Articles RGPD de WeeSec
- Audit fournisseur LLM tiers : DDQ
- AI Act haut risque : application 2026
- ISO 27001 SaaS B2B : roadmap 12 mois
- Microsoft Copilot et oversharing
- Shadow AI : cas Samsung × ChatGPT
Questions fréquentes sur RGPD
Qu'est-ce que le RGPD et qui est concerné ?
Le RGPD (Règlement Général sur la Protection des Données, UE 2016/679) protège les données personnelles des résidents européens. Il s'applique à toute organisation qui traite des données personnelles de résidents UE, indépendamment de sa localisation. Sanctions jusqu'à 20 millions d'euros ou 4% du CA mondial annuel.
Mon SaaS B2B doit-il avoir un DPO ?
Le DPO (Data Protection Officer) est obligatoire dans 3 cas (Article 37 RGPD) : (1) autorité publique ; (2) traitement à grande échelle de données sensibles (santé, infraction) ; (3) suivi régulier et systématique à grande échelle (ad-tech, biométrie, profilage). Hors ces cas, un référent RGPD interne suffit. Pour un SaaS B2B classique, DPO non obligatoire mais souvent recommandé.
Qu'est-ce qu'une AIPD et quand est-elle obligatoire ?
AIPD (Analyse d'Impact relative à la Protection des Données — Article 35 RGPD) est obligatoire pour les traitements à risque élevé : traitement systématique grande échelle de données sensibles, surveillance systématique grande échelle, profilage avec effets juridiques. Liste détaillée publiée par la CNIL. Une AIPD documente le risque, les mesures, et fait l'objet d'une consultation CNIL si risque résiduel élevé.
Comment gérer les transferts internationaux post-Schrems II ?
Trois mécanismes après l'arrêt Schrems II (2020) : (1) Adequacy decision pays (US sous Data Privacy Framework, UK, Suisse) ; (2) Clauses contractuelles types (CCT) avec analyse de transfert (TIA) ; (3) Règles d'entreprise contraignantes (BCR). Pour les transferts vers des fournisseurs cloud (AWS, GCP, Azure), CCT + TIA + chiffrement côté client souvent nécessaires.
Quelle articulation entre RGPD et ISO 27001 ?
ISO 27001 couvre la sécurité de l'information (Article 32 RGPD). RGPD couvre aussi la finalité, la minimisation, la conservation, les droits des personnes (au-delà de la sécurité). ISO 27001 facilite ~50-60% du RGPD côté technique mais ne le remplace pas. Pour un SaaS B2B mature : ISO 27001 + DPO/référent RGPD + AIPD documentées + CCT à jour.
Quelle articulation entre RGPD et AI Act ?
Si votre système IA traite des données personnelles, vous êtes soumis aux deux. L'AI Act introduit des exigences spécifiques (documentation Annexe IV, surveillance humaine, robustesse, transparence sur la nature IA) qui n'existent pas dans le RGPD. Le RGPD garde sa primauté sur les données personnelles. AIPD obligatoire si IA = traitement à risque élevé.
Offres dédiées sur ce sujet
Au-delà du guide ci-dessus, voici les prestations WeeSec qui adressent directement la conformité RGPD.