Règlement UE 2016/679 (RGPD) — toute organisation qui traite des données personnelles de résidents européens est soumise à une obligation de conformité documentée.
Règlement UE 2016/679 · RGPD

Kit documentaire RGPD — Conformité Règlement UE 2016/679

Constituez votre dossier RGPD opposable à la CNIL en quelques semaines, pas en plusieurs mois.

  • 100 documents construits article par article
  • Cartographie complète RGPD + Loi Informatique & Libertés
  • Registres, politiques et procédures éditables
  • Conçu pour les contrôles CNIL et audits donneurs d'ordre
Découvrir le kit complet
Équivalent 8 000 — 20 000 € de prestation conseil
Téléchargement immédiat Garantie 30 jours Format Word éditable
Kit documentaire RGPD
100
Documents inclus
15
Domaines RGPD couverts
100 %
Articles cartographiés
20 M€
Amende max. RGPD évitée
Pour qui est ce kit

Conçu pour toute organisation qui traite des données personnelles.

Le kit RGPD s'adresse aux responsables de traitement comme aux sous-traitants, quelle que soit leur taille, dès lors qu'ils collectent, utilisent ou stockent des données personnelles de résidents européens.

1

DPO & responsables conformité

Délégués à la Protection des Données (internes ou externalisés), responsables conformité et juristes qui doivent constituer, tenir à jour et produire le dossier RGPD opposable à la CNIL.

2

Dirigeants PME & ETI

Gérants, DAF et directions qui portent la responsabilité juridique du traitement (art. 24 RGPD) et qui doivent démontrer leur conformité face aux clients, partenaires et à la CNIL.

3

RSSI & responsables IT

Responsables sécurité des SI et DSI qui doivent articuler les mesures techniques et organisationnelles (art. 32) avec la politique documentaire RGPD, les AIPD et la gestion des violations.

4

Consultants & cabinets conseil

Consultants RGPD, avocats spécialisés et cabinets d'accompagnement qui souhaitent disposer d'un socle documentaire validé pour démarrer rapidement leurs missions clients (licence cabinet sur demande).

Pourquoi ce kit existe

Le RGPD ne se rédige pas en partant d'une page blanche.

Le Règlement UE 2016/679 couvre 99 articles dont une trentaine imposent directement des documents, des registres ou des procédures écrites. Construire l'ensemble en interne demande 3 à 6 mois de travail rédactionnel, et expose à des manquements sanctionnés par la CNIL.

01

Les modèles gratuits ne suffisent pas pour un contrôle CNIL

La plupart des templates téléchargés en ligne sont des registres simplifiés ou des politiques de confidentialité isolées. Ils ignorent les exigences liées : AIPD (art. 35), notification de violation (art. 33-34), contrats sous-traitants (art. 28), transferts hors UE (art. 44-49), gestion des droits (art. 15-22).

02

Les sanctions CNIL montent fortement depuis 2023

La CNIL a prononcé en moyenne plusieurs dizaines de sanctions par an ces dernières années, avec des amendes allant de quelques milliers d'euros à plusieurs dizaines de millions. Le plafond RGPD atteint 20 M€ ou 4 % du chiffre d'affaires mondial — le montant le plus élevé des deux.

03

Les donneurs d'ordre exigent la conformité RGPD dans les contrats

Les grands comptes, administrations publiques et collectivités demandent désormais systématiquement un dossier RGPD, un contrat sous-traitant signé (art. 28) et parfois une AIPD dans leurs cahiers des charges. Sans dossier prêt, le référencement fournisseur ne se fait pas.

04

Une mission conseil représente 8 000 à 20 000 €

Une prestation complète de mise en conformité RGPD pour une PME facturée par un cabinet spécialisé ou un DPO externalisé représente 10 à 30 jours d'intervention. Le kit documentaire vous donne le socle rédactionnel complet — vous gardez votre budget pour la mise en œuvre terrain et les AIPD spécifiques.

Contenu du kit

100 documents organisés par obligation RGPD et article de référence.

Le kit couvre les 15 domaines de conformité RGPD (articles 5 à 49 du Règlement UE 2016/679) ainsi que les obligations spécifiques de la Loi française Informatique & Libertés (modifiée par la loi du 20 juin 2018) et les lignes directrices CNIL et EDPB. Chaque document est rattaché à un ou plusieurs articles normatifs précis.

Domaine 1 · Art. 37-39

Gouvernance & DPO

  • Politique générale de protection des données
  • Lettre de mission du DPO (art. 37)
  • Procédure de désignation & notification CNIL (art. 37.7)
  • Fiche de poste DPO (art. 39 — 5 missions)
  • Charte d'indépendance du DPO (art. 38.3)
  • Rapport annuel d'activité DPO
Domaine 2 · Art. 30

Registres des activités de traitement

  • Registre du responsable de traitement (art. 30.1 — 7 champs)
  • Registre du sous-traitant (art. 30.2 — 4 champs)
  • Fiche de traitement type
  • Procédure de création & mise à jour du registre
  • Cartographie des traitements par finalité
  • Note sur la dérogation < 250 employés (art. 30.5)
Domaine 3 · Art. 6, 7, 8, 9, 10

Bases légales, consentement & catégories particulières

  • Procédure de qualification de la base légale (art. 6 — 6 bases)
  • Procédure de recueil du consentement (art. 7)
  • Modèle de formulaire de consentement
  • Procédure de retrait du consentement (art. 7.3)
  • Procédure consentement des mineurs (art. 8, seuil 15 ans France)
  • Procédure données sensibles (art. 9 — 10 dérogations)
  • Procédure données pénales (art. 10)
Domaine 4 · Art. 12, 13, 14

Information des personnes

  • Mentions d'information collecte directe (art. 13)
  • Notice d'information collecte indirecte (art. 14)
  • Politique de confidentialité site web
  • Politique cookies & traceurs (directive 2002/58/CE)
  • Mentions RH candidats & salariés
  • Modèle d'icônes normalisées (art. 12.7)
Domaine 5 · Art. 15-22

Droits des personnes concernées

  • Procédure globale d'exercice des droits (art. 12 — délai 1 mois + 2 mois)
  • Modèle de réponse droit d'accès (art. 15)
  • Modèle de réponse droit de rectification (art. 16)
  • Modèle de réponse droit à l'effacement (art. 17)
  • Modèle de réponse droit à la limitation (art. 18)
  • Modèle de réponse droit à la portabilité (art. 20)
  • Modèle de réponse droit d'opposition (art. 21)
  • Procédure de vérification d'identité du demandeur (art. 12.6)
  • Procédure de notification aux destinataires (art. 19)
  • Registre des demandes d'exercice de droits
Domaine 6 · Art. 22

Décision automatisée & profilage

  • Procédure décision automatisée & profilage (art. 22)
  • Matrice des traitements à effet juridique significatif
  • Procédure d'intervention humaine & contestation
  • Information spécifique de la personne concernée (art. 13.2.f, 14.2.g, 15.1.h)
Domaine 7 · Art. 35, 36

Analyse d'impact (AIPD)

  • Procédure AIPD (art. 35 — 4 éléments obligatoires § 7)
  • Matrice de déclenchement AIPD (3 cas art. 35.3 + liste CNIL)
  • Modèle d'AIPD complet (méthode CNIL PIA)
  • Grille d'évaluation des risques (considérant 75)
  • Procédure de consultation préalable CNIL (art. 36)
  • Procédure de réexamen AIPD (art. 35.11)
Domaine 8 · Art. 32

Sécurité des traitements

  • Politique de sécurité des SI (PSSI)
  • Politique de gestion des habilitations
  • Procédure de chiffrement & pseudonymisation (art. 32.1.a)
  • Procédure de sauvegarde & résilience (art. 32.1.c)
  • Procédure de test régulier des MTO (art. 32.1.d)
  • Charte informatique salariés
  • Matrice mesures techniques & organisationnelles
Domaine 9 · Art. 33, 34

Violations de données

  • Procédure de gestion des violations (art. 33, 34)
  • Registre interne des violations (art. 33.5)
  • Modèle de notification CNIL sous 72h (art. 33.3)
  • Modèle de communication aux personnes (art. 34.2)
  • Grille d'évaluation du risque pour les droits
Domaine 10 · Art. 26, 28

Sous-traitance & responsabilité conjointe

  • Clauses contractuelles type art. 28 — 10 obligations (DPA)
  • Procédure de sélection & audit des sous-traitants
  • Grille d'évaluation sous-traitant RGPD
  • Registre des sous-traitants
  • Accord de responsabilité conjointe (art. 26)
  • Procédure de sous-sous-traitance (art. 28.2 et 28.4)
  • Procédure d'audit annuel sous-traitants
Domaine 11 · Art. 27, 44-49

Transferts hors UE & représentant UE

  • Procédure de qualification des transferts (art. 44-49)
  • Cartographie des transferts hors EEE
  • Clauses contractuelles types (CCT) 2021 — modules 1 à 4 (art. 46.2.c)
  • Procédure TIA (Transfer Impact Assessment) post-Schrems II
  • Registre des transferts internationaux
  • Politique BCR (art. 47 — 14 éléments) pour groupes internationaux
  • Procédure requêtes d'autorités étrangères (art. 48)
  • Procédure désignation représentant UE (art. 27)
Domaine 12 · Art. 25

Privacy by Design & durées de conservation

  • Procédure Privacy by Design & by Default (art. 25)
  • Matrice des durées de conservation (principe art. 5.1.e)
  • Procédure d'archivage intermédiaire & définitif
  • Procédure de purge & anonymisation
  • Checklist projet conforme Privacy by Design
  • Note sur les traitements ne nécessitant pas identification (art. 11)
Domaine 13 · Art. 88

Traitements RH & relations de travail

  • Procédure traitements RH (art. 88)
  • Registre RH dédié (candidats, salariés, anciens salariés)
  • Procédure de surveillance sur le lieu de travail
  • Procédure de télétravail & outils collaboratifs
  • Procédure de transfert de données salariés intra-groupe
  • Note sur les conventions collectives & accords d'entreprise
Domaine 14 · Art. 89

Archives, recherche & statistiques

  • Procédure de traitement à des fins archivistiques (art. 89.1)
  • Procédure de traitement à des fins de recherche scientifique
  • Procédure de traitement à des fins statistiques
  • Matrice des dérogations art. 89.2 et 89.3 (droits art. 15, 16, 18, 19, 20, 21)
  • Procédure de pseudonymisation pour finalités compatibles
Domaine 15 · Art. 5.2, 24, 31

Documentation, accountability & coopération CNIL

  • Manuel de conformité RGPD (art. 5.2, 24)
  • Procédure de maîtrise documentaire RGPD
  • Plan de formation & sensibilisation RGPD
  • Procédure d'audit interne RGPD (15 domaines)
  • Grille d'audit RGPD
  • Tableau de bord de conformité RGPD
  • Procédure de coopération avec la CNIL (art. 31)
  • Procédure de gestion d'un contrôle CNIL (sur place, sur pièces, en ligne)
Loi française & CNIL

Conformité Loi Informatique & Libertés

  • Procédure articulation RGPD / Loi 78-17 modifiée (loi du 20 juin 2018)
  • Procédure formalités spécifiques (NIR — art. 87 RGPD + décret NIR)
  • Procédure traitements de santé & données de justice
  • Procédure prospection B2B / B2C (LCEN + art. L34-5 CPCE)
  • Matrice de cartographie RGPD ↔ Loi I&L ↔ lignes directrices CNIL
Format de livraison : tous les documents sont fournis au format Microsoft Word (.docx) entièrement éditables, avec une charte graphique neutre prête à recevoir votre logo. Aucun PDF verrouillé, aucune dépendance à un logiciel propriétaire. Les registres et la matrice de cartographie sont livrés au format Excel.
Cartographie normative

Chaque article RGPD → un document du kit.

Le RGPD est un règlement à obligation de responsabilité démontrable (accountability, art. 5.2 et 24). Face à un contrôle CNIL ou à un audit donneur d'ordre, la première question est toujours la même : "montrez-moi votre documentation". Voici la cartographie article par article entre le texte réglementaire et les documents fournis.

Article RGPD Exigence du règlement Documents fournis dans le kit
Art. 5 Principes relatifs au traitement : licéité, finalité, minimisation, exactitude, conservation limitée, sécurité, responsabilité (accountability) Politique générale RGPD Manuel de conformité Matrice des durées de conservation Procédure de minimisation
Art. 6 Licéité du traitement — 6 bases légales (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime) + test de compatibilité (art. 6.4) Procédure qualification base légale Test de pondération intérêt légitime Test de compatibilité finalité ultérieure
Art. 7 Conditions applicables au consentement : preuve, distinction, retrait aussi simple que le recueil Procédure consentement Formulaire consentement Procédure retrait
Art. 8 Consentement des enfants pour les services de la société de l'information (seuil 16 ans UE ; 15 ans en France) Procédure consentement mineurs Mécanisme de vérification parentale
Art. 9 Catégories particulières de données (origine, opinions, santé, biométrie, génétique, orientation sexuelle) — 10 dérogations Procédure données sensibles Matrice dérogations art. 9.2
Art. 10 Données à caractère personnel relatives aux condamnations pénales et aux infractions Procédure données pénales Matrice autorisations sous contrôle autorité publique
Art. 11 Traitement ne nécessitant pas l'identification — exonération partielle art. 15 à 20 Note traitements sans identification
Art. 12 — 14 Information transparente des personnes concernées, collecte directe (art. 13) et indirecte (art. 14) + modalités d'exercice des droits (art. 12, délai 1 mois + 2 mois) Mentions collecte directe (art. 13) Notice collecte indirecte (art. 14) Politique de confidentialité Politique cookies Mentions RH Modèle icônes normalisées
Art. 15 — 21 Droits des personnes concernées : accès (15), rectification (16), effacement / droit à l'oubli (17), limitation (18), portabilité (20), opposition (21) Procédure globale exercice des droits Modèle réponse accès Modèle réponse rectification Modèle réponse effacement Modèle réponse limitation Modèle réponse portabilité Modèle réponse opposition Vérification identité (art. 12.6) Registre des demandes
Art. 19 Obligation de notification aux destinataires de toute rectification, effacement ou limitation Procédure notification destinataires Registre des destinataires par traitement
Art. 22 Décision individuelle automatisée et profilage produisant des effets juridiques ou affectant significativement la personne Procédure décision automatisée & profilage Matrice des traitements à effet juridique Procédure intervention humaine & contestation
Art. 24 — 25 Responsabilité du responsable de traitement, Privacy by Design & by Default Manuel de conformité Procédure Privacy by Design Checklist projet PbD
Art. 26 Responsabilité conjointe entre responsables de traitement — accord écrit définissant les obligations respectives Accord de responsabilité conjointe Procédure qualification co-responsable
Art. 27 Désignation d'un représentant dans l'Union par les responsables ou sous-traitants non établis dans l'UE mais ciblant des résidents européens (art. 3.2) Procédure désignation représentant UE Mandat écrit type
Art. 28 Obligations du sous-traitant et contrat écrit de sous-traitance — 10 clauses obligatoires (§ 3 a à h) Clauses contractuelles art. 28 (DPA) Procédure sélection sous-traitants Grille d'évaluation Registre sous-traitants Procédure sous-sous-traitance (art. 28.2, 28.4) Procédure audit annuel
Art. 30 Registre des activités de traitement (responsable 30.1 + sous-traitant 30.2) — dérogation < 250 employés sous conditions Registre responsable (art. 30.1) Registre sous-traitant (art. 30.2) Fiche de traitement type Procédure mise à jour Note dérogation < 250 employés
Art. 31 Coopération avec l'autorité de contrôle — obligation de mettre les registres à disposition et d'assister l'autorité Procédure coopération CNIL Procédure gestion contrôle CNIL (sur place, pièces, en ligne)
Art. 32 Sécurité des traitements : pseudonymisation, chiffrement, confidentialité, intégrité, disponibilité, résilience + test régulier des MTO Politique de sécurité SI Gestion des habilitations Chiffrement & pseudonymisation Sauvegarde & résilience Procédure test régulier MTO Matrice MTO Charte informatique
Art. 33 — 34 Notification à la CNIL sous 72h (art. 33) et communication aux personnes concernées en cas de risque élevé (art. 34) Procédure violations Registre interne violations (art. 33.5) Notification CNIL 72h Communication aux personnes Évaluation du risque
Art. 35 — 36 Analyse d'impact (AIPD) obligatoire dans 3 cas (art. 35.3) + consultation préalable CNIL si risque résiduel élevé (art. 36) Procédure AIPD (4 éléments art. 35.7) Matrice de déclenchement Modèle AIPD complet Grille d'évaluation des risques Procédure réexamen AIPD (art. 35.11) Consultation préalable CNIL
Art. 37 — 39 Désignation, fonction et missions du DPO — 3 cas obligatoires (art. 37.1), indépendance (art. 38.3), 5 missions minimum (art. 39) Lettre de mission DPO Procédure désignation Fiche de poste (5 missions art. 39) Charte d'indépendance (art. 38.3) Rapport annuel
Art. 44 — 49 Transferts vers pays tiers : décision d'adéquation (45), garanties appropriées (46), dérogations (49) Procédure qualification transferts Cartographie transferts Clauses contractuelles types 2021 (art. 46.2.c) Procédure TIA post-Schrems II Procédure dérogations (art. 49) Registre transferts
Art. 47 Règles d'entreprise contraignantes (BCR) pour groupes — 14 éléments obligatoires (§ 2 a à n) Politique BCR Procédure d'approbation BCR par CNIL
Art. 48 Transferts ou divulgations non autorisés par le droit de l'Union — encadrement des requêtes de juridictions/autorités étrangères (type CLOUD Act) Procédure requêtes d'autorités étrangères Grille d'évaluation accord international applicable
Art. 88 Traitement de données dans le cadre des relations de travail — dispositions spécifiques nationales (conventions collectives, accords d'entreprise) Procédure traitements RH Registre RH (candidats, salariés, anciens) Procédure surveillance lieu de travail Procédure télétravail
Art. 89 Garanties et dérogations pour traitement à des fins archivistiques d'intérêt public, recherche scientifique ou historique, ou statistiques Procédure fins archivistiques Procédure recherche scientifique Procédure fins statistiques Matrice dérogations art. 89.2 et 89.3
Loi I&L + CNIL Obligations françaises complémentaires : loi 78-17 modifiée (20 juin 2018), formalités spécifiques (NIR — art. 87 RGPD, santé, justice), prospection B2B/B2C (L34-5 CPCE + LCEN), lignes directrices CNIL Articulation RGPD / Loi I&L Formalités spécifiques NIR / santé / justice Prospection B2B/B2C Matrice cartographie CNIL
Non inclus Livrables spécifiques à chaque traitement et à chaque organisation — qui doivent être produits au cas par cas par votre DPO, votre RSSI ou votre équipe conformité Registre rempli (vos traitements) AIPD complètes (par traitement à risque) DPA signés (par sous-traitant) TIA remplies (par transfert) BCR approuvées par CNIL (procédure dédiée) Notifications CNIL effectives Audits de sécurité techniques (pentest, ISO 27001) Formation personnalisée équipes
Pourquoi ces livrables ne peuvent pas être fournis préremplis — quel que soit le fournisseur.

Le registre rempli, les AIPD complètes, les contrats sous-traitants signés, les TIA renseignées et les notifications CNIL effectives sont par nature spécifiques à chaque organisation et à chaque traitement. Ils dépendent de vos finalités exactes, des données que vous traitez, de vos destinataires, de vos bases légales, de vos sous-traitants, des pays de transfert, des risques réels pour les personnes concernées.

Un kit qui prétendrait fournir ces livrables préremplis produirait mécaniquement une non-conformité : un registre générique n'est pas opposable, une AIPD non personnalisée engage la responsabilité du DPO qui la signerait, une TIA copiée ne couvre pas le risque juridique réel. Ces livrables doivent être rédigés organisation par organisation, par les personnes qualifiées (DPO, RSSI, juriste, responsable métier).

Le kit Management Qualité vous fournit en revanche toutes les procédures, toutes les matrices et tous les modèles qui encadrent la production de ces livrables spécifiques : procédure AIPD complète, matrice de déclenchement, grille d'évaluation, modèle de registre, clauses contractuelles type — soit tout le cadre documentaire dans lequel votre dossier RGPD s'inscrit.
Par ailleurs, cette cartographie est livrée sous forme de matrice Excel dans le kit. Elle peut être présentée telle quelle à un contrôleur CNIL, à un client donneur d'ordre ou à un auditeur comme preuve de couverture réglementaire complète.
Pour les professionnels expérimentés

Conformité technique — les points que regarde un contrôleur CNIL chevronné.

Au-delà du mapping article par article, voici les points de rigueur que les DPO expérimentés, contrôleurs CNIL et auditeurs RGPD vérifient en premier.

  • Qualification de la base légale (art. 6) — documentée par traitement, pas un simple "intérêt légitime" générique. Test de pondération pour l'art. 6.1.f, justification du consentement pour les cookies non essentiels
  • Consentement des mineurs (art. 8) — seuil fixé à 15 ans en France (ordonnance 12 déc. 2018). Mécanisme de vérification parentale documenté pour les services de la société de l'information
  • Données pénales (art. 10) — traitement autorisé uniquement sous contrôle de l'autorité publique ou par disposition spécifique du droit UE/national, distinct des données sensibles art. 9
  • Durées de conservation (art. 5.1.e) — définies par finalité, avec distinction base active / archivage intermédiaire / archivage définitif, conformes aux référentiels CNIL sectoriels
  • Registre opposable (art. 30) — niveau de granularité "traitement" et non "logiciel" ou "service", 7 champs obligatoires côté responsable, 4 côté sous-traitant, tenue à jour datée
  • AIPD : déclenchement (art. 35.3) — 3 cas obligatoires (profilage avec effet juridique, traitement à grande échelle de données sensibles/pénales, surveillance systématique zone publique) + liste CNIL du 6 nov. 2019
  • Notification violation sous 72h (art. 33) — horloge qui démarre à la prise de connaissance, pas à la qualification. Procédure d'évaluation formelle avant décision de notifier ou non
  • Communication aux personnes (art. 34) — déclenchée par le "risque élevé" pour les droits et libertés, distincte de la notification CNIL. Exceptions bien cadrées (art. 34.3)
  • Décision automatisée & profilage (art. 22) — droit de ne pas faire l'objet d'une décision automatisée produisant effets juridiques ou significatifs. Intervention humaine documentée, droit de contestation
  • Contrats sous-traitants art. 28 — 10 obligations complètes du § 3 (instructions, confidentialité, sécurité, sous-sous-traitance, droits, assistance art. 32-36, suppression, audit effectif)
  • Transferts hors UE post-Schrems II — TIA (Transfer Impact Assessment) systématique, identification des mesures supplémentaires, traitement spécifique des États-Unis (Data Privacy Framework)
  • Requêtes d'autorités étrangères (art. 48) — divulgation reconnue uniquement sur fondement d'un accord international en vigueur (traité d'entraide judiciaire), sinon refus documenté
  • Représentant UE (art. 27) — obligation pour les responsables ou sous-traitants non établis dans l'UE mais traitant des données de résidents européens, sauf dérogations
  • Articulation DPO / RSSI / Direction — indépendance du DPO documentée (art. 38.3), rattachement direct au niveau le plus élevé, absence de conflit d'intérêts, moyens suffisants
  • Traitements RH (art. 88) — dispositions spécifiques permises par le droit national / conventions collectives (recrutement, surveillance lieu de travail, télétravail, données salariés intra-groupe)
  • Archives / recherche / statistiques (art. 89) — dérogations aux droits art. 15, 16, 18, 19, 20, 21 possibles sous réserve de garanties techniques et organisationnelles (pseudonymisation en priorité)
  • Accountability démontrable (art. 5.2 + 24) — pas un slogan mais une chaîne de preuves : politique → procédure → enregistrement → audit → revue de direction. C'est ce que regarde la CNIL en premier
  • Articulation avec la loi française — Loi I&L modifiée (20 juin 2018), formalités résiduelles NIR / données de santé / justice, dispositions pénales (L226-16 à 226-24 du Code pénal)

RGPD : portée extraterritoriale (art. 3)

Le RGPD s'applique au-delà de l'Union européenne dès qu'une organisation cible des résidents européens ou suit leur comportement. Être conforme RGPD vous positionne également face à plusieurs réglementations "RGPD-like" dans le monde.

Union européenne (27) Royaume-Uni (UK GDPR) Suisse (nLPD) Brésil (LGPD) Californie (CCPA/CPRA) Canada (PIPEDA) Japon (APPI) Corée du Sud (PIPA)
Comparatif

Pourquoi le kit Management Qualité plutôt qu'une autre option.

Critère Kit MQ RGPD
389 €		 Templates gratuits
0 €		 DPO externalisé / cabinet
8 000 — 20 000 €
Couverture des 15 domaines RGPD ✓ 100 % Partielle ✓ 100 %
Cartographie article par article RGPD ✓ Matrice Excel Selon mission
Articulation Loi française I&L modifiée ✓ Inclus Selon mission
Clauses sous-traitants art. 28 (DPA) Rares
Procédure AIPD + modèle CNIL PIA Rarement
Format Word éditable, charte neutre Variable
Délai de mise à disposition Immédiat Immédiat 3 à 6 mois
Garantie de remboursement ✓ 30 jours
Registre rempli & AIPD personnalisées À votre charge À votre charge Incluses
Mise en œuvre & formation équipes À votre charge À votre charge Incluses
Le kit ne remplace pas la fonction DPO ni un audit de sécurité technique — il vous donne le socle rédactionnel complet de votre dossier RGPD. C'est précisément la partie où un cabinet ou un DPO externalisé facture le plus cher. Pour un accompagnement à la mise en œuvre ou une mission DPO externalisée, nous proposons aussi des prestations sur mesure.
Audit flash RGPD

Où en êtes-vous aujourd'hui ?

Répondez aux 15 questions article par article pour obtenir votre score de maturité RGPD. Résultat immédiat, gratuit, aucune information personnelle demandée.

Question 1 / 15
Domaine 1 — Gouvernance & DPO
0
/ 100

Obtenir le kit RGPD — 389 €
Processus de déploiement

De la commande au dossier RGPD opposable, voici la route.

Le kit ne se contente pas d'être livré. Voici le chemin concret pour le mettre en production dans votre organisation, étape par étape.

1
Jour 1

Téléchargement

Paiement sécurisé, accès immédiat au kit complet en ZIP. Vous disposez des 100 documents Word, des registres Excel et du manuel d'utilisation dans les minutes qui suivent.

2
Semaines 1 — 3

Personnalisation

Adaptation des documents à votre organisation : logo, organigramme, finalités réelles, traitements, sous-traitants, transferts. Comptez 2 à 3 semaines pour une personnalisation sérieuse par le DPO ou l'équipe conformité.

3
Semaines 4 — 8

Mise en œuvre

Remplissage du registre, signature des DPA sous-traitants, lancement des AIPD à risque, déploiement des politiques et formation des équipes. Les premières preuves d'accountability sont collectées.

4
Semaines 8 — 10

Audit blanc

Audit interne avec la grille fournie dans le kit. Identification des derniers écarts, plan d'actions, préparation à un éventuel contrôle CNIL ou à un audit donneur d'ordre RGPD.

Délai typique : 8 à 10 semaines entre la commande et un état "prêt pour contrôle CNIL". Les organisations les plus structurées atteignent cet état en 6 semaines ; celles qui partent de zéro peuvent prendre jusqu'à 14 semaines. Ce sont vos ressources internes (DPO, RSSI, juriste) qui font la différence, pas le kit.
Ils utilisent le kit

Ce que disent les organisations qui l'ont adopté.

★★★★★

Un gain de temps considérable. Les procédures étaient claires, directement exploitables, et la cartographie article par article m'a permis de présenter un dossier propre à notre premier grand compte.

C
Claire
DPO externalisé · Cabinet conseil RGPD, Nantes
★★★★★

Rédigé par des gens qui connaissent réellement le RGPD. Les clauses art. 28, la procédure AIPD et la matrice des durées de conservation sont solides, pas des squelettes.

T
Thomas
RSSI · ETI services numériques, Lyon
★★★★★

Le rapport qualité-prix est imbattable. Nous avons monté notre conformité RGPD en 8 semaines au lieu des 6 mois annoncés par le cabinet que nous avions consulté.

M
Marie
Directrice juridique · PME e-commerce, Bordeaux
★★★★★

Documents Word totalement personnalisables, charte neutre, vocabulaire juridique précis. Les modèles de réponse aux demandes d'exercice de droits nous ont fait gagner plusieurs heures par demande.

P
Pierre
DPO interne · Association, Paris
Sans risque

Garantie 30 jours, sans condition.

Garantie 30 jours satisfait ou remboursé

Vous testez le kit. Si vous changez d'avis, on vous rembourse.

Vous avez 30 jours pour télécharger le kit, examiner son contenu, ouvrir les documents, vérifier que la qualité rédactionnelle correspond à vos attentes. Si quelque chose ne va pas, vous nous écrivez un email — sans justification — et le remboursement est traité sous 5 jours ouvrés. C'est aussi simple que ça.

Le kit vit avec vous

Mises à jour incluses pendant 12 mois.

Le RGPD évolue : nouvelles lignes directrices EDPB, décisions CJUE, délibérations CNIL, réformes françaises. Le kit que vous achetez aujourd'hui ne doit pas devenir obsolète dans 6 mois. C'est pourquoi les mises à jour sont incluses.

12 mois de mises à jour réglementaires et jurisprudentielles

En cas d'évolution significative du RGPD, de publication de nouvelles lignes directrices EDPB ou CNIL impactant les documents, ou de décision CJUE majeure (type Schrems), vous recevez gratuitement les mises à jour pertinentes du kit pendant 12 mois après votre achat.

  • Révisions RGPD & Loi I&L
  • Nouvelles lignes directrices EDPB
  • Délibérations & recommandations CNIL
  • Notifications par e-mail dès publication
Questions fréquentes

Les réponses à vos interrogations.

Le kit suffit-il pour passer un contrôle CNIL ou un audit RGPD donneur d'ordre ?

Le kit vous donne le socle documentaire complet exigé par le RGPD et la Loi Informatique & Libertés modifiée. Pour passer un contrôle ou un audit, il faut aussi remplir le registre avec vos traitements réels, signer les DPA avec vos sous-traitants, réaliser les AIPD sur vos traitements à risque et documenter vos preuves d'accountability. Le kit fait gagner les 3 à 6 mois de rédaction. La mise en œuvre opérationnelle reste votre travail (généralement 4 à 8 semaines selon la taille de l'organisation et le nombre de traitements).

Quelle est la différence avec un template gratuit téléchargé en ligne ?

Un template générique est souvent un registre simplifié ou une politique de confidentialité isolée. Il ne couvre pas les exigences liées : AIPD (art. 35), notification de violation sous 72h (art. 33-34), contrats sous-traitants complets (art. 28), transferts hors UE post-Schrems II (art. 44-49), procédure d'exercice des droits (art. 15-22). Le kit MQ est rédigé comme un système documentaire cohérent, avec une cartographie article par article vérifiable et une articulation claire avec la Loi française Informatique & Libertés modifiée.

Qui contrôle réellement la conformité RGPD en France ?

L'autorité principale en France est la CNIL (Commission Nationale de l'Informatique et des Libertés), qui peut réaliser des contrôles sur place, sur pièces, en ligne ou sur convocation. Les pouvoirs d'enquête de la CNIL sont larges : accès aux locaux, aux systèmes, aux documents, auditions. Les sanctions peuvent aller jusqu'à 20 M€ ou 4 % du CA mondial, le montant le plus élevé étant retenu. Les donneurs d'ordre (grands comptes, administrations, collectivités) mènent par ailleurs leurs propres audits fournisseurs RGPD, souvent plus ciblés que les contrôles CNIL.

Combien de temps faut-il pour adapter le kit à mon organisation ?

Comptez 2 à 3 semaines pour personnaliser les documents : logo, organigramme, noms des finalités, liste des traitements, sous-traitants habituels, transferts. Ensuite il faut compter le temps de mise en œuvre opérationnelle : remplissage du registre, signature des DPA, AIPD à risque, formation du personnel, audit blanc — soit 4 à 8 semaines supplémentaires selon la taille de l'organisation et le nombre de traitements à cartographier.

Le kit est-il livré au format Word ou PDF ?

Tous les documents sont fournis au format Microsoft Word (.docx) entièrement éditables. Aucun PDF verrouillé, aucune dépendance à un logiciel propriétaire. Les registres (responsable et sous-traitant) et la matrice de cartographie RGPD ↔ Loi I&L sont livrés au format Excel. La charte graphique est neutre, prête à recevoir votre logo et vos couleurs.

Le kit couvre-t-il les spécificités françaises (Loi I&L, NIR, prospection) ?

Oui. Le RGPD est complété en France par la Loi 78-17 modifiée (dite "Loi Informatique & Libertés" modifiée par la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018) et par les lignes directrices de la CNIL. Le kit inclut une procédure d'articulation RGPD / Loi I&L, les formalités spécifiques résiduelles (NIR, données de santé, fichiers justice), la procédure de prospection conforme à l'art. L34-5 du CPCE et à la LCEN, ainsi qu'une matrice de cartographie qui croise les obligations.

Le kit est-il adapté aux sous-traitants au sens de l'article 28 ?

Oui. Le kit distingue clairement les obligations du responsable de traitement et celles du sous-traitant. Il inclut le registre du sous-traitant (art. 30.2), les clauses contractuelles type côté sous-traitant, la procédure de gestion des instructions du responsable, la procédure de notification au responsable en cas de violation, la procédure de sous-sous-traitance avec autorisation. Un sous-traitant peut utiliser le kit directement pour démontrer sa conformité auprès de ses clients.

Combien d'utilisateurs / entités sont couverts par la licence ?

La licence à 389 € couvre une organisation unique (une entité juridique), avec usage interne illimité (tous vos collaborateurs peuvent utiliser le kit). Pour un déploiement groupe multi-entités ou une utilisation en cabinet conseil / DPO externalisé sur plusieurs clients, contactez-nous pour une licence adaptée.

Recevez-vous les mises à jour si le RGPD ou la doctrine CNIL évoluent ?

Oui. En cas d'évolution significative du RGPD, de la Loi Informatique & Libertés, des lignes directrices EDPB / CNIL ou d'une décision CJUE structurante (type Schrems II), vous recevez gratuitement les mises à jour pendant 12 mois après votre achat.

Que se passe-t-il si je ne suis pas satisfait ?

Vous bénéficiez d'une garantie de remboursement de 30 jours, sans condition. Vous nous écrivez un simple email — sans justification à fournir — et le remboursement est traité sous 5 jours ouvrés.

Passez à l'action

Votre dossier RGPD. Opposable. Prêt aujourd'hui.

100 documents, 15 domaines RGPD, conformité Loi Informatique & Libertés, cartographie article par article. Téléchargement immédiat après paiement.

Équivalent 8 000 — 20 000 € de prestation conseil
389 € Licence organisation unique · TTC · Paiement sécurisé · Téléchargement immédiat
Obtenir le kit RGPD
Garantie 30 jours sans condition Téléchargement immédiat Mises à jour 12 mois Format Word éditable