72 heures et aux personnes concernées sans délai injustifié.
Nous auditons les traitements de données personnelles tels qu'ils se déroulent réellement au quotidien — pas tels que décrits dans la documentation héritée — et identifions les lacunes, les risques et les priorités d'action.
Nous élaborons le registre des activités de traitement, les politiques de confidentialité, les clauses d'information et les procédures de réponse. Des documents vivants, rédigés pour l'activité réelle, pas des modèles téléchargés.
Formation de l'équipe, simulation de violation de sécurité et modèles opérationnels testés avant de déclarer le système actif : rien n'est livré sans vérifier que cela fonctionne.
Révision continue du registre et des contrats de sous-traitance, audit annuel avec compte-rendu, et réponse immédiate à tout incident ou demande de l'AEPD.
Le détail opérationnel : ce que nous livrons dans le cadre de la mission et ce que nous maintenons actif par la suite.
Registre des activités de traitement
Document central de l'article 30 du RGPD : chaque traitement de données personnelles, sa finalité, sa base légale, les catégories de données, les cessions à des tiers et les durées de conservation.
Politique de confidentialité et clauses contractuelles
Mentions légales, politique de confidentialité, clauses d'information pour les salariés, clients et fournisseurs, rédigées pour respecter l'obligation d'information des articles 13 et 14 du RGPD.
Contrats de sous-traitance
Révision et rédaction des accords exigés par l'article 28 du RGPD avec tout prestataire accédant à des données personnelles : logiciels, cabinet comptable, hébergement en nuage, maintenance informatique.
AIPD · analyse d'impact
Pour les traitements à haut risque selon les critères du Comité européen de la protection des données (art. 35 RGPD) : vidéosurveillance étendue, profilage automatisé, traitement à grande échelle de catégories particulières de données.
Canal de gestion des violations
Procédure opérationnelle de détection, confinement, évaluation du risque et, le cas échéant, notification à l'AEPD sous 72 heures (art. 33) et communication aux personnes concernées lorsque le risque est élevé (art. 34).
Prise en charge des droits des personnes concernées
Procédure et modèles de réponse pour l'accès, la rectification, l'effacement, l'opposition, la portabilité et la limitation, dans les délais de l'article 12 du RGPD.
Formation de l'équipe
Sessions adaptées au poste de chaque personne, avec support propre et test d'évaluation. Éligible au financement FUNDAE lorsque l'entreprise cotise à la formation.
Audit annuel de conformité
Révision complète une fois par an, avec compte-rendu et plan de corrections, pour arriver à toute inspection ou due diligence client avec le travail déjà fait.
Le RGPD européen et la LOPDGDD espagnole coexistent et se complètent.
Le RGPD traverse l'ensemble des systèmes et des processus.
Oui. Le RGPD s'applique à toute organisation, publique ou privée, grande ou petite, qui traite des données personnelles de personnes physiques au sein de l'Union européenne. Aucun seuil de chiffre d'affaires ou d'effectif n'exempte de la conformité ; ce qui varie, c'est l'ampleur des obligations concrètes selon le risque du traitement.
Le registre n'a pas de date d'expiration, mais l'article 30 du RGPD exige qu'il soit tenu à jour. Nous le révisons chaque année et à chaque nouveau traitement — un CRM différent, un nouveau prestataire, un service en ligne supplémentaire.
Nous activons le canal en moins de 24 heures. Nous vous aidons à documenter l'incident, à évaluer si la notification à l'AEPD sous 72 heures (art. 33 RGPD) s'impose et, si le risque est élevé, à communiquer avec les personnes concernées conformément à l'article 34.
Cela dépend du secteur. Dans la santé, l'éducation, les entités religieuses et les autres secteurs de l'article 34 de la LOPDGDD, oui, quelle que soit la taille. En dehors de ces cas, c'est recommandé mais pas obligatoire. Nous le clarifions lors du diagnostic initial et, le cas échéant, le couvrons avec notre service de DPD externe.
Le RGPD est un règlement européen d'application directe depuis 2018 ; la LOPDGDD est la loi espagnole qui le développe, précise les cas de DPD obligatoire, encadre des matières spécifiques comme la vidéosurveillance au travail et fixe le régime national de sanctions. Ils s'appliquent conjointement, pas alternativement.
Pour une PME de taille moyenne avec des traitements habituels (clients, salariés, fournisseurs), la mise en conformité complète demande en général de quatre à huit semaines. Pour des organisations avec des traitements plus complexes — établissements de santé, établissements scolaires, entreprises traitant un grand volume de données — le délai peut s'allonger.
Oui. Le traitement des données du personnel (paie, contrôle du temps de travail, vidéosurveillance au travail, messagerie professionnelle) est soumis au RGPD et, pour la vidéosurveillance et le contrôle du temps, à des règles spécifiques de la LOPDGDD sur les droits numériques au travail.
C'est l'une des raisons les plus courantes pour lesquelles une PME accélère sa mise en conformité RGPD : de plus en plus de grandes entreprises exigent de leurs fournisseurs qu'ils justifient de leur conformité au RGPD avant de signer ou de renouveler un contrat. Avec le système documenté, cet audit se résout en quelques jours, pas en semaines.
Non, ce sont des briques différentes du même silo. La mise en conformité RGPD construit le système complet (registre, politiques, contrats, formation) ; le DPD externe est la fonction de supervision et d'interlocution avec l'AEPD exigée par l'article 37 du RGPD dans certains cas. Beaucoup d'organisations commencent par la mise en conformité et ajoutent le DPD lorsque leur secteur l'exige ou pour renforcer le système.
Elles sont intégrées au registre des traitements dès le diagnostic initial, comme tout nouveau traitement. Il n'est pas nécessaire de repartir de zéro : nous partons de ce que l'organisation traite déjà et le documentons, en corrigeant ce qui doit l'être, sans interrompre l'activité pendant l'ajustement.