Notre méthodologie
L'audit s'appuie sur le référentiel CNIL et les exigences directes du règlement (UE) 2016/679. Voici comment le score est construit, et comment les recommandations sont générées.
Sources réglementaires
- Règlement (UE) 2016/679 (RGPD), articles 5 (principes), 13-14 (information), 28 (sous-traitants), 30 (registre), 32 (sécurité), 33-34 (violations), 35 (AIPD), 83 (sanctions).
- Loi Informatique et Libertés modifiée (loi n° 78-17).
- Recommandations CNIL : guide TPE/PME, guide collectivités, guide sécurité, lignes directrices cookies et traceurs.
- Lignes directrices EDPB (consentement, transferts, AIPD).
Construction du score
Le questionnaire est structuré en grands domaines : gouvernance & registre, bases légales & information, droits des personnes, sécurité, sous-traitants, transferts hors UE, cookies & traceurs.
Chaque réponse est pondérée selon :
- la criticité réglementaire (un manquement à un article structurant pèse plus lourd qu'une bonne pratique recommandée),
- la fréquence de sanction observée dans les délibérations CNIL 2022-2025,
- l'impact opérationnel potentiel pour les personnes concernées.
Le score global est ramené sur une échelle de 0 à 100. En dessous de 40, votre risque est qualifié de critique ; entre 40 et 70, modéré ; au-dessus de 70, faible mais perfectible.
Génération des recommandations
Les recommandations ne sont pas affichées au hasard : elles sont sélectionnées en fonction de votre score et de vos réponses, puis priorisées par niveau d'alerte (critique, moyen, faible). Chaque recommandation pointe vers une obligation RGPD identifiable et propose une action concrète.
Limites assumées
Cet audit est un outil d'auto-évaluation. Il ne remplace pas :
- une mission formelle de DPO (interne ou externe),
- un avis juridique sur un traitement spécifique,
- une analyse d'impact (AIPD) lorsque celle-ci est requise.
Il sert de point de départ efficace pour cadrer un plan d'action et prioriser les chantiers RGPD.