Conformité — RGPD volet IT
Le RGPD ne se limite pas aux cookies et aux mentions légales.
L'article 32 impose à toute organisation traitant des données personnelles de mettre en œuvre des mesures techniques appropriées. Ces mesures doivent être documentées, proportionnées aux risques, et démontrables en cas de contrôle de la CNIL.
Évaluer mes mesures techniques RGPDCe que l'article 32 RGPD vous demande
Pseudonymisation et chiffrement
- Chiffrement des disques durs des postes (BitLocker ou équivalent)
- Chiffrement des sauvegardes
- Chiffrement des échanges (HTTPS, VPN pour les accès distants)
Confidentialité, intégrité, disponibilité et résilience
- Sauvegardes régulières, testées, stockées hors site
- Plan de reprise d'activité documenté
- Supervision et détection des incidents
Restauration rapide en cas d'incident
- Restauration testée régulièrement, pas juste théorique
- Délais de reprise définis et documentés
- Procédure de notification CNIL sous 72 h en cas de violation
Gestion des accès
- Gestion des droits d'accès par profil
- Authentification forte (MFA) sur les systèmes traitant des données sensibles
- Journalisation des accès
- Procédure d'offboarding : coupure des accès dès le départ d'un collaborateur
Évaluation continue
- Audits de sécurité périodiques
- Tests de restauration documentés
- Mise à jour des mesures en fonction de l'évolution des risques
Ce que l'offre Conformité+ couvre
L'offre Conformité+ (57 €/poste/mois) couvre les exigences de l'article 32.
| Exigence RGPD art. 32 | Ce que Conformité+ apporte |
|---|---|
| Chiffrement des données | BitLocker managé sur tous les postes |
| Sauvegardes régulières et testées | CDP 3×/jour, rétention 90 jours, test semestriel documenté |
| Restauration rapide | Restauration en masse en 1 clic, PRA documenté |
| Gestion des accès | Gestion des comptes M365, MFA, politique de mots de passe |
| Contrôle des transferts de données | DLP : transferts de données sensibles contrôlés et journalisés |
| Évaluation continue | Audit annuel de sécurité, rapport mensuel |
| Documentation | Politique SI documentée, charte informatique |
Questions fréquentes
Mon DPO s'occupe du RGPD. N'est-ce pas suffisant ?
Le DPO couvre le volet juridique et organisationnel. Le volet technique (chiffrement, sauvegardes, gestion des accès, journalisation) relève de votre prestataire informatique. Les deux sont nécessaires et complémentaires.
Le RGPD s'applique-t-il à une PME de 15 personnes ?
Oui. Le RGPD s'applique à toute organisation traitant des données personnelles, quelle que soit sa taille. Dès que vous gérez des données clients, des données RH ou des données de contact, vous êtes concerné.
Comment la CNIL contrôle-t-elle les PME sur le RGPD ?
Les contrôles CNIL peuvent être déclenchés par une plainte d'un client ou d'un employé, ou de façon proactive dans le cadre de campagnes sectorielles. En cas de violation de données (ransomware, fuite), la notification obligatoire déclenche automatiquement une analyse de la CNIL.
Quelles preuves dois-je conserver pour le RGPD volet IT ?
Les résultats de vos audits de sécurité, les logs de vos tests de restauration, la documentation de votre politique de sécurité, vos procédures de gestion des accès et vos contrats avec vos prestataires IT. Notre offre Conformité+ produit ces documents mensuellement.
Vos mesures techniques RGPD sont-elles à la hauteur ?
Un audit identifie les mesures en place, celles qui manquent et celles qui ne sont pas documentées. Résultat : un rapport que votre DPO peut utiliser directement.
Évaluer mes mesures techniques RGPD