Cas d'usage

Un audit adapté à votre secteur.

Les exigences RGPD ne s'appliquent pas de la même façon à tous les secteurs. La grille d'audit MSDN Consulting est ajustée à votre activité réelle pour aller à l'essentiel — celui qui figure réellement dans le viseur de la CNIL pour votre profil d'entreprise.

Secteur 01

E-commerce & vente en ligne

Les sites marchands sont la cible prioritaire des contrôles CNIL en procédure simplifiée. Cookies de traçage, transferts publicitaires vers les États-Unis et gestion des consentements concentrent l'essentiel des manquements sanctionnés.

Pénalités CNIL 2025
15 à 20 000 €
Procédure type
Simplifiée

Les sujets que nous regardons en priorité

  • Bannière de consentement cookies — refus aussi simple que l'acceptation, déclenchement effectif des refus, finalités explicites, modalités de retrait du consentement.
  • Google Analytics et traceurs publicitaires — vérification du déclenchement uniquement après consentement, encadrement du transfert vers les États-Unis via le Data Privacy Framework.
  • Comptes clients et durées de conservation — politique de conservation des données pour les clients inactifs, suppression effective après la durée légale comptable.
  • Avis clients et témoignages — modération conforme, gestion du droit à l'oubli, durée d'affichage maximale.
  • Newsletter et prospection — double opt-in, traçabilité du consentement, gestion du désabonnement effectif.
  • Sous-traitants e-commerce — DPA avec votre plateforme (Shopify, WooCommerce, PrestaShop), votre processeur de paiement, votre outil d'emailing.
Secteur 02

Recrutement & ressources humaines

La gestion des candidatures et des dossiers salariés concentre des données sensibles et des durées de conservation strictes. Une majorité des plaintes CNIL en PME provient d'ex-salariés ou de candidats refusés ayant constaté une conservation excessive de leurs données.

Origine des plaintes
1ère cause
Durée de conservation candidats
2 ans max

Les sujets que nous regardons en priorité

  • Gestion des CV et candidatures — base légale de la collecte, durée de conservation après refus, information du candidat sur ses droits.
  • Tri automatisé et scoring de candidatures — encadrement renforcé par le RGPD (article 22) et par l'IA Act 2026 qui classe ces usages en haut risque.
  • Dossier du personnel — accès restreint, durées de conservation par type de pièce, archivage des dossiers d'ex-salariés.
  • Données de santé et arrêts maladie — traitement avec base légale spécifique, accès strictement limité au service paie et RH.
  • Numéro de sécurité sociale (NIR) — usage strictement limité aux finalités légales, jamais utilisé comme identifiant interne.
  • Géolocalisation, vidéosurveillance, contrôle d'accès — information collective des salariés, déclaration au CSE, durée de conservation des enregistrements.
Secteur 03

Santé, médical & paramédical

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD, soumises à une protection renforcée. Cabinets médicaux, professionnels paramédicaux, structures de bien-être collectent et traitent des données dont la mauvaise gestion expose à des sanctions significatives et à des incidents de notoriété.

Catégorie RGPD
Article 9
Hébergement données
HDS requis

Les sujets que nous regardons en priorité

  • Hébergeur de données de santé (HDS) — vérification de la certification HDS de votre prestataire d'hébergement, conformité du contrat à l'arrêté du 11 juin 2018.
  • Prise de rendez-vous en ligne — bases légales pour Doctolib, Maiia ou équivalents, encadrement des transferts, gestion du consentement.
  • Téléconsultation et outils collaboratifs — chiffrement de bout en bout, registre des téléconsultations, archivage des comptes-rendus.
  • Dossier patient et conservation — durée de conservation conforme aux obligations sectorielles (20 ans pour les médecins, autres durées pour le paramédical).
  • Communication avec les patients — SMS de rappel, email de confirmation, encadrement du consentement préalable.
  • Sous-traitants techniques — DPA renforcés avec hébergeur, éditeur de logiciel métier, prestataire de sauvegarde.
Secteur 04

Associations & structures à but non lucratif

Les associations sont soumises au RGPD au même titre que les entreprises, mais disposent de moyens internes plus limités. La gestion des adhérents, des donateurs et des bénévoles soulève des enjeux spécifiques de conservation et de communication, régulièrement à l'origine de plaintes CNIL.

Sanctions CNIL 2024
Plusieurs
Profil exposé
Donateurs

Les sujets que nous regardons en priorité

  • Fichier adhérents et bases de données — finalités, durées de conservation, gestion des départs et radiations.
  • Fichier donateurs et campagnes — base légale du traitement (consentement ou intérêt légitime), exclusion conforme des personnes ayant exercé leur droit d'opposition.
  • Communication par email et courrier — opt-in vs opt-out selon le canal, mention du droit d'opposition sur chaque envoi.
  • Bénévoles et engagement — données collectées, durée de conservation, distinction avec les fichiers salariés.
  • Données fiscales et reçus — durée de conservation comptable (10 ans), accès restreint, archivage sécurisé.
  • Bureaux et instances — gestion des données des administrateurs élus, durée d'archivage des procès-verbaux mentionnant des personnes physiques.
Votre secteur n'est pas listé ?

Le périmètre couvre toutes les PME et TPE.

Les quatre secteurs présentés ci-dessus sont les plus fréquents dans notre activité, mais la méthode d'audit s'applique à toute structure traitant des données personnelles : industrie, conseil, BTP, services aux entreprises, restauration, formation professionnelle, agences digitales, cabinets comptables, et au-delà.

La grille d'entretien est adaptée à votre activité réelle lors du diagnostic préalable. Aucun secteur n'est exclu, sauf ceux qui relèvent d'une certification réglementaire spécifique (hospitalier au sens strict, défense, organismes financiers réglementés ACPR), pour lesquels nous orientons vers des cabinets spécialisés.

Vérifier la pertinence pour mon activité
Prochaine étape

Échangeons sur les spécificités de votre activité.

Un rendez-vous de vingt minutes pour identifier les points sensibles propres à votre secteur, avant tout engagement. La grille d'audit est ajustée à votre métier réel.

Réserver un créneau →