Audit RGPD pour PME : avocat et DPO à Béziers et Montpellier

Cartographie des traitements, registre, analyse d'impact, plan de conformité opérationnel. Une mise en conformité pragmatique adaptée aux PME

Six ans après l'entrée en application du RGPD, beaucoup de PME demeurent dans une zone grise : un texte rapidement copié, un registre incomplet, une politique de confidentialité non mise à jour, des sous-traitants non encadrés. La CNIL intensifie ses contrôles et les sanctions atteignent désormais des montants significatifs même pour des entreprises de taille moyenne.

Maître Azzabi intervient à Béziers et Montpellier en audit, mise en conformité et fonction de DPO externalisé. Maître Azzabi est titulaire d'un Diplôme Universitaire de Délégué à la Protection des Données obtenu à l'Université de Montpellier en 2022, complément technique indispensable à la formation juridique. Son approche : une conformité pragmatique, calibrée selon la taille et les risques réels de votre entreprise.

Nos prestations RGPD pour PME

Audit de conformité

Diagnostic complet de votre conformité, hiérarchisé par niveau de risque.

  • Cartographie des traitements (entretiens services métiers)
  • Évaluation des bases légales
  • Audit des durées de conservation
  • Audit des mesures de sécurité (article 32 RGPD)
  • Rapport d'audit avec plan d'action priorisé

DPO externalisé

Une fonction DPO clé en main, sans recruter en interne.

  • Désignation officielle auprès de la CNIL
  • Mise à jour permanente du registre
  • Point de contact CNIL et personnes concernées
  • Réponse aux demandes de droits (accès, effacement, portabilité)
  • Sensibilisation et formation des équipes

Analyse d'impact (AIPD)

Méthodologie CNIL pour les traitements à risque élevé.

  • Description du traitement et de ses finalités
  • Évaluation de la nécessité et de la proportionnalité
  • Identification et évaluation des risques
  • Mesures pour répondre aux risques
  • Validation et consultation préalable de la CNIL si nécessaire

Gestion des violations de données

Intervention en urgence (72h pour notifier la CNIL).

  • Qualification juridique de la violation
  • Notification CNIL dans les 72 heures
  • Information des personnes concernées le cas échéant
  • Documentation interne (registre des violations)
  • Coordination avec l'équipe IT / prestataire

Documentation conforme : ce que tout PME doit avoir

Un dossier de conformité RGPD comprend au minimum :

  • Registre des activités de traitement (article 30 RGPD), obligatoire dès le premier traitement, sauf exceptions très limitées
  • Politique de confidentialité conforme à l'article 13 RGPD, accessible publiquement
  • Mentions d'information sur les formulaires, contrats, supports de collecte
  • Contrats de sous-traitance aux clauses de l'article 28 RGPD (sous-traitants : hébergeurs, prestataires SaaS, outils marketing, paie...)
  • Politique de cookies et bannière de consentement conforme aux recommandations CNIL
  • Procédure interne de gestion des demandes de droits
  • Procédure interne de gestion des violations
  • Procédures de sécurité (gestion des accès, sauvegardes, chiffrement, mots de passe)

Un audit, une mise en conformité ou un DPO externalisé ?

Premier rendez-vous : 120€ TTC

Opérations connexes

Questions fréquentes

Oui, le RGPD s'applique dès lors que l'entreprise traite des données personnelles, quelle que soit sa taille. Une PME de 10 salariés qui gère un fichier clients, des CV reçus, des données de connexion sur son site, est pleinement soumise. Seules quelques obligations (registre allégé, DPO obligatoire) varient selon la taille et le type de traitements. Les sanctions de la CNIL atteignent 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel.

L'audit cartographie l'ensemble des traitements de données personnelles (clients, prospects, salariés, fournisseurs, candidats), évalue leur conformité (bases légales, durée de conservation, sécurité, sous-traitance), identifie les écarts, hiérarchise les risques (notamment via une analyse d'impact si nécessaire), et produit un plan d'action chiffré. Le cabinet remet un rapport d'audit, un registre des traitements RGPD-compatible, et un plan de conformité opérationnel.

La désignation est obligatoire dans 3 cas (article 37 RGPD) : autorités publiques, traitements à grande échelle nécessitant un suivi régulier et systématique, traitements à grande échelle de données sensibles. Dans les autres cas, elle est facultative mais souvent recommandée : un DPO externalisé permet de bénéficier d'une expertise sans recruter en interne. Maître Azzabi est titulaire d'un Diplôme Universitaire de Délégué à la Protection des Données (Université de Montpellier, 2022).

L'Analyse d'Impact relative à la Protection des Données (AIPD ou PIA) est obligatoire quand un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (article 35 RGPD). La CNIL a publié des listes de traitements rendant l'AIPD obligatoire (vidéosurveillance étendue, biométrie pour accès, profilage à grande échelle, géolocalisation des salariés...). Le cabinet conduit l'AIPD selon la méthodologie CNIL.

Vous disposez de 72 heures pour notifier la CNIL si la violation présente un risque pour les droits et libertés des personnes (article 33 RGPD). Si le risque est élevé, les personnes concernées doivent aussi être informées (article 34). L'absence de notification est lourdement sanctionnée. Le cabinet intervient en urgence pour qualifier juridiquement la violation, conduire la notification, gérer la communication, et coordonner avec votre RSSI ou prestataire IT.