Journal
Retour d'expérience 15 mai 2026 4 min de lecture

Audit RGPD sous SLA contractuel — la méthode.

Cas anonymisé d'un ETI services B2B mid-market, contraint à un audit RGPD complet sous deadline imposée par un appel d'offres entreprise. Décomposition des étapes, allocation IA vs humain certificateur, lecture comparative qualitative coût interne vs externalisation.

Le contexte client

Société de services B2B, secteur conseil en transformation, ETI mid-market basée en région parisienne. Réponse à un appel d'offres grand compte. Cahier des charges exigeait, sous deadline serrée :

  • Registre des traitements à jour (art. 30 RGPD)
  • Cartographie complète des sous-traitants (art. 28)
  • AIPD (Analyse d'Impact Protection des Données) sur les traitements identifiés comme à risque
  • Politique de gestion des violations de données (art. 33-34)
  • Procédure d'exercice des droits des personnes (art. 12-22)

État initial chez le client : aucun document RGPD formel au-delà d'une politique de confidentialité site web devenue obsolète. L'interlocuteur unique côté client avait estimé en interne le travail à plusieurs semaines d'ETP juriste senior — délai incompatible avec la deadline de l'appel d'offres.

Décomposition de l'audit POD-CA-05

L'audit s'est exécuté selon le SLA contractuel POD-CA-05, en séquencement journalier :

Brief + collecte

Brief Zoom avec l'interlocuteur client + accès en lecture seule aux drives, CRM, outils RH, sous-traitants déclarés. L'agent IA du pod a indexé l'ensemble des documents accessibles et identifié les traitements potentiels.

Classification automatique

L'agent a classé les traitements selon les catégories CNIL (RH, commercial, fournisseurs, sécurité, marketing, support). Chaque traitement a reçu une fiche provisoire : finalité, base légale présumée, données collectées, durée de conservation, destinataires.

L'humain certificateur (juriste senior assigné par POD-CA-05) a validé la classification, écarté les doublons et reclassé les traitements mal catégorisés.

Cartographie sous-traitants + bases légales

L'agent a parcouru les contrats fournisseurs accessibles, identifié les sous-traitants au sens art. 28, vérifié la présence de clauses art. 28 dans les contrats, listé les contrats à mettre à jour en priorité (manque de clause sous-traitance ultérieure, transferts hors UE non documentés).

Le juriste a validé les bases légales pour chaque traitement (intérêt légitime, exécution contractuelle, obligation légale, consentement).

AIPD ciblées

Traitements identifiés comme à risque : profilage commercial des leads B2B via scoring algorithmique, surveillance d'activité collaborateurs sur outils SaaS partagés.

L'agent a généré les drafts AIPD selon la méthode CNIL (description, nécessité-proportionnalité, risques, mesures de mitigation). Le juriste a complété la validation et signé électroniquement les AIPD.

Procédures + politiques

L'agent a généré les documents à partir de templates internes : politique gestion violations, procédure d'exercice des droits, charte interne RGPD, registre violations vide prêt à servir.

Le juriste a personnalisé selon le contexte client et obtenu validation par l'interlocuteur en relecture courte.

Livraison + restitution

Dossier complet livré : registre des traitements, cartographie sous-traitants + plan correctif, AIPD signées, documents procédure. Restitution Zoom avec les parties prenantes client. Rapport signé eIDAS qualifié inclus.

Lecture comparative

  • Estimation interne : plusieurs semaines d'ETP juriste senior. Délai bien supérieur au SLA contractuel, charge bloquante sur d'autres dossiers en cours.
  • Externalisation POD-CA-05 : audit intégré au forfait trimestriel. Délai contractuel. Signature juridiquement opposable incluse. Voir le détail tarifaire dans le catalogue.
L'IA fait le travail descriptif. L'humain porte la responsabilité. Le contrat encadre la livraison.

Limites du cas

Trois caveats honnêtes :

  • Le client avait des données documentaires accessibles (drives bien rangés, contrats sous-traitants centralisés). Pour un client à la documentation éparpillée, prévoir une phase de pré-collecte supplémentaire.
  • L'audit ne remplace pas un DPO au sens art. 37 RGPD si vous êtes assujetti à l'obligation de désignation. Le pod livre l'audit ; la fonction DPO reste à pourvoir séparément (interne ou DPO mutualisé).
  • L'AIPD signée est opposable mais pas immunisante. Si la CNIL contrôle ultérieurement et constate une dérive (nouveau traitement non documenté, mise à jour technique non analysée), vous restez responsable.

Le cas présenté reflète un client mid-market avec une documentation préexistante moyenne. Les conditions varient selon votre contexte ; un brief de qualification précède chaque audit.

Activer POD-CA-05

Audit RGPD livré sous SLA contractuel.

Audit complet ou ciblé (AIPD seule, cartographie sous-traitants seule, gap analysis). Brief de qualification court, juriste senior assigné rapidement, livraison signée selon le SLA contractuel défini au devis.

Configurer ma stack
Tous les articles ZANOVA SASU · 2026