Foire aux Questions – MDP Data Protection

SimplyRGPD n’est pas un registre de traitements basique : c’est une plateforme de pilotage multi-conformité dotée d’agents IA. Elle couvre le RGPD mais aussi NIS2, AI Act et la cybersécurité. L’outil guide vos équipes, génère les plans d’actions prioritaires, centralise les preuves et fournit un pilotage continu de votre conformité. Elle s’inscrit dans une démarche globale mêlant méthode, outils et accompagnement.

Oui, nos solutions sont pensées pour la multi-conformité. Le RGPD constitue le socle, mais la plateforme intègre également les exigences NIS2 (sécurité des SI), AI Act (maîtrise des usages IA) et les bonnes pratiques de cybersécurité. Vous travaillez ainsi avec un référentiel unique, partagé par le DPO, la DSI, la Direction et les métiers. L’objectif est d’éviter les silos et de proposer une approche cohérente et progressive.

Nos solutions s’adressent aux organisations qui gèrent des données sensibles ou structurées : TPE/PME, ETI, organismes de formation (OF), CFA, écoles, réseaux d’établissements, groupes scolaires, structures médico-sociales, congrégations religieuses, associations, etc. Les parcours sont adaptés selon votre maturité et vos contraintes.

Oui. Nos recommandations et outils tiennent compte des contraintes réglementaires, opérationnelles et organisationnelles propres à chaque secteur. Les contenus, modèles et agents IA sont adaptés aux réalités métier afin de rester concrets, applicables et compréhensibles par les équipes.

Oui. Nous accompagnons les organisations dans la production, la structuration et la mise à jour de leur documentation RGPD : registres de traitements, analyses de risques, procédures internes, mentions d’information. L’objectif est de disposer de documents conformes, cohérents et maintenables dans le temps.

Un agent IA de conformité est un assistant numérique spécialisé (RGPD, NIS2, IA, cyber) entraîné sur vos procédures, vos modèles et votre secteur. Vous lui posez une question et il propose des réponses argumentées, des actions documentées ou des modèles adaptés à votre organisation.

Non. Les agents IA complètent l’analyse du DPO ou de l’expert, mais ne s’y substituent pas. Le DPO reste responsable des validations, arbitrages et relations avec les autorités. L’IA permet de traiter plus de sujets, plus rapidement, tout en conservant une supervision humaine.

Le déploiement se fait en trois étapes : diagnostic initial, paramétrage de vos périmètres (entités, traitements, applications) puis accompagnement au démarrage. Les premiers résultats (vision des risques, actions prioritaires) apparaissent en quelques semaines grâce aux agents IA et aux registres pré-structurés.

Oui. La plateforme multi-conformité SimplyRGPD, permet de transformer les obligations réglementaires en plans d’actions clairs, priorisés et suivis dans le temps. Chaque action est associée à des responsables, des échéances et des niveaux de priorité afin de faciliter le pilotage et le reporting.

Pour les demandes courantes, les délais de réponse se situent généralement entre 48 et 72 heures, avec des ajustements en cas de situation sensible.

SimplyRGPD eflète l’organisation réelle d’une congrégation : maison-mère, provinces, communautés, œuvres, établissements… Chaque maison possède son espace dédié tandis que le pilotage peut être centralisé au niveau provincial ou général. Les traitements communs, risques prioritaires et actions locales sont visualisés d’un seul coup d’œil.

Le RGPD impose un responsable de traitement, c’est généralement la congrégation ou le diocèse. En pratique, un référent RGPD est désigné au niveau central, accompagné de relais dans les maisons ou œuvres. SimplyRGPD structure ce fonctionnement : chaque niveau agit selon ses responsabilités, tout en garantissant une visibilité commune.

Certaines données traitées par une congrégation sont hautement sensibles. Leur traitement exige des bases légales adaptées, des durées de conservation courtes, un contrôle strict des accès et une confidentialité renforcée. SimplyRGPD aide à identifier ces traitements, documenter les mesures de protection et adopter les bonnes pratiques de sécurité.

Oui. La mutualisation est une force pour les congrégations : un socle commun (modèles de registres, politiques, clauses contractuelles) peut être défini, puis complété localement par chaque communauté. La gouvernance centrale conserve une vision consolidée et peut piloter la conformité de manière homogène.

Un formulaire doit préciser la finalité (captation / diffusion), les supports utilisés (site, affiches, vidéos…), la durée d’autorisation, les droits des personnes et les modalités pour retirer leur consentement lors des évènements religieux. Il doit également informer sur les risques liés à une publication en ligne. SimplyRGPD permet de tracer ces autorisations et d’en conserver les preuves.

La publication d’un annuaire nécessite un consentement explicite, précisant les données publiées, les supports et la durée. Les membres doivent pouvoir exercer leurs droits à tout moment (accès, rectification, opposition). Une information claire sur les risques de diffusion publique est indispensable.

Les appels aux dons peuvent reposer sur la mission caritative légitime de la congrégation. Les personnes doivent toutefois pouvoir s’opposer facilement à ces communications. Les donateurs doivent être informés de l’usage de leurs données, des durées de conservation et des droits RGPD.

Les solutions utilisées doivent garantir un haut niveau de sécurité : contrôle d’accès strict, journalisation, mots de passe robustes, absence de transfert hors UE, sauvegardes centralisées. Il est recommandé de privilégier des outils certifiés ou fortement sécurisés, et de vérifier la conformité RGPD des contrats.

La sensibilisation doit être simple et accessible pour les bénévoles : usage des équipements autorisés, mots de passe robustes, vigilance face au phishing, distinction vie personnelle/vie paroissiale. Une charte informatique permet de formaliser ces règles et de responsabiliser les bénévoles.

L’usage d’équipements personnels par les bénévoles doit être limité et encadré. Il peut être autorisé via une session professionnelle dédiée, un accès VPN sécurisé ou des règles strictes concernant le stockage et les applications. Les chartes internes jouent un rôle essentiel pour définir ces règles.

Ces données doivent être organisées par « parcours de données” : admission, scolarité, alternance, stages, évaluations, relation alumni. Pour chaque parcours, il faut définir les finalités, durées de conservation, mesures de sécurité et mentions d’information. SimplyRGPD aide à structurer ces parcours et à répondre facilement aux audits.

Oui. SimplyRGPD cartographie les outils existants et leurs rôles, identifie les données collectées, vérifie les sous-traitants, les transferts et les mesures de sécurité. L’objectif n’est pas de remplacer vos solutions pédagogiques, mais de les encadrer pour garantir la conformité RGPD, NIS2 et AI Act.

Les mineurs nécessitent une protection renforcée. Certaines situations exigent un consentement adapté, des durées de conservation limitées et une vigilance accrue sur les outils pédagogiques utilisés. Le CFA doit s’assurer que chaque outil respecte les paramètres par défaut protecteurs et que les familles sont correctement informées.

Les équipes doivent disposer de repères concrets : gestion des listes d’élèves, partage de documents, paramètres de confidentialité, usages des outils collaboratifs et IA générative. Les modules de sensibilisation MDP sont adaptés aux besoins du secteur : courtes vidéos, quiz, cas pratiques, réponses aux questions du quotidien.

La meilleure preuve est une documentation structurée : registre à jour, mentions d’information adaptées, contrats avec les sous-traitants, preuves de sensibilisation, décisions documentées. SimplyRGPD génère des synthèses conformes aux attentes des groupes, financeurs, autorités et recruteurs.

Une mauvaise gestion des données peut impacter les admissions, l’alternance, la relation entreprises, la réputation et les financements. Les CFA sont souvent exposés à des contrôles Qualiopi, financeurs ou CNIL : une conformité mal structurée augmente les risques d’écart et de sanction.

Les bénéfices sont immédiats : meilleure organisation des dossiers, réduction des risques, continuité en cas de turnover, fluidité dans la gestion des relations entreprises, préparation simplifiée aux audits, et possibilité de piloter plusieurs établissements dans un seul environnement.

Le RGPD et Qualiopi reposent tous deux sur la traçabilité et la maîtrise des données. En structurant vos processus (inscriptions, évaluation, suivi, archivage), vous facilitez la conformité aux deux référentiels. SimplyRGPD vous aide à aligner vos pratiques pour éviter les doublons et centraliser les preuves.

Les OF gèrent parfois des données sensibles : informations médicales, dossiers sociaux, identification (NIR dans certains cas), diplômes, évaluations, difficultés pédagogiques. Ces données nécessitent des accès strictement limités et une documentation renforcée dans le registre RGPD.

La sécurité des organismes de formation repose sur des pratiques simples : mots de passe robustes, paramétrage correct des LMS/CRM, gestion des habilitations, stockage structuré et politique de sauvegarde. Les risques les plus courants (comptes partagés, envoi de listes par mail) peuvent être éliminés grâce à des mesures adaptées et documentées dans SimplyRGPD.

L’essentiel pour les OF est de savoir où se trouvent vos preuves : registre, contrats, mentions d’information, modèles pédagogiques, traçabilité des accès, preuves de sensibilisation. SimplyRGPD centralise ces éléments et facilite la préparation des audits. Des audits blancs peuvent être réalisés pour renforcer votre préparation.

Oui. Dans le secteur de la formation, les mineurs bénéficient d’une protection renforcée. Leur traitement doit reposer sur une information claire, dans certains cas un consentement adapté, et des durées de conservation limitées. Les procédures d’inscription et les outils pédagogiques doivent être configurés pour respecter ces exigences.

Le RGPD impose de clarifier les rôles : responsable de traitement ou sous-traitant. Les échanges doivent être encadrés par des clauses contractuelles, sécurisés techniquement et limités aux données nécessaires. SimplyRGPD aide à tracer ces relations et à vérifier la conformité des partenaires.

L’organisme doit analyser la nature de l’incident, documenter ce qui s’est passé, limiter les impacts, notifier la CNIL sous 72h si un risque élevé existe et informer les personnes concernées si nécessaire. Le fait de disposer d’un plan d’action simplifie énormément la gestion d’un incident.

La formation continue est clé : bonnes pratiques numériques, prévention du phishing, gestion des mots de passe, usage responsable des outils pédagogiques, distinction données personnelles / données pédagogiques. Le MDP Campus propose des modules adaptés au secteur de la formation.

Pour un organisme de formation, les gains sont immédiats : meilleure qualité documentaire, diminution des risques, réduction des erreurs humaines, préparation simplifiée aux audits, continuité en cas de turnover, et vision claire des risques et priorités. Grace à un logiciel comme SimplyRGPD, la multi-conformité RGPD + NIS2 + IA Act devient accessible même avec peu de ressources internes.

Oui. SimplyRGPD permet de gérer plusieurs établissements dans un même environnement : chaque établissement dispose de ses registres, risques et actions, tandis que le groupe bénéficie d’une vue consolidée. Cette approche facilite l’harmonisation des pratiques, le travail des OGEC et la préparation aux inspections.

Le RGPD impose une information claire et un consentement explicite lorsque la base légale l’exige (photos, diffusion publique, certains outils numériques). Les écoles doivent fournir un formulaire structuré, tracer les réponses et permettre aux familles de modifier ou retirer leur consentement à tout moment.

Les écoles doivent vérifier les paramètres de confidentialité, limiter les accès, encadrer les partages, éviter l’usage d’outils non approuvés et documenter leurs sous-traitants. Les ENT et outils collaboratifs doivent respecter les paramètres par défaut protecteurs, surtout pour les mineurs.

La formation doit être simple, contextualisée et adaptée au temps disponible : bons réflexes RGPD, gestion des listes d’élèves, protection de la vie privée, usage responsable de l’IA générative (préparation de cours, évaluation, assistance administrative).

La minimisation, les paramétrages de confidentialité, l’interdiction de certains partages, la vérification des outils numériques et l’encadrement strict des photos sont essentiels. Les écoles doivent également définir des durées de conservation adaptées et s’assurer que les traitements sont conformes aux attentes des familles et tutelles.

Les écoles doivent définir des règles simples : pas de données personnelles dans les outils, usage pédagogique sous supervision, transparence vis-à-vis des élèves et familles, documentation des pratiques. Les modèles d’IA doivent être utilisés de manière sécurisée et conforme au RGPD et à l’AI Act, tel que le sont nos solutions agentiques.

Oui. Le RGPD s’applique à tous les établissements, sous contrat, hors contrat ou associatifs. Les différences portent sur les obligations pédagogiques, non sur la protection des données. SimplyRGPD permet d’aligner les pratiques quelle que soit la structure.

Une gouvernance centralisée permet d’harmoniser les pratiques, réduire les risques, préparer plus facilement les inspections, garantir la cohérence documentaire, accompagner les écoles en difficulté et renforcer la confiance des familles. SimplyRGPD simplifie le suivi multi-sites et la répartition des responsabilités.

Les établissements doivent recenser leurs traitements, réaliser des analyses d’impact (AIPD) lorsque les risques sont élevés, gérer les habilitations, sécuriser les accès aux dossiers, encadrer leurs sous-traitants et préparer leurs équipes à répondre aux audits CNIL, HAS ou ARS. Une conformité documentée est indispensable.

Les risques en cas de non-conformité RGPD dans un ESSMS incluent des sanctions CNIL, difficultés lors des contrôles ARS ou HAS, une perte de confiance des familles, des difficultés de financement, une atteinte à la réputation et un risque de rupture de service. La non-conformité peut également fragiliser la continuité de l’accompagnement des personnes vulnérables.

 Les attaques ciblant les données de santé augmentent fortement, ce qui renforce l’importance d’une gouvernance RGPD et cybersécurité solide.

Oui. Les EHPAD traitent des données de santé, considérées particulièrement sensibles, concernant des personnes âgées souvent dépendantes. Cela impose une vigilance accrue sur la gestion des accès aux dossiers, la traçabilité des consultations, la sécurisation des outils numériques et la sensibilisation des équipes.

La protection de l’enfance implique le traitement de données concernant des mineurs et des situations familiales sensibles. A minima, ces structures doivent limiter strictement les accès, encadrer les échanges d’informations, sécuriser les dossiers éducatifs et garantir une confidentialité renforcée, notamment lors des transmissions entre partenaires.

Oui, dans la majorité des cas, les ESSMS sont concernés : les traitements liés à la santé, aux situations de vulnérabilité et aux accompagnements sociaux présentent un risque élevé, ce qui justifie la réalisation d’une AIPD. SimplyRGPD structure les démarches et aide à documenter les risques et mesures de réduction.

Les accès doivent être strictement limités aux professionnels ayant besoin des informations pour leur mission. Les ESSMS doivent définir des profils d’accès, vérifier régulièrement les droits, tracer les connexions et formaliser les règles dans une politique interne. Chaque sortie de collaborateur doit entraîner une révocation immédiate.

Les échanges de données doivent être sécurisés, tracés et encadrés par des accords (sous-traitance, co-responsabilité, conventions de partenariat). Seules les données strictement nécessaires doivent circuler. L’envoi de dossiers complets par mail non sécurisé est à proscrire.

En cas d’incident ou de violation de données dans un ESSMS, il est nécessaire d’identifier rapidement l’incident, de limiter ses impacts, de documenter les faits et, si nécessaire, de notifier la CNIL dans les délais réglementaires. Les personnes concernées doivent être informées lorsque le risque est élevé. Un plan de réponse aux incidents facilite la gestion et la communication interne.

La sensibilisation doit être pratique et adaptée au terrain : manipulation des dossiers, confidentialité entre professionnels, vigilance face au phishing, usage maîtrisé des équipements mobiles et partage sécurisé des documents. Des supports simples (chartes, modules courts, affiches) améliorent l’adhésion.

Un logiciel spécialisé permet de centraliser la conformité, harmoniser les pratiques entre services, documenter les décisions, répondre aux audits, gérer les preuves, structurer les accès, et garantir la continuité même en cas de turnover.

Il aide les ESSMS à rester conformes tout en se concentrant sur l’accompagnement des publics.

SimplyRGPD propose :

• des questionnaires de diagnostic par secteur,
• un registre de traitements structuré,
• des plans d’actions priorisés,
• la gestion des risques et des preuves (politiques, contrats, procédures),
• des agents IA pour répondre aux questions du quotidien.

SimplyRGPD centralise l’ensemble de vos obligations dans un environnement simple et pilotable.

Oui. SimplyRGPD est conçu comme un outil de multi-conformité. Le RGPD constitue le socle, mais la plateforme inclut également les exigences NIS2 (gouvernance et sécurité des SI), les obligations AI Act (transparence, supervision humaine) et les bonnes pratiques de cybersécurité.

La prise en main est rapide : un diagnostic peut être lancé en quelques jours. La plupart des organisations obtiennent une vue claire de leurs priorités en 2 à 4 semaines, puis déploient les actions à leur rythme, accompagnées par les agents IA et les tableaux de bord.

Oui. SimplyRGPD propose des connecteurs standards et API permettant de synchroniser vos référentiels (applications, entités, utilisateurs) pour limiter les doubles saisies. Les intégrations sont adaptées à votre contexte métier et à vos priorités.

Oui. SimplyRGPD structure le travail du DPO : suivi des analyses, centralisation des preuves, plans d’actions, supervision des établissements ou entités. Pour un DPO externe, la plateforme permet de piloter plusieurs clients de manière homogène.

Notre plateforme multi-réglementaire permet de mieux suivre et structurer vos obligations, de réduire les risques, de gagner du temps sur la documentation, de faciliter la continuité en cas de turnover et de disposer d’une vision claire des priorités réglementaires. SimplyRGPD offre une simplicité d’installation et d’utilisation souvent supérieur aux outils anciennement utilisés par nos clients.

Oui. Notre approche vise à rendre les équipes progressivement autonomes sur les actions courantes, tout en conservant un cadre sécurisé pour les sujets sensibles. SimplyRGPD devient ainsi un outil interne de pilotage, et non une dépendance externe permanente.

Notre approche repose sur la combinaison d’expertise humaine, de plateforme logicielle et d’assistants IA. Elle vise une conformité pragmatique, progressive et adaptée aux réalités de terrain, plutôt qu’une approche purement théorique ou documentaire.

Non. Nos agents IA assistent les experts humains mais ne prennent pas de décisions. L’humain reste responsable des arbitrages, validations, priorisations et relations avec les autorités.

Cette combinaison “IA + expert humain” est la meilleure garantie d’une conformité efficace et maîtrisée.

Nos agents IA s’appuient sur des bases de connaissances contrôlées et sur des modèles de réponse encadrés. Nous mettons en place des garde-fous : suggestion d’actions à valider, journalisation des échanges, possibilité de relecture par un expert humain.
L’objectif est de tirer parti de la rapidité de l’IA sans en faire une “boîte noire” incontrôlable.

Oui. Nos agents IA peuvent intégrer vos modèles de documents, workflows internes, procédures RH, processus d’admission, organisation multi-sites, etc. L’assistant “parle votre langage” et vous propose des actions adaptées à votre quotidien.

Oui. Nos agents IA respectent les principes de supervision humaine, transparence, documentation et gestion des risques. Ils ne fonctionnent jamais comme une boîte noire autonome. Ils sont conçus pour accompagner votre conformité AI Act.

Nous vous accompagnons également à intégrer vos propres déploiements d’IA dans votre registre de risques pour être prêt aux exigences de l’AI Act.

Un audit standard comprend :

1. un cadrage (périmètre, enjeux, délais),
2. des entretiens et analyses de documents,
3. une synthèse des risques et écarts,
4. un plan d’actions priorisé.

Les agents IA accélèrent la collecte et la structuration, mais les conclusions sont validées par nos experts.

Il s’agit d’un plan d’actions structuré par thèmes (gouvernance, registres, contrats, sécurité, sensibilisation, IA), accompagné d’indicateurs d’effort et de priorités. Chaque action est décrite avec son objectif, son impact, son effort estimé, un responsable cible et une échéance indicative. Il devient ensuite pilotable dans SimplyRGPD, avec des tableaux de bord pour la direction.

Oui. Selon vos besoins (diagnostic ou accompagnement complet), nous pouvons intervenir sur la priorisation, la rédaction de documents, le paramétrage d’outils, la mise en conformité multi-sites ou le coaching du DPO. L’objectif est de rester pratique et réaliste.

Oui. Nous collaborons avec vos partenaires internes ou externes. Nous travaillons habituellement en équipe élargie avec vos DPO, avocats, intégrateurs et votre ESN. Nous apportons la brique “plateforme + agents IA” et une méthodologie structurée.
L’idée n’est pas de remplacer vos partenaires, mais de leur donner des outils et des analyses qui renforcent leur action.

Oui. Le contenu de nos formation s’intègrent dans les parcours de développement des compétences, en cohérence avec les exigences Qualiopi. Nous formaliserons avec vous objectifs, évaluations et preuves associées.

C’est un abonnement à notre plateforme e-learning. Nous avons aussi des modules SCORM compatibles avec la plupart des LMS du marché que nous pouvons vous proposer pour 1 an. Tous les parcours incluent vidéos courtes, documents complémentaires et quiz.

Oui. Cette adaptation, co-construite avec nos consultants, permet d’adapter les contenus à votre secteur, favorise l’adhésion et une mise en pratique immédiate.

Oui. Nous avons des modules dédiés à l’usage professionnel de l’IA générative et nous allons construire une formation à la pratique du prompt, centrés sur la productivité, la sécurité, le RGPD et les exigences de l’AI Act. Ces formations guident vos équipes pas à pas vers un usage responsable.

Oui. Une démonstration personnalisée peut être organisée pour évaluer la plateforme dans votre contexte. Demandez votre démo ou testez directement notre solution : ici.

Les abonnements sont généralement conclus sur 12 mois avec renouvellement automatique. Une résiliation est possible dans les conditions prévues contractuellement, avec préavis et récupération de vos données selon les modalités définies.

La facturation est généralement annuelle, sur la base de votre périmètre et du niveau de service choisi. Des options mensuelles peuvent être étudiées selon les cas en prélèvement ou paiement par carte bancaire.
Nous évitons la facturation au simple nombre d’utilisateurs pour rester cohérents avec une logique de gouvernance et de réseau.

Vos données sont hébergées sur des infrastructures cloud situées en France, auprès de fournisseurs respectant des standards de sécurité élevés. Nous appliquons des principes de privacy by design. Les mesures appliquées incluent chiffrement, gestion stricte des accès, journalisation, sauvegardes régulières et séparation des environnements. Ces engagements sont détaillés contractuellement et peuvent être partagés avec vos DPO ou RSSI.

Seules les personnes habilitées, strictement nécessaires au support et à l’exploitation de la solution, peuvent accéder à vos données. Ces accès sont encadrés par des politiques internes strictes, des engagements de confidentialité et une journalisation complète.

Nos durées de conservation dépendent du type de données (comptes utilisateurs, journaux, documents, tickets de support…). Nous appliquons des durées standard et pouvons les adapter à vos propres politiques de conservation.
MDP Data Protection s’engage à ne pas conserver les données au-delà de ce qui est nécessaire au regard des finalités et de vos obligations réglementaires.

En tout état de cause en cas de résiliation de l’abonnement, les données sont immédiatement détruites après le processus de réversibilité.

Le support standard comprend l’assistance par mail et un portail client avec engagement de délai de réponse. Des options renforcées existent pour les organisations plus exposées (support téléphonique, suivi dédié, comités réguliers).

Nos conseillers client gardent le contact avec vous tout au long de l’année par téléphone ou visio-conférence.

Oui. MDP Data Protection peut vous aider à analyser un incident, documenter les faits, évaluer les risques, préparer les notifications nécessaires et structurer les preuves pour un contrôle CNIL. L’objectif est d’assurer une gestion organisée et traçable.

Vous pouvez récupérer vos données sous forme d’exports structurés, selon les modalités prévues contractuellement. Les preuves, registres, documents et configurations sont disponibles dans des formats exploitables.