Le RGPD ne devrait pas freiner votre activité. Avocate en protection des données personnelles, j'accompagne les start-ups, TPE et PME dans leur mise en conformité, la gestion des risques juridiques et le traitement des situations sensibles (contrôle CNIL, violation de données, contentieux) avec une approche adaptée à leur taille et à leurs enjeux.
En 2024, huit sanctions sur dix prononcées par la CNIL visaient des TPE et PME.
Beaucoup de dirigeants pensent que le RGPD (Règlement Général sur la Protection des Données) ne concerne pas vraiment les petites structures. D'autres savent qu'ils sont concernés, sans savoir par où commencer. C'est compréhensible : le cadre juridique européen est dense, son vocabulaire technique et ses textes d'application ne brillent pas par leur lisibilité.
La réalité est pourtant simple. Dès que vous collectez des données à caractère personnel, le règlement s'applique à vous. Un formulaire de contact sur votre site web, un CRM alimenté par vos collaborateurs, une campagne emailing, des fiches salariés : tous ces usages constituent des traitements de données personnelles au sens du droit européen. Choisir un avocat RGPD pour structurer cette conformité dès le départ, c'est éviter de la subir plus tard.
Règlement Général sur la Protection des Données : il encadre la façon dont les responsables du traitement collectent, utilisent, conservent et sécurisent les données des personnes physiques. Entré en vigueur en mai 2018, il s'applique à toute organisation qui traite des données de résidents européens, quelle que soit sa taille.
Toute information permettant d'identifier une personne, directement ou indirectement : nom, adresse email, numéro de téléphone, adresse IP, cookie, données de géolocalisation,...
Une catégorie particulière qui révèle l'origine ethnique, la santé, les opinions politiques ou l'orientation sexuelle d'une personne concernée. Leur traitement exige une base légale renforcée et, lorsqu'il est susceptible d'engendrer un risque élevé pour les personnes concernées, une analyse préalable (AIPD - Analyse d'Impact relative à la Protection des Données).
En 2024, huit sanctions sur dix prononcées par l'autorité visaient des TPE et PME. Les montants (entre 3 000 et 20 000 euros en procédure simplifiée) paraissent modestes. Pour une société en phase d'amorçage, ils ne le sont pas.
Ce ne sont pas des erreurs graves ou intentionnelles : ce sont des oublis, des raccourcis, des situations jamais vraiment traitées qui créent une responsabilité juridique réelle et une exposition aux sanctions de non-conformité qui s'accumule discrètement.
Certaines situations font régulièrement basculer la question de la conformité du "on verra plus tard" au "il faut traiter ça maintenant".
Vous lancez ou reconfigurez votre activité en ligne
Nouveau site web, application, service numérique : chaque lancement est l'occasion de poser les bonnes bases, plutôt que de les corriger sous pression d'une autorité administrative ou d'un partenaire.
Vous déployez de nouveaux outils
CRM, solution emailing, logiciel RH, outil en mode SaaS : dès que vous confiez des données à un fournisseur, des obligations contractuelles et documentaires précises s'appliquent.
Un client, partenaire ou investisseur exige des garanties
DPA, registre des traitements, politique de confidentialité, preuve de conformité avec le RGPD : ces demandes arrivent souvent sans préavis, au moment où vous avez le moins de marge.
Vous avez reçu une sollicitation de la CNIL
Contrôle, mise en demeure, plainte d'un utilisateur : ces situations impliquent une réponse rapide et structurée. L'impact d'un dossier mal géré dépasse largement le montant de la sanction.
Un incident de sécurité est survenu
Fuite de données personnelles collectées, accès non autorisé à vos systèmes : le RGPD impose une notification à la CNIL dans un délai de 72 heures. Maîtriser ce délai et les démarches qui l'accompagnent, ça s'anticipe.
La conformité au RGPD n'est pas une contrainte administrative à absorber. Bien mise en place, elle rassure les personnes concernées sur la gestion de leurs données, renforce votre crédibilité auprès des partenaires et des investisseurs, et sécurise vos opérations dans la durée en prévenant les risques de violation avant qu'ils ne se matérialisent.
Une société qui présente un registre à jour, des DPA signés avec ses fournisseurs et une politique de protection des données cohérente avec ses pratiques réelles avance avec moins de risques et plus rapidement que ses concurrentes.
Avant de mettre quoi que ce soit en place, il faut une image honnête de votre situation réelle. Quelles données collectez-vous, avec quels outils, pour quelles finalités, qui y accède ?
L'audit RGPD cartographie vos traitements, identifie les écarts par rapport à vos obligations légales et hiérarchise ce qui est urgent, ce qui peut attendre et ce qui peut rester en l'état sans risque. L'objectif n'est pas de tout corriger d'un coup : c'est de savoir par où commencer.
Registre des traitements, politique de confidentialité, gestion du consentement, contrats de sous-traitance avec vos prestataires, encadrement des transferts hors Union européenne : je rédige, structure et documente ce que votre activité exige réellement.
La mise en conformité inclut, si nécessaire, une sensibilisation de vos équipes. Une conformité qui reste sur le papier parce que personne ne l'applique au quotidien ne protège pas grand-chose.
Nouveau produit, outil SaaS, campagne marketing, partenariat avec un tiers qui accède à vos données : ce sont les moments où poser les bonnes questions coûte infiniment moins cher que de les corriger après coup. Base légale, finalité, responsabilité du traitement, flux vers des tiers : je vous accompagne avant la mise en oeuvre de votre projet, pour vous éviter des erreurs que vous devrez réparer par la suite et qui pourraient s'avérer coûteuses.
Contrôle CNIL, violation de données, mise en demeure, plainte d'un utilisateur : ces situations exigent une réponse rapide, documentée et juridiquement solide. La qualité de la réponse initiale pèse souvent plus que le fond du dossier.
J'interviens pour préparer la notification à la CNIL dans le délai de 72 heures, gérer la réponse à un contrôle, défendre vos intérêts en cas de contentieux, ou analyser la part de responsabilité de votre sous-traitant lorsque l'incident lui est imputable.
Chaque nouvel outil, chaque modification de processus, chaque lancement peut nécessiter un ajustement. Si vous n'avez pas les ressources pour internaliser cette fonction, j'assure le rôle de DPO externe : suivi des traitements, mise à jour de la documentation, réponse aux demandes des personnes concernées, veille sur les évolutions du règlement et de la doctrine CNIL.
Avocate en protection des données personnelles, je suis inscrite au barreau de Grasse depuis 2021. Avant ça, j'ai pratiqué pendant douze ans la compétition en concours complet d'équitation au niveau national : une discipline où l'erreur d'anticipation ne pardonne pas, où la préparation n'est pas une option et où la gestion du risque se décide longtemps avant le départ.
C'est exactement ainsi que j'aborde la protection des données, en identifiant avec rigueur et précision ce qui vous expose réellement : quelles données, quels outils, quels tiers y accèdent, quels scénarios de contrôle ou d'incident sont plausibles dans votre activité. À partir de là, je construis un dispositif qui tient dans la durée et qui vous protège quand la situation l'exige.
On commence par comprendre votre activité, vos outils, vos pratiques — et ce qui vous a amené à consulter. Pas de formulaire standardisé : une conversation.
Si la situation le justifie, on établit une image précise de votre état de conformité : ce qui est en place, ce qui manque, ce qui pose réellement problème.
À partir du diagnostic, on construit un plan réaliste — priorisé selon vos risques, votre budget et vos échéances.
Les actions se déploient à votre rythme, en lien avec vos équipes. Je reste l'interlocuteur central du processus.
Si votre activité évolue, j'ajuste le dispositif. La conformité RGPD ne se règle pas une fois pour toutes — elle se vit dans le temps.
Une question, une situation floue, une urgence qui se précise : les raisons de consulter sont souvent plus simples qu'on ne le pense. Le premier échange est gratuit. Il me permet de comprendre où vous en êtes et de vous indiquer rapidement comment je peux vous aider, sans engagement de votre côté.
Me contacter — réponse sous 24hOn commence par identifier les risques réels selon votre activité : traitements de données sensibles, volumes collectés, relations avec des tiers en sous-traitance. Les premiers points à couvrir concernent le registre des traitements, la politique de confidentialité, la gestion du consentement ou encore la limitation du traitement aux finalités déclarées. Les contrats sous-traitants et la formation des collaborateurs suivent selon vos ressources.
La conformité n'est pas un projet avec une date de fin. Chaque nouvel outil, chaque modification de processus, chaque lancement de produit ou service peut nécessiter des ajustements. Un DPO externalisé maintient la vigilance sans mobiliser vos équipes internes sur un sujet qu'elles ne maîtrisent pas toujours.
Le DPO assure le suivi opérationnel au quotidien : mise à jour du registre, formation, gestion des demandes d'exercice des droits des personnes concernées. L'avocat intervient quand une question juridique se pose : qualification d'un traitement, rédaction de contrats, interprétation du règlement européen, défense en cas de contentieux ou de contrôle CNIL. Je peux assurer ces deux rôles complémentaires, en tant qu'avocate en protection des données personnelles et en tant que DPO externalisée.
La répartition de la responsabilité entre le responsable du traitement et le sous-traitant dépend des contrats en place. Si le DPA est absent ou incomplet, la responsabilité peut se retourner contre vous. J'analyse la situation et prépare la réponse adaptée : notification CNIL, gestion de la relation avec le fournisseur défaillant, ou contentieux si nécessaire.
Le RGPD reconnaît aux personnes concernées des droits sur leurs données : accès, rectification, suppression (droit à l'oubli), portabilité. Vous disposez d'un mois pour répondre. La réponse doit être complète et traçable. Si vous n'avez pas de procédure en place, c'est l'un des premiers points à traiter.
Oui, le délai de notification d'une violation de données à la CNIL est de 72 heures à compter de la découverte de l'incident (y compris si c'est votre sous-traitant qui l'a découvert en premier), et il n'y a pas de marge pour chercher un interlocuteur à ce moment-là. J'interviens rapidement pour analyser la situation, préparer la notification, gérer la communication interne et coordonner la réponse avec votre prestataire technique ou votre assureur.
Ils varient selon la mission : intervention ponctuelle, audit, mise en conformité complète ou DPO externalisé. Je travaille en honoraires fixes pour les missions bien définies, au temps passé pour les accompagnements ouverts. Lors de notre premier échange, je vous propose une estimation claire avant tout engagement.