La conformité n'est pas une corvée administrative. Bien posée, elle met de l'ordre dans vos données et inspire confiance à vos clients. On construit un dispositif à la taille de ce que vous traitez, pas un classeur de procédures que personne n'ouvrira. Vous savez où sont vos données, qui y accède et quoi faire quand une demande arrive.
La protection des données ne se règle pas une fois pour toutes. On structure votre dispositif au démarrage, puis on tient le cap avec vous : nouvel outil, sous-traitant qui change, demande d'une personne concernée.
Pour beaucoup d'organisations, désigner un DPO en interne représente une charge disproportionnée. On endosse le rôle pour vous, pas comme un prestataire qu'on appelle au besoin, mais comme un membre intégré à votre équipe. On suit votre quotidien, on anticipe ce qui peut poser problème, on vous alerte avant qu'un sujet ne devienne urgent. Vos collaborateurs et les personnes concernées ont un interlocuteur, pas un ticket à ouvrir.
Vous savez que la conformité, c'est important, mais vous n'êtes pas sûr de ce qui est en place et de ce qui pèche. On part de votre situation réelle : registre, contrats existants, pratiques quotidiennes. Vous repartez avec une liste priorisée des écarts à combler concrètement et l'ordre dans lequel les traiter.
Votre fiduciaire, votre hébergeur, votre outil de newsletter, votre CRM : tous traitent vos données. On vérifie ce que font vraiment vos sous-traitants, on négocie avec eux de manière constructive. En somme, on limite les risques pour que la relation dure dans le temps.
Vos collaborateurs sont la première ligne de défense, et la plus exposée. On déploie un dispositif continu : capsules e-learning, simulations de phishing, sessions présentielles annuelles, campagnes ciblées. Pas une sensibilisation par an, mais un fil rouge tout au long de l'année.
Une violation de la sécurité des données, une demande d'accès d'une personne concernée, un signalement à l'autorité : on prend la main. Recevabilité, préparation des éléments, rédaction de la réponse, communications publiques si nécessaire. Vous n'êtes pas seul face à ces moments délicats.
Cette liste n'est pas exhaustive. Beaucoup de demandes ne rentrent dans aucune case, c'est souvent là qu'on commence à discuter.
« Si je suis une petite organisation, je ne suis pas concerné. »
Ce n'est pas la taille de votre organisation qui change si vous êtes concerné, c'est ce que vous traitez réellement qui détermine vos obligations.
« C'est un sujet juridique, mon avocat s'en occupe. »
La conformité est avant tout un travail d'organisation : cartographier ce qu'on traite, documenter, sensibiliser les équipes. Un avocat intervient ponctuellement sur un point précis. Au quotidien, c'est un autre métier.
« Mon prestataire IT s'en occupe déjà. »
Votre prestataire IT gère ses propres obligations en tant que sous-traitant, pas les vôtres. Vous restez responsable du traitement face à l'autorité et aux personnes concernées. Ce sont deux périmètres distincts.
« Une fois en règle, c'est fait pour toujours. »
La conformité est un fonctionnement, pas un projet. Vos outils, vos sous-traitants, vos finalités évoluent, votre dispositif aussi. C'est ce qu'on tient à jour pour vous au fil du temps.
Le cadre légal ne fait pas de distinction de taille. Ce qui change, c'est l'ampleur de ce que vous devez mettre en place selon vos activités.
Comptez environ 6 à 12 mois pour structurer un dispositif complet : cartographie, registre, politiques, contrats sous-traitants, formation des équipes. Ensuite, c'est un fonctionnement à entretenir, ce que couvre le mandat DPO externe sur la durée.
Non. Dans certains cas, un correspondant interne suffit. On le dit franchement quand c'est votre cas. Externaliser le DPO n'a de sens que si ça vous décharge réellement et vous apporte une expertise que vous n'avez pas en interne.
En deux phases. La première sert à comprendre votre fonctionnement : entretiens avec les équipes clés, cartographie de vos activités, analyse des contrats existants, identification des écarts. La seconde déploie : politiques, révision des contrats, procédures pour les violations et les demandes des personnes, sensibilisation des équipes. À l'issue, votre programme de protection des données tourne et le mandat DPO externe prend le relais en continu.
Non. Le mandat DPO externe, c'est un forfait annuel unique qui couvre tout : le suivi au quotidien comme les imprévus. Une violation à annoncer, une demande d'accès à traiter, un nouveau sous-traitant à cadrer ? C'est déjà compris. Vous connaissez votre budget pour l'année, sans facture qui s'ajoute à chaque dossier qui sort de l'ordinaire.
Des situations concrètes proches de la vôtre.
Protection des données
« Cet outil est-il conforme ? » est presque toujours la mauvaise question. Pour Executive Education HEC Lausanne, YBCS a analysé trois outils digitaux très différents en croisant les angles juridique, technique et organisationnel. Résultat : des verdicts opérationnels, des conditions d'usage explicites, et une relation qui se poursuit dans la durée. Récit et trois enseignements.
Protection des données
Une entreprise romande voulait étendre son système de vidéoprotection : conserver les images plus longtemps, ajouter une caméra. Avant le matériel, YBCS a posé le cadre. Qui voit quoi, comment les collaborateurs sont informés, quelle procédure suivre : trois décisions ont été tranchées en connaissance de cause, dont celle de ne pas installer la caméra prévue. Récit et trois enseignements.
Protection des données
Wedo édite un logiciel suisse de gestion des réunions, utilisé par des organisations privées comme publiques. Plutôt que multiplier les avenants au gré des clients et des lois cantonales, un seul corpus contractuel refondu, utilisable sans négociation. Récit et trois enseignements.
Quinze minutes au téléphone suffisent souvent à clarifier le besoin.
Échanger avec un consultant