Aller au contenu
HackingByte
EN Demander un échange de cadrage

Une protection des données défendable, cartographiée sur les données que vous traitez réellement.

Un conseil RGPD pratique — registre des traitements, AIPD, analyses de transfert, playbooks de violation et DPO externalisé. À périmètre fixe, mené par des seniors, conçu pour résister au contrôle d’une autorité.

Demander un échange de cadrage Voir notre méthode
  • Praticiens seniors uniquement.
  • Aucun outil vendu.
  • Reporting fondé sur des preuves.

La plupart des entreprises n’ont pas besoin d’un pack de politiques de 200 pages. Elles ont besoin d’un consultant RGPD qui part des données qu’elles traitent réellement et progresse vers l’extérieur — et qui sait faire la différence entre une exposition réelle et une case qu’un auditeur veut cocher. C’est le conseil RGPD que mène HackingByte : pratique, cadré, et conçu pour résister au contrôle d’une autorité, pas seulement à une revue interne.

Nous cartographions ce que vous traitez et pourquoi, repérons là où la base légale ou les transferts ne tiennent pas, menons les analyses d’impact relatives à la protection des données (AIPD) qu’exigent vos nouvelles fonctionnalités, et vous laissons des playbooks que votre équipe peut réellement utiliser le jour où quelque chose tourne mal. Pour être clair sur ce que nous sommes et ne sommes pas : il s’agit de conseil en protection des données, pas de conseil juridique — nous ne donnons pas d’avis juridiques et ne vous représentons pas devant un régulateur, et lorsque vous en avez besoin, nous travaillons aux côtés de votre conseil juridique. Tout le reste, nous le prenons en charge.

Ce que nous faisons.

Ce qu’un consultant RGPD devrait réellement faire.

  • Cartographier ce que vous traitez (registre des traitements).

    Tout, dans le RGPD, découle de savoir quelles données personnelles vous détenez, où elles vivent, pourquoi vous les traitez, avec qui vous les partagez et combien de temps vous les conservez. Nous construisons ou actualisons votre registre des activités de traitement au regard de la réalité — les systèmes et les flux que vos équipes utilisent réellement — et non un schéma idéalisé. Un registre qui correspond à ce qui se passe vraiment est le fondement sur lequel repose toute autre obligation, et la première chose qu’une autorité demande à voir.

  • Vérifier que la base légale tient.

    Pour chaque traitement, nous examinons si la base légale est la bonne et si elle résisterait à une contestation — un consentement réellement libre et révocable, un intérêt légitime accompagné d’un test de mise en balance documenté, une nécessité contractuelle réellement nécessaire. C’est là que beaucoup de programmes « conformes » ne le sont discrètement pas.

  • Mener les AIPD qu’exigent vos fonctionnalités.

    Lorsque vous lancez quelque chose qui traite des données personnelles à grande échelle, profile des personnes ou utilise l’IA pour prendre des décisions à leur sujet, une analyse d’impact relative à la protection des données n’est pas optionnelle — et c’est l’artefact qui débloque le lancement. Nous menons l’AIPD de bout en bout : nécessité et proportionnalité, risques pour les personnes concernées, mesures d’atténuation et décision sur le risque résiduel, rédigée pour tenir si une autorité de contrôle la lit un jour.

  • Aligner vos sous-traitants et responsables de traitement.

    Nous examinons les accords de sous-traitance et de responsabilité de traitement en amont et en aval de votre chaîne d’approvisionnement — qui est sous-traitant, qui est responsable de traitement, si les contrats stipulent ce qu’ils doivent, et si votre chaîne de sous-traitants ultérieurs est réellement contractualisée. Au moment où vous prenez un nouveau fournisseur ou que votre client vous prend, ce sont ces éléments qui sont scrutés.

  • Évaluer vos transferts.

    Les flux de données transfrontaliers sont l’endroit où de bons programmes se font prendre. Nous évaluons vos mécanismes de transfert — les clauses contractuelles types (CCT) et l’analyse d’impact du transfert qui les sous-tend — au regard des lignes directrices actuelles du CEPD, pour qu’un flux de données sur lequel vous comptez depuis des années ne se révèle pas être la faille.

  • Vous préparer au mauvais jour.

    Un playbook de réponse à une violation que vous n’avez jamais testé est un document, pas un plan. Nous concevons des playbooks de réponse aux violations cartographiés sur vos systèmes réels et sur l’horloge de notification de 72 heures, pour que, lorsque quelque chose survient, votre équipe sache qui fait quoi, ce qui est évalué, et quand l’autorité et les personnes concernées doivent être informées.

Un consultant en conformité RGPD devrait cadrer selon votre situation, pas vous vendre tout. Certains clients ont besoin d’une montée en maturité complète ; d’autres d’une seule AIPD avant un lancement ; d’autres d’une analyse d’impact de transfert ou d’un DPO externe. Nous dimensionnons le travail à la question que vous cherchez réellement à résoudre — voir les forfaits ci-dessous.

Conçu pour résister au contrôle.

Le marché regorge de packs de politiques RGPD génériques — un dossier de modèles où votre logo a été inséré. Ils ressemblent à de la conformité et ne protègent presque de rien, parce qu’ils décrivent une entreprise qui n’est pas la vôtre. Nous travaillons dans l’autre sens : des données que vous traitez réellement vers les obligations qui s’appliquent vraiment, et nous sommes honnêtes sur les écarts qui comptent et ceux qui sont cosmétiques. HackingByte est un cabinet de sécurité ; nous lisons donc la protection des données au prisme de l’attaque — non pas seulement « une politique existe-t-elle ? » mais « où ces données personnelles circulent-elles réellement, qui peut les atteindre, et que coûterait réellement une violation ? ». Une posture de protection des données cartographiée sur l’exposition réelle est bien plus difficile à renverser qu’une posture cartographiée sur une liste de cases, et c’est celle qu’un conseil et un régulateur acceptent tous deux. Et nous restons dans notre rôle. Nous vous apportons un conseil en protection des données pratique et défendable — cartographie, analyses, accords et playbooks. Nous ne rédigeons pas d’avis juridiques, n’établissons pas de règles d’entreprise contraignantes et ne vous représentons pas devant une autorité de contrôle. Lorsque vous en avez besoin, nous le dirons et travaillerons aux côtés de vos juristes plutôt que de prétendre que la limite n’existe pas.

Ce que vous pouvez acheter.

Cinq forfaits à périmètre fixe — achetez exactement l’élément dont vous avez besoin.

Le conseil RGPD fonctionne mieux en éléments définis et à périmètre fixe qu’en forfait ouvert d’heures facturables. Nous le conditionnons pour que vous puissiez acheter exactement l’élément dont vous avez besoin :

  • Montée en maturité RGPD — l’image complète : registre des traitements, revue des bases légales, alignement sous-traitant/responsable de traitement, analyse des transferts, et un plan de remédiation priorisé. Pour les organisations qui doivent passer de « nous pensons être en règle » à une posture défendable.
  • AIPD unique — une analyse d’impact relative à la protection des données, menée de bout en bout, pour un traitement nouveau ou modifié précis (une fonctionnalité d’IA, un changement de profilage, un déploiement de traitement à grande échelle). L’artefact qui débloque le lancement.
  • Analyse d’impact des transferts — une analyse ciblée d’un flux de données transfrontalier précis et des CCT qui le sous-tendent, au regard des lignes directrices actuelles du CEPD.
  • Préparation à la réponse aux violations — un playbook de réponse aux violations testé, cartographié sur vos systèmes et l’horloge de 72 heures, plus un exercice sur table pour que votre équipe l’ait déjà déroulé avant d’avoir à le faire.
  • DPO externalisé — un délégué à la protection des données externe en forfait mensuel, ou un appui continu à votre DPO interne, pour les organisations qui doivent couvrir le rôle sans recrutement à temps plein.

Comment nous travaillons.

Un cycle en six étapes mené au regard du RGPD et des lignes directrices du CEPD.

HackingByte n’invente pas de méthodologie — nous travaillons au regard du RGPD lui-même et des lignes directrices du Comité européen de la protection des données (CEPD), avec les clauses contractuelles types de l’UE et les lignes directrices des autorités de contrôle nationales là où elles s’appliquent, et nous vous indiquons la base avant de commencer. Le travail de projet suit le même cycle en six étapes que toute mission HackingByte.

Cadrage. Nous définissons quels traitements, systèmes et obligations sont dans le périmètre, convenons des livrables et fixons un prix forfaitaire — jusqu’à un cahier des charges signé.

Lancement. Nous confirmons les contacts, l’accès aux personnes qui savent réellement comment circulent les données, et un calendrier de travail.

Exécution. Le travail lui-même — cartographie, revues, AIPD, analyses, conception de playbook — cadré sur le forfait. Si nous trouvons quelque chose d’urgent (un transfert illicite, un sous-traitant non contractualisé manipulant des données sensibles), vous en êtes informé immédiatement, pas à la fin.

Reporting. Nous produisons les livrables et le modèle à trois livrables, soumis à une revue par les pairs avant que vous ne les voyiez.

Restitution. Une session de travail avec les personnes qui porteront la remédiation, plus une restitution exécutive pour la direction.

Clôture et appui continu. Le plan de remédiation est remis à ses responsables ; là où vous avez pris l’option DPO externalisé, la relation se poursuit à une cadence mensuelle.

Ceci s’inscrit dans notre pratique plus large de conseil GRC, pour que là où la protection des données recoupe vos travaux ISO 27001 ou SOC 2, les preuves soient réutilisées plutôt que reconstruites. Vous pouvez lire le cycle complet sur notre page méthodologie.

Voir notre méthode

Ce que vous obtenez.

Des artefacts concrets, utilisables et présentables.

Chaque mission se conclut par des artefacts concrets, utilisables et présentables, et non par un résumé verbal :

  • Registre des activités de traitement — construit ou actualisé au regard de vos systèmes réels.
  • Rapports d’AIPD — rédigés pour tenir devant une autorité de contrôle, avec la décision sur le risque résiduel documentée.
  • Revues des accords sous-traitant et responsable de traitement — ce qui est couvert, ce qui manque, et ce qu’il faut corriger.
  • Playbooks de réponse aux violations — cartographiés sur vos systèmes et l’horloge de 72 heures.

Calendrier et tarification.

Le travail de projet s’étend généralement sur quatre à douze semaines selon le forfait et la taille de votre empreinte de traitement — une AIPD unique est rapide ; une montée en maturité complète sur un parc complexe prend plus de temps. Le DPO externalisé est un arrangement mensuel continu. Nous fixons le calendrier lors du cadrage autour de votre échéance réelle, qu’il s’agisse d’un lancement de fonctionnalité, d’un jalon d’achat client, ou d’une réponse à une réclamation.

La tarification est forfaitaire et fixée par forfait, avec la fourchette communiquée lors du cadrage avant signature — pas de taux journaliers, pas d’heures ouvertes, aucune incitation à étirer le travail. Nous ne réalisons pas de pilotes gratuits ; l’échange de cadrage est gratuit, et tout ce qui suit est une mission définie et facturée. Si vous avez un budget, indiquez-le lors du cadrage et nous serons clairs sur le forfait qu’il couvre. L’objectif est un travail de protection des données dimensionné sur votre risque réel et votre échéance réelle.

Quand les équipes nous appellent.

Les moments les plus fréquents où les organisations font appel à un consultant RGPD :

  • Une nouvelle fonctionnalité d’IA ou de profilage qui nécessite une AIPD avant sa mise en production.

  • Un changement de flux de données transfrontalier qui remet en question les mécanismes de transfert.

  • Une réclamation d’une personne concernée ou une enquête d’une autorité de contrôle.

  • Une nouvelle relation de sous-traitance ou de sous-traitance ultérieure à contractualiser.

  • Une intégration de M&A touchant des données personnelles.

  • La revue de sécurité et de confidentialité d’un client grand compte qui demande des preuves avant de signer.

Questions fréquentes

Êtes-vous un cabinet d’avocats — s’agit-il de conseil juridique ?
Non. Nous fournissons un conseil en protection des données pratique — cartographie, AIPD, revues d’accords, analyses de transfert et playbooks de violation. Nous ne donnons pas d’avis juridiques et ne vous représentons pas devant une autorité de contrôle. Lorsque vous en avez besoin, nous travaillons aux côtés de votre conseil juridique.
Quelles parties du RGPD couvrez-vous ?
Registre des traitements, revue des bases légales, AIPD, accords sous-traitant et responsable de traitement, mécanismes de transfert (CCT et analyses d’impact de transfert), et réponse aux violations — menés au regard du RGPD et des lignes directrices du CEPD.
Fournissez-vous un délégué à la protection des données ?
Oui — un DPO externalisé en forfait mensuel, ou un appui continu à votre DPO interne.
Nous lançons une fonctionnalité d’IA ou de profilage — pouvez-vous aider ?
Oui. Cela nécessite généralement une AIPD plus une revue de la base légale et de la transparence, ce qui est l’un de nos forfaits à périmètre fixe et constitue souvent l’artefact qui débloque le lancement.
Combien cela coûte-t-il ?
Chaque forfait est à périmètre fixe et à prix fixe ; nous vous communiquons la fourchette lors du cadrage avant tout engagement. Nous ne proposons pas de taux journaliers.
Combien de temps cela prend-il ?
Le travail de projet s’étend sur environ quatre à douze semaines selon le périmètre ; une AIPD unique est plus rapide qu’une montée en maturité complète. Le DPO externalisé est continu.
Nous avons eu une réclamation ou une enquête d’une autorité de contrôle — pouvez-vous aider ?
Nous pouvons cartographier les traitements, évaluer les écarts, et construire la remédiation et les playbooks. La représentation juridique devant l’autorité reste à vos avocats ; nous appuyons ce travail, nous ne le remplaçons pas.
Travaillez-vous uniquement avec des entreprises basées dans l’UE ?
Non — avec quiconque traite des données personnelles de l’UE, où qu’il soit basé. Nous évaluons au regard du RGPD, des lignes directrices du CEPD et des lignes directrices des autorités de contrôle nationales.

Services associés

La plupart des missions se combinent avec l'un des parcours ci-dessous — chacun mené par des seniors, à périmètre fixe et fondé sur les preuves, selon le même modèle de reporting.

Indiquez-nous ce que vous lancez, ou ce qui vous inquiète, et nous cadrerons le travail de protection des données autour.

Demander un échange de cadrage