Audit RGPD complet
Cartographie des traitements, analyse des risques, gap analysis, rapport d'accountability, plan d'action chiffré priorisé sur 12 à 24 mois.
AccueilChoisissez
RGPD, conformité
Choisissez
la conformité.
RGPD, NIS2, DORA, IA Act. Audit, DPO externalisé, conformité sectorielle, sous-traitance, gestion d'incident. Approche juridique et technique, Diagnostic en 48 heures.
Trois enjeux
Crédibilité auprès de vos parties prenantes. Transparence avec vos utilisateurs. Sérénité face aux sanctions.
La conformité n'est pas un fardeau réglementaire, c'est un actif stratégique. Bien construite, elle protège, structure et accélère. Quatre cadres, RGPD, NIS2, DORA et IA Act, convergent désormais sur la même organisation.
Quatre piliers
Une approche conjointe juridique et technique
Diagnostic
Cartographier avant d'agir.
Audit organisationnel complet, inventaire des traitements, identification des risques et non-conformités, rapport d'accountability, plan d'action chiffré et priorisé.
Juridique
Documentation qui tient.
Charte de protection des données, contrats de sous-traitance (DPA), CGV, mentions légales, politique de confidentialité, transferts encadrés.
Technique
Sécurité by design.
Chiffrement, gestion des accès, journalisation, sauvegardes 3-2-1, archivage légal, anonymisation, pseudonymisation. Mesures techniques et organisationnelles documentées.
Formation
Acculturer pour pérenniser.
Sensibilisation des équipes, formation des référents internes, simulations phishing, plan de communication interne, contrôles continus et plan annuel.
Notre offre
Huit objectifs pour une conformité durable
Audit, DPO externalisé, NIS2, DORA, IA Act, privacy by design, gestion d'incident, formation, nous couvrons l'intégralité du périmètre de conformité numérique.
DPO externalisé
Mission complète : tenue du registre, AIPD, conseil interne, point de contact CNIL, gestion des demandes de droits, formation, reporting mensuel au COMEX.
Conformité NIS2
Audit cybersécurité, EBIOS RM, plan de mise en œuvre, documentation, gouvernance, formation du COMEX. Pour entités essentielles et importantes.
Conformité DORA
Résilience opérationnelle du secteur financier : gestion des risques TIC, tests de résilience, registre des prestataires tiers, notification d'incident.
IA Act conformité
Classification de vos systèmes IA, AIPD spécifiques, gouvernance IA, documentation technique (annexe IV), conformité au calendrier 2024-2026.
Privacy by design
Accompagnement des projets dès la conception : analyse d'impact préalable, choix d'architecture conformes, minimisation, sécurisation by default.
Gestion d'incident
Protocole d'urgence 24/7, qualification de violation, notification CNIL sous 72 h, communication aux personnes concernées, plan correctif, RETEX.
Formation et sensibilisation
Sessions sur mesure pour tous publics : équipes opérationnelles, comité de direction, DPO et référents, focus sectoriel possible.
Pourquoi CONCILIUM
Nos engagements défendables
Le marché de la conformité est saturé d'acteurs purement juridiques ou purement techniques. Voici ce qui nous rend différents.
- Juridique et techniqueLa conformité ne se résume pas à un avocat ni à un RSSI. Nous orchestrons les deux dimensions sous un seul projet, pour des livrables qui tiennent en justice et en production.
- DPO externalisé seniorPour les structures sans ressources internes, un DPO expert prend en charge l'intégralité de la mission. Plus économique et plus expert qu'un recrutement.
- Reporting mesurableIndicateurs de conformité, plan d'action priorisé, suivi mensuel ou trimestriel. La conformité progresse de manière chiffrée et défendable devant un audit.
Questions fréquentes
Pour aller au plus juste
Quelle différence entre RGPD, NIS2, DORA et IA Act ?+
RGPD (2018) : données personnelles. NIS2 (loi du 30 avril 2024) : cybersécurité des entités essentielles et importantes. DORA (depuis le 17 janvier 2025) : résilience opérationnelle du secteur financier. IA Act (2024-2026) : encadrement des systèmes d'IA selon le risque. Souvent applicables simultanément.
Faut-il un DPO interne ou externalisé ?+
PME et ETI : DPO externalisé, plus économique et plus expert. Grandes organisations ou secteurs sensibles (santé, finance) : DPO interne, accompagné d'un cabinet externe sur les sujets pointus.
Que se passe-t-il en cas de contrôle CNIL ?+
Accompagnement dès notification : préparation des documents (registre, AIPD, charte), répétition d'audition, accompagnement juridique, suivi des recommandations ou sanctions.
Que se passe-t-il en cas de violation de données ?+
Protocole 24/7 : alerte sous 1 h, qualification et mesures conservatoires, forensique, notification CNIL sous 72 h (obligation légale), information des personnes concernées si nécessaire (article 34), rapport et plan correctif sous un mois, RETEX.
Comment gérez-vous les cookies et le consentement ?+
Plateforme de consentement (Axeptio, Didomi, Tarteaucitron) conforme CNIL : recueil libre et éclairé, refus aussi simple que l'acceptation, choix conservé six mois maximum, audit annuel via CookieServe ou Cookie Inspector.
Une AIPD est-elle obligatoire pour mes traitements ?+
Oui dès qu'un traitement engendre un risque élevé : profilage à grande échelle, données sensibles, surveillance systématique, croisement de fichiers. Nous l'instruisons avec la méthode et l'outil PIA de la CNIL, et la versons au registre.
Comment encadrez-vous les transferts hors UE ?+
Selon le pays : décision d'adéquation (UK, Suisse, Canada, Japon, Corée, Israël, Nouvelle-Zélande, Argentine et autres), Clauses Contractuelles Types 2021, ou BCR. Pour les États-Unis, le Data Privacy Framework de juillet 2023, dont la pérennité reste à surveiller.
DORA me concerne-t-il ?+
DORA s'applique depuis le 17 janvier 2025 aux entités financières : banques, assurances, gestionnaires d'actifs, prestataires de paiement, plateformes de financement participatif, intermédiaires, agences de notation, dépositaires centraux. Cinq piliers, dont les tests de résilience TLPT pour les entités significatives.
Quel est le calendrier de l'IA Act ?+
Entrée en vigueur le 1er août 2024 ; interdictions depuis le 2 février 2025 ; obligations des modèles à usage général depuis le 2 août 2025 ; systèmes à haut risque à partir du 2 août 2026. Sanctions jusqu'à 35 M€ ou 7 % du CA mondial pour les systèmes interdits.
Qu'est-ce que NIS2 change pour nous ?+
Environ 15 000 entités visées. Au-delà des mesures techniques : gouvernance cyber obligatoire, notifications d'incident encadrées, responsabilité personnelle des dirigeants, sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
Avez-vous des références sectorielles ?+
Oui. Santé : HDS, MR-001 à MR-006, agrément CNIL. Finance : DORA, LCB-FT, PSD2 et PSD3, ACPR. Public : RGAA, RGS, RGI, RGESN, CCAG-TIC, délibérations CNIL. Défense : IGI 1300, SecNumCloud pour le Diffusion Restreinte, prestataires habilités au-delà.
Formez-vous nos équipes à la conformité ?+
Oui. Sessions sur mesure : équipes opérationnelles, comité de direction, DPO et référents. Focus sectoriel possible, simulations de phishing, sensibilisation aux droits des personnes et au protocole de violation. La conformité ne tient que si elle est comprise.
Ils nous font confiance
François Mattens
Directeur des affaires publiques · GICAT
« Une équipe dynamique et efficace, qui a participé à la modernisation de notre graphisme et de nos contenus. Un véritable accompagnement digital personnalisé, disponible en cas de rush. »
Alexandre Montay
Délégué général · METI
« Un accompagnement de grande qualité, tant pour le conseil en amont du projet que pour le développement du site. Efficacité des échanges, rapidité et rigueur d’exécution. »
RGPD et conformité
À lire aussi
Diagnostic en ligne, réponse sous 48 heures.
Mettons-vous en règle.
Présentez-nous votre activité, vos traitements et vos irritants. Nous revenons avec un diagnostic chiffré et un plan d'action sous 48 heures.