Logo Stéphane Ulmer Conseil

Stéphane Ulmer Conseil

Votre bouclier contre les risques RGPD

Contactez-nous LinkedIn ↗
Réservez un appel →
Stéphane Ulmer Conseil » Questions fréquentes sur le RGPD et notre accompagnement

Questions fréquentes sur le RGPD et notre accompagnement

Sur le RGPD

❓ Mon organisation est-elle concernée par le RGPD ?

Toute organisation — publique ou privée, quelle que soit sa taille — qui traite des données personnelles de résidents européens est soumise au RGPD. Cela inclut une PME de 2 personnes, une association, un cabinet médical individuel ou une collectivité.

❓ Suis-je obligé de désigner un DPO ?

La désignation d’un DPO est obligatoire pour les organismes publics, les organisations dont l’activité principale implique un suivi régulier et à grande échelle des personnes (ex. assurances, banques, opérateurs télécom), et celles traitant à grande échelle des données sensibles (santé, judiciaires). Dans les autres cas, la désignation est fortement recommandée mais non obligatoire.

❓ Quelles sanctions risque-t-on en cas de non-conformité ?

La CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel. En pratique, en 2025, elle a prononcé 83 sanctions pour un montant total de 486 millions d’euros — dont deux amendes majeures (325M€ et 150M€) pour des manquements aux règles sur les cookies. Les 67 autres sanctions, prononcées en procédure simplifiée, concernent des structures de toutes tailles pour des manquements courants : sécurité insuffisante des mots de passe, absence de réponse à la CNIL, non-respect des droits des personnes. Au-delà de l’amende, les décisions rendues publiques nuisent à la réputation de l’organisme sanctionné. (Source : bilan des sanctions 2025, cnil.fr)

❓ Que risque-t-on concrètement si on ne fait rien ?

Au-delà des amendes, l’inaction expose à trois risques souvent sous-estimés. D’abord une mise en demeure publique : la CNIL publie ses décisions sur son site, ce qui peut nuire à votre réputation auprès de partenaires, financeurs ou patients. Ensuite une mise en conformité forcée dans l’urgence, sous contrainte et dans des délais imposés — bien plus coûteuse qu’une démarche volontaire. Enfin, une perte de confiance des personnes concernées si une violation de données survient sans que vous soyez en mesure de démontrer votre sérieux.

❓ Combien de temps dure une mise en conformité ?

Pour une petite structure (cabinet médical, association, commune de moins de 5 000 habitants), les actions prioritaires peuvent être bouclées en quelques jours à 8 semaines : registre des traitements, politique de confidentialité, gestion des cookies, contrats sous-traitants. Une mise en conformité complète et documentée demande généralement 3 à 6 mois. L’important est de démarrer par les points les plus exposés plutôt que de viser la perfection immédiate.

Sur nos prestations

❓ Quelle est la différence entre un consultant RGPD et un DPO externe ?

Le consultant intervient de manière ponctuelle : audit, mise en conformité, rédaction de documents. Le DPO externe est désigné officiellement auprès de la CNIL et exerce une mission continue, avec une responsabilité de conseil stratégique, de contrôle et d’interface avec l’autorité de contrôle. Les deux missions peuvent se combiner.

❓ Comment se déroule un audit RGPD ?

Un audit comprend généralement : un entretien de cadrage pour identifier vos traitements, une analyse de vos documents existants (politique de confidentialité, contrats sous-traitants, formulaires), une vérification technique des outils numériques utilisés, puis la livraison d’un rapport avec plan d’action priorisé. La durée varie selon la taille de l’organisation, de 1 à 5 jours voir plus.

❓ Intervenez-vous à distance ou uniquement sur Marseille ?

Les deux. La majorité des missions peut être réalisée à distance (visioconférence, accès aux documents partagés). Je me déplace physiquement sur Marseille et la région PACA pour les audits sur site ou les sessions de formation. Pour le reste de la France, j’interviens à distance ou en déplacement selon les besoins.

❓ Travaillez-vous avec des organisations de toutes tailles ?

Oui. Mes prestations s’adaptent à la structure : une PME de 10 salariés n’a pas les mêmes besoins ni le même budget qu’un établissement hospitalier de 500 agents. Le premier appel découverte gratuit permet de définir précisément ce dont vous avez besoin.

❓ Est-il possible de mutualiser un DPO externe entre plusieurs structures ?

Oui, c’est même encouragé par la CNIL pour les organismes de même secteur ou présentant des activités comparables (ex. plusieurs CPTS d’une même région, groupe de communes). Cette mutualisation permet de répartir le coût tout en bénéficiant d’une couverture complète.

❓ Que se passe-t-il en cas de contrôle CNIL ?

Un contrôle peut être déclenché suite à une plainte, une violation de données notifiée, ou sur initiative de la CNIL dans le cadre de ses thématiques prioritaires annuelles. Il peut se dérouler sur place, à distance ou sur pièces. La CNIL demande généralement à accéder à votre registre des traitements, vos politiques de confidentialité, vos contrats avec les sous-traitants et vos procédures internes. Une organisation qui peut produire ces documents rapidement démontre sa bonne foi — ce qui pèse dans la décision finale. Être accompagné d’un DPO désigné facilite considérablement la gestion d’un contrôle.