L'audit RGPD MSDN Consulting suit un protocole standardisé : un diagnostic externe préalable, un entretien guidé pour cartographier les traitements internes, une analyse experte croisée, et la livraison d'un dossier complet directement exploitable.
Avant tout contrat, un diagnostic externe de votre site est réalisé sur la base de ses éléments publics. Cette analyse couvre treize points de contrôle techniques que la CNIL examine en premier lors d'un contrôle en ligne, ainsi que la conformité de votre politique de confidentialité aux exigences des articles 12 à 14 du RGPD.
Ce diagnostic constitue le support du rendez-vous découverte. Lors d'un échange en visioconférence de vingt minutes, les principales non-conformités identifiées vous sont présentées, ainsi que la méthode et les conditions de l'audit complet. Aucune obligation ni engagement de votre part à ce stade.
Le diagnostic externe ne couvre que la partie visible de votre activité. L'audit complet exige une cartographie de l'ensemble de vos traitements de données internes : relation client, gestion commerciale, ressources humaines, comptabilité et paie, sous-traitance, prospection, recrutement, gestion des litiges.
Cette cartographie est conduite via un entretien guidé d'environ quarante-cinq minutes, structuré par secteur d'activité. Les questions sont adaptées à votre métier — nous n'évaluons pas le périmètre e-commerce d'une entreprise industrielle, ni les flux RH d'une structure sans salarié. L'entretien peut se dérouler en visioconférence accompagnée ou en autonomie via une interface dédiée, à votre convenance.
Les éléments du diagnostic externe et de la cartographie interne sont consolidés et croisés. Chaque traitement identifié est analysé sur six axes : finalité, base légale au sens de l'article 6, catégories de données, durée de conservation, destinataires et sous-traitants, transferts hors Union européenne. La nécessité d'une analyse d'impact relative à la protection des données est évaluée pour chaque traitement à risque élevé.
La phase d'analyse aboutit à la rédaction d'un rapport structuré, à la production du registre des traitements au format conforme à l'article 30, à la préparation des modèles de DPA pour vos sous-traitants identifiés, et à la rédaction d'une politique de confidentialité couvrant les mentions obligatoires des articles 12 à 14. Un plan d'action priorisé sur douze mois clôture le rapport.
Le rapport est remis le jour J+3, accompagné de l'ensemble des livrables annexes. La restitution proprement dite se déroule le jour J+5, pour vous laisser le temps d'une première lecture. Cette visioconférence de vingt minutes parcourt les principaux constats, hiérarchise les actions par criticité, et répond à toutes les questions de mise en œuvre.
À l'issue de la restitution, votre entreprise dispose d'un dossier complet, autonome, et directement utilisable par vos équipes, votre conseil juridique ou votre assureur cyber. Les sept jours suivant la livraison du rapport ouvrent une période de garantie : si le livrable ne vous apporte pas de valeur identifiable, l'acompte est remboursé intégralement.
Le diagnostic externe analyse votre site exclusivement à partir d'éléments publics, comme le ferait un agent de la CNIL lors d'un contrôle en ligne. Aucune intrusion, aucun accès à vos systèmes internes. Voici la liste exhaustive des points examinés.
La grille de contrôle est publique, documentée, et alignée sur les recommandations officielles de la CNIL. Vous pouvez la transmettre à votre conseil juridique ou à votre équipe technique pour vérification indépendante. Cette transparence est une condition de la crédibilité du rapport — pas un argument commercial.
L'audit RGPD ne se conclut pas par un dashboard à consulter sur une plateforme tierce, mais par un dossier de fichiers que vous possédez intégralement, et que vous pouvez transmettre à qui de droit sans intermédiaire.
Document PDF de vingt-cinq à quarante pages. Synthèse exécutive, analyse détaillée par domaine, matrice des risques, feuille de route. Conçu pour être directement annexable à un dossier CNIL ou à un dossier d'assurance cyber.
Fichier Excel structuré au format de l'article 30 du RGPD. Une ligne par traitement, avec finalité, base légale, catégories de données, destinataires, durées de conservation, mesures de sécurité. Directement éditable par vos équipes.
Contrats de sous-traitance pré-remplis pour chaque sous-traitant identifié dans votre cartographie. Conformes à l'article 28 du RGPD, prêts à être envoyés en signature ou à être annexés à vos contrats commerciaux existants.
Texte complet de la politique de confidentialité à publier sur votre site, couvrant l'ensemble des mentions obligatoires des articles 12 à 14. Personnalisée selon votre activité réelle, pas un modèle générique.
Liste priorisée des actions à mener, avec niveau de criticité, échéance recommandée, et estimation de complexité. Les actions urgentes sont identifiées comme telles, les actions de fond sont étalées sur l'année.
Synthèse spécifique destinée à votre courtier ou assureur cyber : posture de conformité, mesures techniques en place, plan d'amélioration. Évite les allers-retours et accélère le renouvellement ou la souscription.
La transparence sur ce que nous faisons impose une transparence équivalente sur ce que nous ne faisons pas. Voici les cas pour lesquels une autre prestation, ou un autre prestataire, est plus adapté.
L'audit Express comprend un diagnostic externe non intrusif, qui n'analyse que les éléments publics du site. Un test d'intrusion, qui cherche activement à exploiter des vulnérabilités, relève d'une prestation distincte juridiquement encadrée (article 323-1 du Code pénal). Pour ce type de mission, nous orientons vers des cabinets pentest référencés ANSSI.
La cartographie réalisée lors de l'audit Express repose sur vos déclarations en entretien. Elle ne comprend pas d'inspection technique de vos systèmes internes — CRM, ERP, serveurs de paie. Pour une analyse approfondie de ces systèmes, un audit dédié de plusieurs jours est nécessaire, sortant du périmètre Express.
Le rapport documente votre posture et fournit les éléments factuels nécessaires à une éventuelle défense en cas de plainte CNIL ou de contentieux. En revanche, la défense juridique elle-même — préparation des mémoires, représentation devant la CNIL ou les juridictions — relève d'un avocat spécialisé que nous ne nous substituons pas.
L'audit Express est une prestation de conseil. Si votre structure relève des cas obligeant à désigner un Délégué à la Protection des Données au sens de l'article 37, cette mission est proposée séparément, dans le cadre de l'abonnement Premium qui inclut une désignation officielle à la CNIL.
La conformité finale au RGPD relève du responsable de traitement, conformément à l'article 24. Aucun prestataire ne peut juridiquement garantir la conformité d'une entreprise tierce. Ce que MSDN Consulting garantit : la qualité méthodologique de l'audit, l'exhaustivité du périmètre annoncé, et la valeur opposable du rapport.
Un rendez-vous de vingt minutes en visioconférence, sans engagement. Une garantie de remboursement de sept jours s'applique sur l'audit après livraison du rapport.
Réserver un créneau →