Services

Conseil en conformité RGPD pour les éditeurs de logiciels

Le règlement (UE) 2016/679 a une portée extraterritoriale au titre de l'article 3(2) — si vous vendez à des personnes concernées de l'UE ou les profilez, vous êtes dans le champ d'application, quel que soit votre lieu d'immatriculation. Nous livrons le registre des traitements (art. 30), l'AIPD (art. 35), les contrats de sous-traitance (art. 28), les mesures techniques et organisationnelles (art. 32), la réponse aux violations (art. 33–34) et le pack de transfert international (art. 44–49 : CCT 2021, TIA, mesures supplémentaires) comme un seul livrable d'ingénierie intégré — et non cinq classeurs juridiques distincts. Preuves de qualité ingénierie, mémos défendables, registre des risques prêt pour le conseil. À partir de 6 500 EUR pour l'évaluation de préparation.

Conseil en conformité RGPD pour éditeurs de logiciels

Les sanctions de l'article 83(5) atteignent 20 millions EUR ou 4 pour cent du chiffre d'affaires mondial pour les catégories de violation les plus graves — défauts de base légale, défauts de droits des personnes concernées, défauts de transfert international. Mais la plupart des éditeurs de logiciels n'ont pas besoin d'un classeur de 200 pages ; ils ont besoin d'une cartographie de données défendable, d'un pack CCT propre, d'un parcours de demandes d'accès opérationnel et d'un runbook de réponse aux violations qui tienne le délai de 72 heures de l'article 33. Nous l'avons fait pour des éditeurs SaaS, des fintechs, des healthtechs et des entreprises américaines entrant sur le marché de l'UE — le livrable est opérationnel, détenu par votre équipe, et sert aussi d'intrant pour SOC 2 et ISO 27001.

Ce que nous livrons

Registre des traitements (art. 30) & cartographie

Inventaire vivant de chaque activité de traitement : finalité, base légale (art. 6), base pour les catégories particulières (art. 9) le cas échéant, catégories de personnes concernées et de données, conservation, destinataires, transferts internationaux. Maintenu dans votre outil, pas dans un PDF figé.

AIPD (art. 35)

Modèle d'AIPD plus AIPD réalisées pour les traitements à haut risque — catégories particulières à grande échelle, surveillance systématique, profilage produisant des effets juridiques au titre de l'article 22, technologies nouvelles. Aligné sur la méthodologie WP29 / CEPD avec un traitement du risque que l'ingénierie peut réellement mettre en œuvre.

Pack DPA (art. 28)

DPA responsable-vers-sous-traitant et sous-traitant-vers-sous-traitant ultérieur alignés sur l'article 28(3), incluant les droits d'audit, la répercussion vers les sous-traitants ultérieurs, les obligations de suppression/restitution et les huit clauses obligatoires. Guide de négociation des modèles des hyperscalers inclus.

Mesures techniques et organisationnelles (art. 32)

Mesures techniques et organisationnelles : chiffrement en transit (TLS 1.3) et au repos (AES-256, clés gérées par KMS), MFA, RBAC, journalisation d'audit, SLA de gestion des vulnérabilités, test d'intrusion annuel, PCA/PRA avec RTO/RPO mesurés. Documentées pour attester chaque alinéa de l'article 32(1).

Pack de transfert (art. 44–49)

CCT UE 2021 (le bon module selon la relation), analyse d'impact des transferts conforme à Schrems II et aux recommandations 01/2020 du CEPD, mesures supplémentaires, appui à la certification au cadre UE–États-Unis (Data Privacy Framework) le cas échéant, et la notice de transparence à destination des clients.

Parcours de droits & de violation

Parcours de droits des personnes concernées (art. 12–22) dans votre produit (accès, rectification, effacement, portabilité, opposition, révision des décisions automatisées), et le runbook de réponse aux violations (art. 33–34) arrimé au délai de notification de 72 heures.

Ce que nous couvrons

Article 3 Champ territorial Article 5 Principes Article 6 Base légale Article 7 Consentement Article 9 Catégories particulières Articles 12–22 Droits Article 22 Décisions automatisées Article 25 Privacy by Design Article 27 Représentant UE Article 28 Sous-traitant Article 30 Registre Article 32 Sécurité Article 33 Violation 72 h Article 34 Notice aux personnes Article 35 AIPD Article 37 DPO Articles 44–49 Transferts CCT UE 2021 UK IDTA / Addendum DPF UE–États-Unis TIA Schrems II Rec. CEPD 01/2020 UK GDPR / DPA 2018 Cookies ePrivacy

Comment se déroule une mission

  1. 01

    Cadrage & cartographie

    Semaine 1 : confirmer les rôles de responsable/sous-traitant selon chaque relation, inventorier chaque activité de traitement, identifier les catégories particulières et les flux transfrontaliers, rédiger le registre des traitements (art. 30) dans votre outil de cartographie des données.

  2. 02

    Analyse des écarts

    Semaine 2 : analyser les écarts des traitements concernés au regard des articles 5, 6, 12–22, 25, 28, 30, 32, 33–34, 35 et 44–49, noter chaque écart selon le risque et l'effort, produire une feuille de route de remédiation avec responsables et échéances.

  3. 03

    Mise en œuvre

    Semaines 3–8 : livrer le pack DPA, le modèle d'AIPD plus une AIPD réalisée, le durcissement des mesures techniques de l'article 32, le parcours de demandes d'accès, le pack CCT et TIA, le runbook de violation, la notice de confidentialité publique. Piloté par l'ingénierie, pas seulement par le juridique.

  4. 04

    Exploitation

    À partir du troisième mois : rafraîchissement trimestriel des preuves, veille du CEPD / des autorités nationales, tri des demandes d'accès, soutien en cas de violation en astreinte, revues de DPA fournisseurs, répétition annuelle d'audit.

Forfaits de mission

Évaluation de préparation

Deux semaines, périmètre fixe. Registre des traitements (art. 30), analyse des écarts au regard des articles opérants, feuille de route de remédiation et un briefing exécutif de 60 minutes avec le fondateur et le conseil juridique. 6 500 EUR forfaitaires.

Pack de mise en œuvre

Six à huit semaines. Pack DPA, modèle d'AIPD article 35 plus une AIPD réalisée, mise en œuvre des mesures techniques de l'article 32, parcours de demandes d'accès (art. 12–22) dans votre produit, pack CCT + TIA, runbook de violation (art. 33–34), notice de confidentialité publique. 18 000 EUR forfaitaires.

DPO-as-a-Service

Forfait mensuel récurrent. Rafraîchissement trimestriel des preuves, veille CEPD / ICO / CNIL / BfDI / AEPD / Garante, tri des demandes d'accès, soutien en cas de violation, jusqu'à 10 revues de DPA fournisseurs par mois, répétition annuelle d'audit. 3 500 EUR/mois.

La désignation du représentant UE de l'article 27 est facturée séparément au coût réel. Minimum de trois mois sur le DPO-as-a-Service, puis au mois le mois avec un préavis de 30 jours. NDA, DPA et cession de PI signés avant le lancement.

Pourquoi les fondateurs et les juristes choisissent YuSMP pour le RGPD

Conforme au RGPD · Prêt pour ISO 27001 · SOC 2 Type II en cours · Compatible HIPAA · Aligné sur ISO/IEC 42001

Des ingénieurs, pas des consultants en politiques

Nous lisons la base de code, le pipeline de données et le flux d'authentification avant de rédiger le registre des traitements. Nos AIPD tiennent parce qu'elles reflètent ce que le système fait réellement — pas ce qu'un slide prétend.

Une bibliothèque de preuves, plusieurs régimes

RGPD, ISO 27001, SOC 2, règlement européen sur l'IA, HIPAA — les contrôles sous-jacents se recoupent. Nous bâtissons une bibliothèque de preuves versionnée unique qui satisfait les obligations de tous au lieu de mener des classeurs parallèles.

Au rythme de vos opérations

DPA et NDA signés avant le lancement, accès au dépôt, présence à votre réunion d'équipe d'ingénierie et à votre point juridique de conseil. Les artefacts vivent dans votre stack et sont détenus par votre équipe après le transfert.

Pour le représentant UE de l'article 27, nous nous associons à des cabinets établis en Irlande et en Allemagne ; pour les AIPD de niveau contentieux et les échanges avec les autorités, nous co-livrons avec le conseil en protection des données de votre choix.

Ce que disent nos clients

La signature de documents à distance est un champ de mines juridique. YuSMP a construit à la fois le parcours de signature mobile et le CRM Symfony dans une seule mission, a géré l'onboarding KYC et a livré une documentation d'API que notre équipe conformité a validée en quelques jours.
David Mercer, CEO, Signatory ProVoir le cas →
Les applications de confidentialité vivent et meurent par la confiance. YuSMP a construit une implémentation WireGuard sans journaux, avec une carte de latence des serveurs, une connexion en un toucher et un kill switch — chaque fonctionnalité que nous avions promise aux utilisateurs. La validation Apple a été acceptée dès la première soumission.
Thomas Bergmann, Responsable produit, LiMP VPNVoir le cas →

Questions fréquentes

Nous sommes une entreprise américaine avec des clients dans l'UE — le RGPD s'applique-t-il vraiment à nous, et comment ?

Oui, l'article 3(2) confère au RGPD une portée extraterritoriale. Si vous proposez des biens ou des services à des personnes concernées situées dans l'Union (payants ou gratuits), ou si vous suivez leur comportement (analytics, profilage, reciblage), vous êtes dans le champ d'application quel que soit l'emplacement de vos serveurs ou de votre siège. Vous devrez désigner un représentant dans l'UE au titre de l'article 27, sauf si vous relevez de l'exemption restreinte. Les sanctions prévues à l'article 83(5) atteignent 20 millions EUR ou 4 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Nous livrons la désignation du représentant article 27, le registre des traitements article 30, les contrats de sous-traitance article 28 et le socle de sécurité article 32 comme un seul ensemble intégré plutôt que cinq chantiers distincts.

Quelle est la différence entre un registre des traitements, une AIPD et une TIA, et de quoi avons-nous réellement besoin ?

Le registre des traitements de l'article 30 (Records of Processing Activities) est obligatoire pour presque tout responsable de traitement et sous-traitant — un inventaire vivant de chaque finalité de traitement, de la base légale au titre de l'article 6, des catégories de personnes concernées et de données, des durées de conservation, des destinataires et des transferts. L'AIPD de l'article 35 est requise lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés — traitement à grande échelle de catégories particulières, surveillance systématique, décisions automatisées produisant des effets juridiques, technologies nouvelles. Une TIA (analyse d'impact des transferts) est requise au titre de Schrems II dès que vous vous appuyez sur les CCT de l'article 46 pour des transferts vers un pays tiers sans décision d'adéquation. Nous livrons les trois à partir d'une cartographie de données unique et faisant foi, afin qu'ils restent synchronisés au lieu de diverger.

Comment gérer les transferts de données de l'UE vers les États-Unis après Schrems II ?

Trois voies licites au titre du chapitre V (articles 44–49). Premièrement, l'adéquation de l'article 45 — le cadre de protection des données UE–États-Unis (Data Privacy Framework) est actuellement valide ; certifiez-vous au titre de ce cadre et vous pouvez transférer vers des importateurs américains certifiés sans mesure supplémentaire. Deuxièmement, les clauses contractuelles types de l'article 46 (les CCT UE de 2021, quatre modules) combinées à une analyse d'impact des transferts et à des mesures supplémentaires conformes aux recommandations 01/2020 du CEPD — chiffrement en transit et au repos sous votre seule maîtrise des clés, traitement fractionné, obligations contractuelles de transparence. Troisièmement, les dérogations de l'article 49 pour des situations particulières — restreintes, jamais un choix par défaut. Nous rédigeons le pack CCT, la TIA, les mesures techniques supplémentaires et la notice de transparence à destination des clients comme un seul ensemble.

Qu'exige concrètement la sécurité de l'article 32 en termes techniques ?

L'article 32(1) exige des mesures techniques et organisationnelles appropriées au risque, notamment (a) la pseudonymisation et le chiffrement, (b) la confidentialité, l'intégrité, la disponibilité et la résilience constantes, (c) la capacité à rétablir la disponibilité et l'accès après un incident, (d) un processus de test, d'analyse et d'évaluation réguliers de l'efficacité. En pratique, pour un SaaS, cela signifie le chiffrement en transit (TLS 1.2+ au minimum, idéalement 1.3), le chiffrement au repos (AES-256, clés gérées par KMS), la MFA pour les accès administrateur, le RBAC avec moindre privilège, la journalisation d'audit inviolable, la gestion des vulnérabilités avec des SLA documentés, des tests d'intrusion annuels, un runbook de réponse aux incidents arrimé au délai de notification de violation de 72 heures de l'article 33, et un PCA/PRA avec RTO/RPO mesurés. Nous mettons en œuvre et documentons chacun de ces points pour prouver la conformité à l'article 32 lors d'un audit.

Comment le RGPD s'articule-t-il avec SOC 2, ISO 27001 et le règlement européen sur l'IA ?

Ils se recoupent sur les contrôles mais diffèrent par le cadrage. Les contrôles de l'annexe A d'ISO 27001 (en particulier A.5, A.8, A.18) correspondent presque au 1:1 à l'article 32 du RGPD. Les critères des services de confiance SOC 2 CC6 (accès logique), CC7 (exploitation des systèmes) et la catégorie facultative Privacy P1–P8 couvrent l'essentiel des articles 25 et 32. La gouvernance des données de l'article 10 du règlement européen sur l'IA pour les systèmes à haut risque s'inspire directement des articles 5, 25 et 35 du RGPD. Nous bâtissons une bibliothèque de preuves unifiée qui satisfait les quatre régimes — un même contrôle de chiffrement atteste SOC 2 CC6.7, ISO A.8.24, l'article 32(1)(a) du RGPD et l'article 15 du règlement sur l'IA. Vous faites le travail une fois ; les auditeurs obtiennent chacun ce dont ils ont besoin.

À quoi ressemble la tarification, et qu'est-ce qui est inclus ?

Trois forfaits. L'évaluation de préparation RGPD est à 6 500 EUR forfaitaires (deux semaines) : confirmation du périmètre, registre des traitements article 30 dans votre outil de cartographie des données, analyse des écarts au regard des articles 5, 6, 12–22, 25, 28, 30, 32, 33–34, 35 et 44–49, feuille de route de remédiation, briefing exécutif. Le pack de mise en œuvre est à 18 000 EUR forfaitaires (six à huit semaines) : modèle de DPA pour les sous-traitants et les sous-traitants ultérieurs, modèle d'AIPD article 35 plus une AIPD réalisée, mise en œuvre des mesures techniques de l'article 32, parcours de droits des personnes concernées (articles 12–22) dans votre produit, pack CCT et TIA pour les transferts de l'UE vers un pays tiers, runbook de réponse aux violations, notice de confidentialité publique. Le DPO-as-a-Service récurrent est à 3 500 EUR/mois : rafraîchissement trimestriel des preuves, veille réglementaire (orientations du CEPD, de l'ICO, de la CNIL, du BfDI, de l'AEPD, du Garante), appui au tri des demandes d'accès, soutien en cas de violation, revues de DPA fournisseurs jusqu'à 10/mois, répétition annuelle d'audit.

Besoin d'une analyse des écarts RGPD avant votre prochain appel d'offres grand compte ?

Réserver un appel de préparation

Demander une proposition

Partagez quelques détails et un consultant senior vous répondra sous un jour ouvré.

Vous préférez échanger directement ? ☎ Appeler le +374 44 871 811 ✉ sales@yusmpgroup.com