Le RGPD s’applique-t-il à nous si nous ne sommes pas dans l’UE ?

Possiblement. Le RGPD a une portée extraterritoriale : proposer des biens ou services à des personnes dans l’UE, ou les suivre, vous fait entrer dans le champ où que vous soyez établi. Savoir s’il s’applique à une activité donnée est une détermination pour votre conseil.

Quel lien avec votre test d’intrusion ?

Direct. L’article 32 impose de tester l’efficacité de vos mesures de sécurité ; nos tests produisent exactement cette preuve. La préparation RGPD et les tests peuvent former un seul programme.

Nous faisons déjà ISO 27001 — cela couvre-t-il le RGPD ?

Cela couvre une grande partie du volet sécurité, et nous cartographions un seul jeu de contrôles entre les deux. Mais le RGPD ajoute des obligations propres à la protection des données — base légale, droits des personnes, transferts, registres — qu’ISO 27001 ne couvre pas, donc nous traitons l’écart plutôt que de le supposer comblé.

Un RGPD que vous pouvez prouver — pas un classeur que personne n’opère.

Une préparation concrète aux obligations de sécurité et de responsabilité du RGPD — les mesures techniques et organisationnelles, les registres et les preuves qu’une autorité ou un client demande à voir.

Demander un échange de cadrage Voir notre méthode

Praticiens seniors uniquement.
Indépendant des éditeurs.
Reporting fondé sur des preuves.

Le RGPD (règlement (UE) 2016/679) s’applique depuis mai 2018, et sa portée dépasse largement l’UE : toute organisation qui propose des biens ou services à des personnes dans l’UE, ou qui les suit, entre dans le champ. La plupart des programmes échouent de la même façon : de bonnes politiques, des preuves trop minces, et des mesures de sécurité qui se lisent bien mais n’ont jamais été testées.

Nous nous concentrons sur ce que nous pouvons prouver — la sécurité du traitement et les preuves de responsabilité — et laissons l’interprétation à votre conseil ou à votre DPO. Comme nous menons aussi de la sécurité offensive, les « mesures techniques appropriées » de l’article 32 sont conseillées par ceux qui savent comment ces mesures cèdent réellement. Savoir si et comment le RGPD s’applique, et les arbitrages juridiques, restent à votre conseil.

Là où nous intervenons

Sécurité du traitement (article 32): Les mesures techniques et organisationnelles appropriées — et la preuve qu’elles fonctionnent. C’est ici que notre travail offensif éclaire le conseil : nous savons quels contrôles tiennent face à une vraie attaque et lesquels n’ont l’air corrects que sur un registre.
Registres, base légale et responsabilité: Le registre des traitements (article 30), une posture défendable de base légale et de consentement, et les preuves de responsabilité qui transforment le « nous sommes conformes » en quelque chose de démontrable — à une autorité de contrôle, un auditeur ou un grand client.
Protection dès la conception et sous-traitants: La protection des données dès la conception et par défaut intégrée à la façon dont les systèmes sont construits, ainsi que la gestion des sous-traitants au titre de l’article 28 — contrats, due diligence et supervision des prestataires qui touchent aux données personnelles.
Transferts et préparation aux violations: Les mécanismes de transfert international (clauses contractuelles types, adéquation, analyses d’impact des transferts) et un processus de réponse aux violations qui respecte le délai de notification de 72 heures — conçu pour tenir sous pression.

Périmètre. Nous fournissons des preuves et une préparation concrètes à la conformité, pas un conseil juridique — les arbitrages sur la base légale, les AIPD en tant qu’instrument juridique et l’application du RGPD à votre cas relèvent de votre conseil ou de votre DPO. Nous ne détenons aucune autorité de contrôle et n’en revendiquons aucune.

Quand les équipes nous appellent

Les moments les plus fréquents où l’on nous sollicite pour le RGPD :

L’équipe protection des données ou achats d’un grand client envoie un questionnaire RGPD avant de signer.
Vous lancez un produit qui traite des données personnelles et voulez la protection dès la conception dès le départ, pas en rattrapage.
Une autorité de contrôle a ouvert une demande, ou une violation a révélé la minceur des preuves.
Vous agissez comme sous-traitant et vos responsables de traitement vous imposent les obligations de l’article 28.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

Rapport technique

Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.
Synthèse exécutive des risques

Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.
Plan d’action

Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission de préparation type.

La préparation RGPD suit une échéance définie. Une mission représentative s’ouvre sur un cadrage et un diagnostic d’écarts sur les obligations de responsabilité et de sécurité — généralement quelques semaines — puis un plan de remédiation priorisé, le modèle de registres et de preuves, et lorsque c’est utile une évaluation technique des mesures de l’article 32, sur les semaines à quelques mois suivants. Un cadre continu maintient ensuite les registres, la supervision des sous-traitants et la préparation aux violations.

Nous calons le calendrier sur votre véritable pression — le questionnaire protection des données d’un client, une demande d’une autorité de contrôle, ou un nouveau produit traitant des données personnelles — et le confirmons lors du cadrage avant tout engagement.

Ce qui nous distingue

La sécurité d’abord — nous menons par l’article 32 (sécurité du traitement), l’obligation que notre travail offensif nous rend réellement qualifiés pour attester, plutôt que de réciter tout le règlement.
La preuve plutôt que la politique — un classeur que personne n’opère échoue à la première question d’une autorité. Nous bâtissons une preuve qui est un sous-produit du travail de votre équipe, pas une course avant l’audit.
L’interprétation laissée au conseil — nous rendons le RGPD opérationnel et confions les arbitrages juridiques à votre conseil ou DPO ; nous appuyons ce travail, nous ne prétendons pas le remplacer.

Qui le RGPD atteint

Responsables, sous-traitants — et des organisations bien au-delà de l’UE.

Le RGPD suit la donnée, pas le bureau. Si vous proposez des biens ou services à des personnes dans l’UE, ou si vous suivez leur comportement, vous êtes dans le champ où que vous soyez établi — et vous l’êtes en tant que responsable du traitement (vous décidez pourquoi et comment les données sont traitées), sous-traitant (vous les traitez sur instruction), ou les deux, avec des obligations différentes. Nous confirmons quel rôle vous tenez pour quel traitement avant toute conception, car un sous-traitant SaaS et le responsable qui l’utilise portent des charges de preuve très différentes.

Savoir si et comment le RGPD s’applique à une activité donnée est une détermination juridique pour votre conseil ou DPO. Nous vous aidons à cadrer les obligations et à bâtir les preuves une fois ce point établi.

Sécurité du traitement

Article 32 — l’obligation que nous sommes faits pour attester.

L’article 32 impose des « mesures techniques et organisationnelles appropriées » pour la sécurité des données personnelles, au regard du risque — et, surtout, un processus pour tester et évaluer leur efficacité. Cette exigence de test est le point faible de la plupart des programmes RGPD et notre point fort : nous évaluons les mesures comme le ferait un attaquant, puis documentons qu’elles tiennent. Le même test d’intrusion et la même évaluation de sécurité qui prouvent le risque exploitable deviennent la preuve que votre sécurité du traitement est réelle, et non supposée.

Voir notre test d’intrusion

Questions fréquentes

Êtes-vous des avocats ou un DPO ?: Non. Nous fournissons une préparation concrète à la sécurité et à la responsabilité ; les arbitrages sur la base légale, les AIPD en tant qu’instrument juridique et l’application du RGPD relèvent de votre conseil ou DPO. Nous appuyons ce travail — en particulier la preuve de sécurité de l’article 32 — plutôt que de le remplacer.
Le RGPD s’applique-t-il à nous si nous ne sommes pas dans l’UE ?: Possiblement. Le RGPD a une portée extraterritoriale : proposer des biens ou services à des personnes dans l’UE, ou les suivre, vous fait entrer dans le champ où que vous soyez établi. Savoir s’il s’applique à une activité donnée est une détermination pour votre conseil.
Quel lien avec votre test d’intrusion ?: Direct. L’article 32 impose de tester l’efficacité de vos mesures de sécurité ; nos tests produisent exactement cette preuve. La préparation RGPD et les tests peuvent former un seul programme.
Nous faisons déjà ISO 27001 — cela couvre-t-il le RGPD ?: Cela couvre une grande partie du volet sécurité, et nous cartographions un seul jeu de contrôles entre les deux. Mais le RGPD ajoute des obligations propres à la protection des données — base légale, droits des personnes, transferts, registres — qu’ISO 27001 ne couvre pas, donc nous traitons l’écart plutôt que de le supposer comblé.

Indiquez-nous si vous êtes responsable de traitement, sous-traitant, ou les deux — et ce qui motive l’échéance. Nous cadrerons la préparation RGPD autour des obligations qui s’appliquent réellement.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage

Là où nous intervenons

Sécurité du traitement (article 32)

Registres, base légale et responsabilité

Protection dès la conception et sous-traitants

Transferts et préparation aux violations