La conformité RGPD déduite de votre évaluation de sécurité.
Huit ans après son entrée en application, le RGPD reste le premier motif de contrôle et de sanction en Europe. C'est aussi la première demande de vos clients B2B. Komplyo évalue votre conformité article par article, génère registre et procédures, et déduit l'article 32 de vos mesures de sécurité déjà évaluées.
Ce que le RGPD attend d'une PME
Toute organisation qui traite des données personnelles est concernée. Les obligations concrètes dépendent de votre rôle et de vos traitements :
Responsable de traitement
Vous décidez des finalités : bases légales, information des personnes, registre, sécurité et pilotage de vos sous-traitants vous incombent directement.
Sous-traitant
Vous traitez pour le compte de clients. L'article 28 vous impose des garanties contractuelles, un registre spécifique et une assistance à vos clients. Souvent vérifiés en due diligence.
DPO ou référent
Le délégué à la protection des données n'est obligatoire que dans certains cas (suivi régulier et systématique à grande échelle, données sensibles). Un référent interne outillé reste indispensable dans tous les cas.
Les obligations RGPD, article par article
Komplyo évalue votre conformité en statut clair (conforme, partiel, manquant) sur les articles qui comptent :
Registre des traitements (art. 30)
La pièce demandée en premier par la CNIL comme par vos clients. Obligatoire dès que vos traitements ne sont pas occasionnels. En pratique, presque toujours.
Sécurité du traitement (art. 32)
Mesures techniques et organisationnelles « appropriées ». Chiffrement, contrôle d'accès, sauvegardes, tests. Komplyo les déduit de votre évaluation de sécurité. Pas de double questionnaire.
Violations de données (art. 33-34)
Notification à l'autorité sous 72 h, information des personnes en cas de risque élevé : il faut une procédure écrite et un responsable désigné avant l'incident.
Droits des personnes (art. 15-22)
Accès, rectification, effacement, portabilité, opposition : des processus pour répondre dans le délai d'un mois, avec vérification d'identité.
Sous-traitance (art. 28) et transferts (chap. V)
Contrats conformes avec vos prestataires, encadrement des transferts hors UE. Le point faible classique des stacks SaaS.
Analyse d'impact (art. 35)
L'AIPD s'impose pour les traitements à risque élevé : il faut savoir identifier ces cas et documenter l'analyse.
Un axe privacy à part entière, sans double saisie
Dans Komplyo, le RGPD n'est pas noyé dans un score de maturité. C'est un axe de conformité parallèle, évalué en statut clair par article. Et comme la sécurité est évaluée par ailleurs, l'article 32 est largement pré-rempli à partir de vos réponses NIST CSF 2.0.
- 44 questions RGPD en langage métier, couvrant les articles de sécurité comme les droits des personnes.
- Statut par article (conforme, partiel, manquant). Visible d'un coup d'œil dans le tableau de bord.
- Déduplication automatique : une mesure de sécurité déjà évaluée alimente l'article 32 sans nouvelle question.

Les documents de votre conformité RGPD
Générés depuis vos réponses, prêts pour un contrôle ou une due diligence client :
- Registre des activités de traitement
- Procédure de gestion des violations de données (72 h)
- Procédure d'exercice des droits des personnes
- Politique de protection des données
- Plan d'action priorisé sur les écarts constatés
Questions fréquentes sur le RGPD
Le registre des traitements est-il obligatoire pour une PME ?
L'exemption des moins de 250 salariés ne joue que si vos traitements sont occasionnels, sans risque et sans données sensibles. En pratique, presque aucune entreprise ne remplit ces trois conditions. Considérez le registre comme obligatoire.
Devons-nous désigner un DPO ?
Seulement si vous êtes un organisme public, si votre cœur d'activité implique un suivi régulier et systématique à grande échelle, ou des données sensibles à grande échelle. Sinon, un référent interne formé et outillé suffit. Mais il en faut un.
Quelles sanctions risque une PME ?
Jusqu'à 20 M€ ou 4 % du chiffre d'affaires annuel mondial pour les manquements les plus graves. Les sanctions réelles contre les PME sont plus modestes mais bien réelles. Le coût commercial d'une non-conformité visible (clients, appels d'offres) arrive souvent avant l'amende.
RGPD et NIS2 : faut-il deux démarches ?
Non. Les mesures de sécurité exigées par l'article 32 du RGPD et l'article 21 de NIS2 se recoupent largement. Komplyo les évalue une fois et projette vers les deux, chacune gardant son statut propre.
Où sont hébergées nos données d'évaluation ?
Dans l'Union européenne (base de données à Francfort), comme les documents générés. Une exigence que nous appliquons à nous-mêmes avant de vous la recommander.
Le diagnostic gratuit couvre-t-il le RGPD ?
Oui : 5 des 23 questions du diagnostic portent sur le RGPD et donnent un premier statut. L'évaluation complète approfondit ensuite avec les 44 questions de l'axe privacy.
Faites le point RGPD en quelques minutes
Le diagnostic gratuit inclut un premier statut RGPD. Sans compte, sans carte bancaire, hébergé dans l'UE.