Cabinet de conformité RGPD pour les TPE, PME et associations. Registre des traitements, gestion des droits des personnes concernées, violations de données : une démarche de mise en conformité complète, du médico-social à la tech, partout en Occitanie et en France.
Une approche opérationnelle adaptée aux moyens réels des TPE, PME et associations.
Désignation du délégué à la protection des données (CNIL), registre des traitements art. 30, gestion des droits des personnes (accès, rectification, effacement, portabilité), violation de données, clauses sous-traitants, analyse d'impact (AIPD). Une démarche de conformité structurée et documentée.
En savoir plusDispositifs anti-blanchiment (immobilier, finance), audits de chaînes d'approvisionnement (or, tungstène, étain), ISO 37000.
En savoir plusDiagnostic de qualification, obligations applicables, plan d'action priorisé, livrables pour éditeurs SaaS, IoT et systèmes d'IA.
En savoir plusReporting de durabilité, stratégie ESG adaptée aux PME et associations, préparation à la labellisation B Corp.
En savoir plusChaque secteur a ses obligations propres. Nous les connaissons.
EHPAD, SAAD, SSIAD, SAMSAH, FAM, MAS, IME, associations multisites. RGPD spécialisé Santé.
Recherche médicale prospective (MR-001) et rétrospective (MR-004). Données de santé, protocoles dérogatoires CNIL.
Agents immobiliers Carte T/G/S, domiciliation, courtiers IOBSP, marchands d'art. RGPD, LCB-FT.
Audits de chaînes d'approvisionnement (or, tungstène, étain) pour raffineries et fonderies. Directive 3TG, RGPD, LCB-FT.
Éditeurs SaaS, objets connectés (IoT / IoMT), systèmes d'IA. CRA, Data Act, IA Act, RGPD.
Juriste spécialisée depuis plus de quinze ans dans les environnements à forts enjeux, j'ai exercé comme responsable juridique groupe pour un groupe agroalimentaire (3 000 salariés, 1,5 Md€ de CA, 34 filiales) puis comme Secrétaire Générale d'une filiale immobilière de la Caisse d'Épargne Midi-Pyrénées (750 M€ d'actifs gérés).
En 2023, j'ai fondé FINETHIQUE pour mettre cette expérience au service des TPE, PME et associations — qui font face aux mêmes obligations qu'un grand groupe, sans en avoir les ressources internes.
En tant que délégué à la protection des données certifié, j'accompagne les responsables de traitement dans leurs activités de traitement : cartographie des données à caractère personnel, rédaction du registre des traitements, durée de conservation, mesures de sécurité et notification à la CNIL en cas d'incident.
Télécharger la présentation FINETHIQUEUne conformité bien construite rationalise vos flux de données, simplifie vos formulaires et automatise vos procédures internes. Vos équipes se concentrent sur leur métier.
Clauses sous-traitants cadrées, violations de données maîtrisées, droits des personnes concernées traités dans les délais légaux : vous réduisez votre exposition contractuelle, assurantielle et réglementaire. Votre responsable du traitement dispose des preuves de conformité nécessaires en cas de contrôle de l'autorité de contrôle.
Une base de données juridiquement sécurisée est le seul socle qui vous autorise à exploiter vos données — commercial, analytique ou IA — sans risque de requalification.
Le délégué à la protection des données est une fonction définie aux articles 37 à 39 du RGPD. Trois missions lui sont confiées par le règlement : informer et conseiller le responsable du traitement sur ses obligations ; contrôler le respect du RGPD, en s'appuyant notamment sur le registre des traitements et les mesures de sécurité en place ; coopérer avec la CNIL et lui servir de point de contact en cas de contrôle ou de plainte.
Son indépendance est protégée par le règlement : il ne peut faire l'objet d'aucune sanction pour l'exercice de ses missions (art. 38.3 RGPD). Il accède à toutes les données traitées par l'organisation et peut être consulté par tout salarié de manière confidentielle.
Sa désignation est obligatoire dans trois cas précis : organismes publics, structures dont l'activité principale consiste à effectuer un suivi régulier et systématique des personnes à grande échelle, et structures traitant à grande échelle des données sensibles (santé, convictions religieuses, données pénales, biométrie).
L'article 37 du RGPD prévoit trois cas de désignation obligatoire :
En dehors de ces cas, la désignation reste fortement recommandée. Elle constitue un signal documenté de sérieux lors d'un appel d'offres, d'un audit ou d'une due diligence. Elle peut aussi être imposée contractuellement par vos donneurs d'ordre.
Si vous êtes un ESSMS, une structure médico-sociale, un cabinet de recrutement ou un agent immobilier, la désignation est le plus souvent justifiée au regard du volume et de la sensibilité des données traitées. En cas de doute, un diagnostic de 30 minutes suffit à trancher.
Les obligations du RGPD s'appliquent de façon identique quelle que soit la forme de désignation. La différence est opérationnelle :
L'externalisation convient particulièrement aux TPE, PME et associations qui n'ont pas les ressources pour un recrutement dédié ou qui souhaitent éviter un conflit d'intérêts avec un responsable informatique ou juridique déjà en poste.
Le DPO structure et maintient la conformité sur cinq axes :
Il est également l'interlocuteur de la CNIL en cas de contrôle. Sa présence documentée dans les procédures internes constitue la première ligne de défense en cas de plainte ou d'audit.
Le RGPD n'est pas seulement une obligation légale, c'est aussi un levier stratégique opérationnel :
La désignation d'un DPO n'est pas obligatoire dans toutes les structures. Elle est requise uniquement dans trois cas : les organismes publics, les structures dont l'activité principale implique un suivi régulier et systématique des personnes physiques à grande échelle, et celles qui traitent des données sensibles (données de santé, opinions politiques, préférences sexuelles, données génétiques et biométriques).
Lorsqu'un DPO est requis, il doit exercer ses fonctions en toute indépendance et sans conflit d'intérêts. Un RSSI, un responsable juridique ou un directeur de site ne peuvent généralement pas assumer ce rôle conjointement à leurs fonctions habituelles : leurs responsabilités opérationnelles pourraient compromettre leur neutralité.
Le profil idéal d'un DPO combine des compétences juridiques, techniques et organisationnelles. Le RSSI est souvent trop technique et manque du volet juridique requis. L'externalisation de la fonction DPO offre la neutralité nécessaire et les compétences combinées, sans créer de conflit interne. Dans certaines structures, le RSSI peut néanmoins assumer cette fonction à condition de disposer d'un appui juridique adéquat.
Les formules FINETHIQUE démarrent à 200 €/mois pour un accompagnement DPO externalisé adapté aux TPE et PME. Le tarif est défini selon votre effectif, la nature des données traitées et le niveau de maturité initial de votre organisation. Un premier échange de 30 minutes sans engagement permet d’estimer précisément l’effort nécessaire.
Non. FINETHIQUE est basée en Haute-Garonne (31) et intervient physiquement sur les départements 09, 11, 31, 46, 81 et 82. Les missions sont également conduites à distance pour des clients situés hors de ces départements, sans restriction géographique.
Entre 90 et 120 jours pour construire le socle documentaire minimal : registre des traitements, politique de confidentialité, procédures droits et violations, audit des sous-traitants. Ce délai varie selon la taille de l’organisation et la complexité des traitements. La conformité est ensuite un processus continu, pas un projet à date butoir.
Ressources
FINETHIQUE est référencée Activateur France Num, le dispositif national de la Direction générale des entreprises pour accompagner la transformation numérique des TPE, PME et associations. Parce que la conformité de la donnée (RGPD, LCB-FT, NIS 2, CRA, IA Act) est le préalable à toute digitalisation durable.
Un premier échange de 30 minutes pour identifier vos obligations, prioriser les actions et estimer l'effort nécessaire. Sans engagement.
Cabinet de conformité réglementaire & DPO externalisé. Toulouse / Occitanie · intervention sur toute la France.
Toulouse (31) · Occitanie