Questions fréquentes

Toute organisation qui collecte ou traite des données personnelles de résidents européens : entreprises (TPE, PME, grands groupes), associations, collectivités, professions libérales. La taille ne compte pas : dès que vous gérez un fichier clients, le RGPD s’applique.

Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL dispose aussi de mesures progressives : rappel à l’ordre, mise en demeure, injonction et amende.

Le DPO (Délégué à la Protection des Données) veille à la conformité RGPD. Il peut être interne ou externe (DPO externalisé). Sa désignation est obligatoire pour les organismes publics et les entreprises traitant des données sensibles à grande échelle.

Le registre des traitements (Article 30 du RGPD) recense toutes vos activités de traitement de données personnelles : finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité. C’est le premier document demandé lors d’un contrôle CNIL.

Toute information permettant d’identifier une personne physique, directement ou indirectement : nom, e-mail, téléphone, adresse IP, cookies, numéro de sécurité sociale. Certaines données sont sensibles (santé, biométrie, opinions politiques) et font l’objet de protections renforcées.

L’Article 6 définit six bases légales : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public et intérêts légitimes. Chaque traitement doit s’appuyer sur l’une d’elles, identifiée avant le début du traitement.

Vous devez notifier la CNIL dans les 72 heures (Article 33) si la violation présente un risque pour les personnes. Si le risque est élevé, vous devez aussi informer les personnes concernées (Article 34). L’incident doit être documenté dans votre registre des violations.

Le RGPD confère 6 droits principaux : accès (Art. 15), rectification (Art. 16), effacement (Art. 17), limitation (Art. 18), portabilité (Art. 20) et opposition (Art. 21). L’organisation doit répondre sous 1 mois.

L’Analyse d’Impact relative à la Protection des Données (Article 35) est obligatoire pour les traitements à risque élevé (surveillance, données sensibles, décisions automatisées). Elle comprend la description du traitement, l’évaluation des risques et les mesures d’atténuation.

Oui. L’Article 28 impose un contrat de sous-traitance (DPA) détaillant les obligations du sous-traitant : sécurité, confidentialité, notification des violations, suppression des données en fin de contrat. Le responsable de traitement reste garant de la conformité.

Le consentement doit être libre, spécifique, éclairé et univoque (Article 7). Les cases pré-cochées sont interdites. La personne doit pouvoir retirer son consentement aussi facilement qu’elle l’a donné.

Le Privacy by Design (Article 25) impose de protéger les données dès la conception d’un produit ou service : minimisation des données, pseudonymisation, paramètres de confidentialité par défaut.

Oui, sous conditions strictes (Chapitre V) : décision d’adéquation de la Commission, clauses contractuelles types (CCT), règles d’entreprise contraignantes (BCR) ou consentement explicite. Depuis l’arrêt Schrems II, les transferts vers les États-Unis nécessitent le Data Privacy Framework.

Le responsable de traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. Un même acteur peut être les deux selon le contexte.

Le DPO peut être un salarié (mutualisé ou dédié) ou un prestataire externe. Il doit disposer de compétences en droit et en protection des données, d’une indépendance fonctionnelle et de moyens suffisants. Sa désignation se fait auprès de la CNIL via un formulaire en ligne.

Le RGPD impose le principe de limitation de conservation (Article 5). Les données ne doivent pas être conservées au-delà de la durée nécessaire à la finalité du traitement. Des référentiels CNIL précisent les durées par secteur.

Principe fondamental (Article 5) : ne collecter que les données strictement nécessaires à la finalité du traitement. Exemple : un formulaire de contact n’a pas besoin de la date de naissance.

Les cookies non essentiels nécessitent un consentement préalable (directive ePrivacy + RGPD). Vous devez : informer sur chaque finalité, permettre un refus aussi simple que l’acceptation, ne déposer aucun cookie avant consentement, et conserver la preuve du choix. La CNIL recommande un renouvellement tous les 6 mois.

Oui, dès lors que les données sont organisées dans un fichier structuré (classeur, répertoire, dossier). Un carnet de contacts rangé par ordre alphabétique, un registre du personnel papier ou un dossier client physique relèvent du RGPD.

Absolument. Dativo a été conçu spécifiquement pour les TPE, PME et associations. L’interface est simple, les modèles sont pré-remplis et aucune compétence juridique n’est requise.

Oui. Selon votre formule : 1 organisation (Silver), jusqu’à 15 (Gold), illimitées (Platinium). L’option DPO Cockpit ajoute 10 organisations supplémentaires + un tableau de bord consolidé multi-clients.

Dativo propose des modèles sectoriels pré-remplis (RH, marketing, comptabilité, vidéosurveillance, santé, éducation…). 80 % du travail est déjà fait. Vous sélectionnez les traitements, personnalisez les détails et votre registre est prêt en 2 heures au lieu de 2-3 semaines.

Oui. Hébergement 100 % France (OVH), chiffrement AES-256 au repos, HTTPS/TLS en transit, hachage Argon2ID pour les mots de passe, sauvegardes quotidiennes. Aucun transfert hors UE.

L’essai gratuit dure 14 jours. Toutes les fonctionnalités du plan Gold sont accessibles. Contactez-nous si vous avez besoin de plus de temps.

Oui, vos données vous appartiennent. Export disponible aux formats PDF, CSV et ZIP avec certificat d’export. Après suppression de votre compte, vos données sont effacées sous 30 jours.

Tous les plans incluent : Registre des traitements, Exercice des droits (Article 15-22), AIPD, Gestion documentaire, Tableau de bord avec score de conformité en temps réel et alertes automatiques.

Le module centralise toutes les demandes (accès, rectification, effacement, portabilité). Il gère le suivi des délais légaux (30 jours), propose des modèles de réponse conformes CNIL et classe automatiquement les demandes par type et priorité.

Oui. Le module AIPD suit la méthodologie CNIL : questionnaire guidé, évaluation des risques assistée, scoring automatique et rapport structuré prêt à présenter. Vous pouvez pré-remplir depuis vos analyses précédentes.

Oui. Le tableau de bord affiche en temps réel votre score de conformité, les indicateurs clés, les tâches en retard et les alertes. Les plans Gold et Platinium proposent une vue consolidée multi-clients.

Stockez et organisez tous vos documents RGPD : politiques, procédures, contrats, preuves de conformité. Versionnage, contrôle d’accès par rôle, partage sécurisé par lien temporaire avec date d’expiration.

Option dédiée aux DPO externalisés (99 €/mois). Elle ajoute 10 organisations supplémentaires, un tableau de bord consolidé avec scores par client, la génération de rapports DPO annuels et des organisations supplémentaires à 25 €/mois chacune.

Oui, l’option Assistant IA (99 €/mois) intègre un assistant génératif basé sur Mistral (IA française) pour vous guider dans votre conformité. Vos données ne sont jamais stockées par le modèle IA.

Oui. Avec les plans Gold ou Platinium + le DPO Cockpit, vous gérez un grand nombre de clients. Chaque organisation dispose d’un espace strictement cloisonné. Un tableau de bord consolidé vous donne une vue d’ensemble.

Oui. Les modèles pré-remplis servent de point de départ. Vous pouvez modifier chaque champ, ajouter vos propres traitements, créer des modèles personnalisés et les réutiliser sur plusieurs organisations.

Plus de 30 secteurs : RH, marketing, comptabilité, vidéosurveillance, santé, éducation, immobilier, BTP, commerce, artisanat, transport, hôtellerie, restauration, collectivités, associations… Les modèles sont régulièrement mis à jour.

Oui. L’interface est responsive et s’adapte à tous les écrans (ordinateur, tablette, smartphone). Aucune application à installer.

Tous les plans incluent le support par email avec un délai de réponse de 48 heures maximum. Un centre d’aide avec documentation et tutoriels guidés est également disponible.

Oui. Un module dédié permet de documenter chaque incident : nature, données impactées, mesures prises, notification CNIL et information des personnes. Le suivi des délais légaux (72 h) est automatisé.

Un tableur ne gère ni les délais légaux, ni les alertes, ni les droits d’accès, ni l’audit trail. Dativo automatise 80 % du travail, centralise la documentation et génère des rapports prêts pour la CNIL. Un fichier Excel n’a jamais convaincu un contrôleur.

Oui. Les plans incluent de 2 à 50 utilisateurs selon la formule (illimités en Platinium). Chaque utilisateur dispose de droits paramétrables (administrateur, utilisateur). Des utilisateurs supplémentaires sont disponibles à 15 €/mois.

Hébergement OVH France, IA Mistral (française), analytics Matomo (recommandé CNIL), paiements Stripe. Aucun outil américain n’est utilisé pour le stockage de vos données.

Dativo a été créé par un DPO de terrain qui a vécu les problèmes de terrain. Ce n’est pas un logiciel conçu par des développeurs qui ont lu le RGPD. Chaque fonctionnalité répond à un besoin réel. En savoir plus.

Non. Dativo est un outil d’aide à la conformité. Il facilite le travail du DPO ou du référent RGPD mais ne remplace pas l’expertise humaine. Si vous n’avez pas de DPO, Dativo vous guide pas à pas dans les fondamentaux.

Cela dépend de la formule choisie. L’abonnement mensuel est sans engagement, résiliable à tout moment. Les abonnements annuels (12x ou 1x) impliquent un engagement de 12 mois mais sont 20 % moins chers.

Carte bancaire (Visa, Mastercard) et prélèvement SEPA pour tous les plans. Virement bancaire accepté pour les abonnements annuels payés en une fois. Tous les paiements sont sécurisés via Stripe (certifié PCI-DSS).

Vous payez chaque mois, sans engagement. Vous pouvez résilier à tout moment. Votre accès reste actif jusqu’à la fin du mois payé.

Deux options : Annuel 12x (paiement mensuel sur 12 mois, engagement 12 mois, -20 %) ou Annuel 1x (paiement unique, engagement 12 mois, -20 %). Les deux offrent le même tarif réduit.

Oui. La montée en gamme est immédiate (prorata calculé). La descente prend effet à la prochaine échéance. Vos données sont conservées quel que soit le changement.

La résiliation se fait en un clic depuis votre espace client. Pour les abonnements mensuels, elle prend effet immédiatement à la fin du mois en cours. Pour les annuels, à la fin de la période d’engagement.

Les tarifs affichés sont hors taxes (HT). La TVA (20 % en France) s’ajoute à la facturation. Les entreprises assujetties à la TVA intracommunautaire dans un autre pays de l’UE fournissent leur numéro de TVA pour l’autoliquidation.

Silver : 2 utilisateurs, 1 organisation, 3 Go de stockage. Gold : 50 utilisateurs, jusqu’à 15 organisations, 5 Go. Platinium : utilisateurs illimités, organisations illimitées, 20 Go. Toutes les fonctionnalités de base sont incluses dans chaque plan.

Oui. Chaque utilisateur supplémentaire coûte 15 €/mois. Vous les ajoutez directement depuis votre espace client.

Oui. Chaque organisation supplémentaire coûte 25 €/mois. L’option DPO Cockpit (99 €/mois) inclut d’office 10 organisations supplémentaires.

Oui. Les associations loi 1901, fondations et structures à but non lucratif bénéficient d’une remise dédiée. Contactez-nous en précisant votre statut.

Oui. Des tarifs spécifiques sont disponibles pour les collectivités territoriales et établissements publics. Contactez-nous pour un devis adapté.

Plusieurs options : Assistant IA (99 €/mois), DPO Cockpit (99 €/mois), Bibliothèque de ressources (29 €/mois), E-Learning RGPD (49 €/mois), Analyseur de contrats (39 €/mois). Détail sur notre page tarifs.

Votre compte est simplement désactivé. Aucun prélèvement automatique. Vous conservez vos données pendant 30 jours et pouvez réactiver votre compte en souscrivant une formule.

Oui. Toutes les mises à jour fonctionnelles et réglementaires sont incluses dans l’abonnement. Vous bénéficiez automatiquement des nouvelles fonctionnalités et des adaptations légales.

Le prorata temporis est calculé au jour près. Si vous passez du Silver au Gold en milieu de mois, vous ne payez que la différence pour les jours restants.

Oui. Une facture conforme est générée automatiquement à chaque échéance et disponible dans votre espace client. Format PDF téléchargeable.

Un module de formation en ligne (49 €/mois) avec des cours interactifs, quiz et certification. Idéal pour sensibiliser vos équipes aux bonnes pratiques RGPD et cybernews.

L’option Analyseur de contrats (39 €/mois) utilise l’IA pour analyser les clauses de protection des données dans vos contrats fournisseurs. Il identifie les manques et propose des corrections.

Oui, à 3 niveaux : en transit (HTTPS/TLS), au repos (AES-256-CBC) et mots de passe (Argon2ID, l’algorithme le plus robuste disponible).

Oui. Des sauvegardes automatiques quotidiennes sont stockées sur une infrastructure distincte du serveur principal pour garantir la résilience.

Seuls les membres autorisés de l’équipe technique. L’accès est tracé, limité au strict nécessaire et soumis à des règles de confidentialité. Aucun accès commercial n’est possible.

Bien sûr. Registre des traitements tenu à jour, politique de confidentialité publiée, mesures de sécurité techniques et organisationnelles, gestion des droits et DPO désigné.

Procédure documentée : identification et confinement, évaluation d’impact, notification CNIL sous 72 h si nécessaire, information des clients, documentation et mesures correctives.

Oui. Infrastructure OVHcloud dédiée, sauvegardes quotidiennes sur site distinct, procédures de restauration testées. Restauration complète en quelques heures.

Oui. Un DPA conforme à l’Article 28 est disponible pour chaque client. Il détaille nos obligations en tant que sous-traitant : sécurité, confidentialité, notification, suppression.

Non pour le stockage de vos données. Hébergement OVH (France), IA Mistral (France), analytics Matomo (recommandé CNIL). Seul Stripe (paiement) est américain et ne traite que les données de facturation.

La 2FA TOTP (Google Authenticator, Authy) est en cours de déploiement. Elle sera proposée à tous les utilisateurs pour renforcer la sécurité des accès.

Un logiciel malveillant qui chiffre vos données et exige une rançon pour les débloquer. C’est la menace n°1 en France. Les TPE/PME sont des cibles privilégiées car moins protégées. Ne payez jamais la rançon.

Une technique d’escroquerie par e-mail, SMS ou appel se faisant passer pour un organisme légitime (banque, impôts, fournisseur). L’objectif est de voler vos identifiants ou données bancaires. Vérifiez toujours l’expéditeur et ne cliquez jamais sur un lien suspect.

Un bon mot de passe est long (12+ caractères), unique par service, et mélange majuscules, minuscules, chiffres et caractères spéciaux. Utilisez un gestionnaire de mots de passe (Bitwarden, KeePass). Activez la double authentification (2FA) partout où c’est possible.

Un deuxième facteur de vérification en plus du mot de passe : code SMS, application TOTP (Google Authenticator) ou clé physique (YubiKey). Même si votre mot de passe est volé, le pirate ne peut pas accéder à votre compte.

L’exposition non autorisée de données personnelles : piratage, erreur humaine, mauvaise configuration. Vérifiez si vos emails ont été compromis sur Have I Been Pwned. En cas de fuite, changez vos mots de passe immédiatement.

La manipulation psychologique pour obtenir des informations confidentielles : se faire passer pour un supérieur (arnaque au président), un technicien, un fournisseur. La meilleure défense est la sensibilisation des équipes et la vérification systématique des demandes inhabituelles.

Activez la 2FA, utilisez un mot de passe unique et fort, ne cliquez jamais sur les liens suspects, méfiez-vous des pièces jointes inattendues. Configurez le SPF, DKIM et DMARC sur votre domaine pour éviter l’usurpation.

Un réseau privé virtuel chiffre votre connexion internet. Indispensable en télétravail et sur les Wi-Fi publics (hôtels, cafés, gares). Il empêche l’interception de vos données en transit.

VPN obligatoire, 2FA sur tous les accès, chiffrement du disque dur, verrouillage automatique de session, séparation pro/perso, mises à jour système et antivirus à jour. Formez vos collaborateurs aux risques.

Oui. Selon l’ANSSI, 43 % des cyberattaques visent les petites entreprises. Elles sont perçues comme des cibles faciles car moins protégées. Le coût moyen d’une cyberattaque pour une PME est estimé à 50 000 €.

La directive européenne NIS2 (2023) élargit les obligations de cybersécurité à de nombreux secteurs (santé, transports, énergie, administrations). Elle impose des mesures de gestion des risques, de notification d’incidents et de gouvernance.

1) Déconnectez les machines infectées du réseau. 2) Ne payez pas la rançon. 3) Portez plainte (police/gendarmerie). 4) Contactez cybermalveillance.gouv.fr. 5) Notifiez la CNIL si des données personnelles sont concernées.

Le Bring Your Own Device (utiliser son appareil personnel au travail) pose des risques : mélange données pro/perso, absence de chiffrement, applications non contrôlées. Si vous l’autorisez, encadrez-le par une charte informatique.

Formations régulières (au moins annuelles), simulations de phishing, charte informatique signée, affichage des bonnes pratiques. L’ANSSI propose des guides gratuits.

Le message est chiffré sur l’appareil de l’expéditeur et déchiffré uniquement sur celui du destinataire. Personne d’autre (même le fournisseur du service) ne peut lire le contenu. Utilisé par Signal, ProtonMail, WhatsApp.

Un afflux massif de requêtes pour saturer un serveur et le rendre inaccessible. Protection : pare-feu applicatif (WAF), CDN (Cloudflare), surveillance du trafic. Les hébergeurs comme OVH intègrent des protections anti-DDoS.

L’utilisation de logiciels, services cloud ou appareils non approuvés par la DSI (Google Drive perso, WeTransfer, Dropbox). Risque majeur pour le RGPD : données personnelles sur des serveurs non maîtrisés. Identifiez et encadrez ces usages.

Vérifiez : localisation des serveurs (UE/France), certification (ISO 27001, HDS si santé), DPA disponible, chiffrement, politique de sauvegarde, garanties en cas d’incident. Privilégiez les hébergeurs souverains.

Un examen systématique de vos systèmes pour identifier les vulnérabilités : tests d’intrusion (pentest), analyse de configuration, revue des accès. L’Article 32 du RGPD impose de tester régulièrement l’efficacité de vos mesures de sécurité.

VPN d’entreprise, 2FA obligatoire, gestion centralisée des accès (IAM), segmentation réseau, journalisation des connexions. Appliquez le principe du moindre privilège : chaque utilisateur n’accède qu’à ce dont il a besoin.

Un modèle de sécurité qui ne fait confiance à personne par défaut, même à l’intérieur du réseau. Chaque accès est vérifié, chaque appareil authentifié, chaque session contrôlée. C’est l’approche recommandée par l’ANSSI.

Appliquez la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud, coffre). Testez régulièrement la restauration. Les sauvegardes non testées ne valent rien.

Le phishing par SMS : faux messages d’Améli, de la Poste, de votre banque. Ils contiennent un lien vers un faux site qui vole vos identifiants. Ne cliquez jamais sur un lien reçu par SMS d’un expéditeur inconnu.

Indices : adresse expéditeur suspecte, fautes d’orthographe, urgence exagérée, lien vers un domaine inconnu. Survolez le lien sans cliquer pour vérifier l’URL. En cas de doute, contactez directement l’organisme par un autre canal.

Un escroc se fait passer pour le dirigeant (ou un avocat, un fournisseur) et demande un virement urgent et confidentiel. Prévention : procédure de double validation pour les virements, sensibilisation des équipes comptables, vérification systématique par téléphone.

Dans l’ordre : système d’exploitation, navigateur, antivirus, puis les logiciels métier. Les correctifs de sécurité doivent être appliqués sous 48 heures maximum. Activez les mises à jour automatiques quand c’est possible.

Une assurance couvrant les conséquences financières d’une cyberattaque : frais de gestion de crise, restauration des données, perte d’exploitation, responsabilité civile, frais juridiques. De plus en plus indispensable pour les PME.

Oui et non. L’IA permet aux attaquants de créer des phishing plus crédibles, des deepfakes et des malwares adaptés. Mais elle aide aussi les défenseurs : détection d’anomalies, analyse de logs, réponse automatisée. Formez vos équipes aux risques liés à l’IA.

Plusieurs canaux :

• cybermalveillance.gouv.fr — plateforme nationale d’assistance
• Pré-plainte en ligne — dépôt de plainte simplifié
• 17Cyber — le « 17 » du numérique (urgence)
• ANSSI — pour les incidents majeurs sur les systèmes critiques

Le 17Cyber (17cyber.gouv.fr) est le numéro d’urgence cyber lancé en 2024. Il permet de diagnostiquer la menace, d’obtenir des conseils adaptés et d’être mis en relation avec des prestataires de proximité. Accessible 24h/24.

Oui, si des données personnelles sont concernées et que la violation présente un risque pour les personnes. Vous avez 72 heures pour notifier via le téléservice CNIL. Si le risque est élevé, vous devez aussi informer les personnes concernées.

Rendez-vous au commissariat ou à la gendarmerie avec : captures d’écran, logs, e-mails de rançon, preuves de l’attaque. Vous pouvez aussi utiliser la pré-plainte en ligne. Pour les cas complexes, saisissez le Pôle Cyber de la police/gendarmerie.

1) Changez votre mot de passe immédiatement (sur ce compte et tous ceux utilisant le même). 2) Activez la 2FA. 3) Vérifiez les connexions récentes et les règles de transfert. 4) Prévenez vos contacts. 5) Vérifiez sur Have I Been Pwned.

1) Ne saisissez aucune information (fermez la page). 2) Si vous avez saisi un mot de passe, changez-le immédiatement. 3) Lancez un scan antivirus. 4) Surveillez vos comptes bancaires. 5) Signalez sur Phishing Initiative et PHAROS.

Ressources clés :

• Cybermalveillance.gouv.fr — assistance et prévention
• ANSSI — autorité nationale (guides, alertes)
• CNIL — protection des données
• 17Cyber — urgence cyber
• Signal Spam — signalement de spam

1) Mettez le site hors ligne (page de maintenance). 2) Changez tous les accès (FTP, CMS, BDD, hébergeur). 3) Analysez les logs pour identifier la faille. 4) Restaurez depuis une sauvegarde saine. 5) Corrigez la vulnérabilité. 6) Notifiez la CNIL si des données personnelles sont concernées.

Les 5 règles d’or :

• Mots de passe forts et uniques + gestionnaire
• 2FA partout
• Mises à jour immédiates
• Sauvegardes régulières (règle 3-2-1)
• Méfiance face aux e-mails et liens inattendus

Le Guide d’hygiène informatique de l’ANSSI est une lecture incontournable.