Quand le marketing veut lancer un programme de parrainage ou que le produit ajoute l'authentification biométrique, /compliance-check vous dit quelles réglementations s'appliquent avant le lancement. — Claude Skill
Une compétence Claude pour Claude Code par Anthropic✓ — exécuter /compliance-check dans Claude·Mis à jour le 5 juin 2026
Lancez des revues RGPD, CCPA et DPA sur toute nouvelle initiative — avancer ou escalader.
- Frameworks : RGPD, CCPA/CPRA, LGPD, POPIA, PIPEDA, PDPA, PIPL, UK GDPR
- Checklist DPA Article 28 : sous-traitants ultérieurs, notification de violation, droits d'audit
- Handler de demandes des personnes concernées : délais RGPD 30 jours / CCPA 45 jours
- Mécanismes de transfert transfrontalier : SCC (juin 2021), adéquation, BCR, addendum UK
- Verdict : Avancer / Avancer avec conditions / Revue supplémentaire requise
Pour qui
Lancez des revues GDPR/CCPA/DPA sur chaque nouvelle initiative sans devenir le goulot d'étranglement du marketing et du produit
Voir les compétences de ce rôleSurveillance conformité continue au lieu d'audits trimestriels — détectez le risque réglementaire avant qu'il arrive en boardroom
Voir les compétences de ce rôleCe qu'il fait
Le marketing vous ping vendredi : lancement lundi. /compliance-check renvoie les réglementations applicables (lois étatiques sweepstakes, guides FTC endorsement, RGPD si utilisateurs UE), les approbations requises et les zones de risque — pour répondre le jour même au lieu de devenir le goulot.
Les données biométriques sont une catégorie spéciale sous le RGPD et l'Illinois BIPA. /compliance-check signale les exigences de base légale, le déclencheur DPIA, les limites de rétention et les 5 approbations spécifiques nécessaires avant lancement.
Au lieu de lire 22 pages de jargon juridique, /compliance-check lance la checklist Article 28 — autorisation des sous-traitants ultérieurs, notification de violation 24-48 h, droits d'audit, version des SCC, transfer impact assessment — et liste les 6 annotations contractuelles à négocier.
/compliance-check identifie les exigences CCPA/CPRA : accusé réception sous 10 jours ouvrés, réponse substantielle sous 45 jours, exemptions applicables (litigation hold, obligations de rétention) et chemin droit de savoir vs droit de suppression.
Fonctionnement
Décrivez l'initiative, la fonctionnalité ou la demande en langage clair
L'outil identifie les réglementations applicables dans les juridictions utilisateur
Lance la checklist d'exigences avec statut : Respecté / Non respecté / Inconnu
Signale les zones de risque avec gravité et mitigation
Retourne un verdict avec approbations requises et prochaines étapes recommandées
Exemple
Nous voulons lancer un programme de parrainage avec 50 $ de récompense en cash, disponible sur les marchés US et UE, ciblant les clients existants.
Avancer avec conditions — 4 approbations nécessaires, 2 zones de risque, flux de consentement RGPD requis pour l'UE
RGPD (UE) : base légale = consentement pour les emails marketing, droits des personnes concernées CCPA/CPRA (Californie) : droit d'opposition au partage FTC Endorsement Guides (US) : divulgation du lien matériel pour les parrains Lois étatiques sur les sweepstakes : les récompenses cash peuvent déclencher un enregistrement à NY, FL, RI
ÉLEVÉ : qualité du consentement RGPD — doit être spécifique, librement donné, non groupé avec les ToS MOYEN : divulgation du parrain — nécessite un libellé visible 'J'ai été parrainé' selon la FTC
Équipe privacy — revue du flux de consentement RGPD Finance — seuil de reporting 1099 (600 $/an par parrain) Juridique marketing — texte de divulgation FTC Produit — mécanisme d'opt-out dans les paramètres utilisateur
Métriques améliorées
Compatible avec
Identifie les résidents de Californie dans le CRM pour le périmètre CCPA/CPRA
Passe en revue les DPA et accords de traitement stockés dans DocuSign CLM
Récupère les DPA fournisseurs depuis Ironclad pour revue Article 28
Récupère les fiches contacts UE pour évaluer le périmètre GDPR
Prêt à installer Revue de conformité ?
Choisissez comment commencer.
Installez et exécutez ce plugin localement sur votre ordinateur.
Ouvrez un terminal sur votre ordinateur et collez cette commande :
Cela télécharge le plugin avec tous ses fichiers sur votre ordinateur :
Ajoutez -g à la fin pour le rendre disponible dans tous vos projets.
Démarrez Claude Code, puis tapez la commande :
/compliance-check -- Revue de conformité
Si vous voyez des champs réservés inconnus ou devez vérifier quels outils sont connectés, consultez CONNECTORS.md.
Lancez un contrôle de conformité sur une action proposée, une fonctionnalité produit, une campagne marketing ou une initiative business.
Important : cette commande aide les workflows juridiques, mais ne fournit pas de conseil juridique. Les évaluations de conformité doivent être revues par des professionnels du droit qualifiés. Les exigences réglementaires changent fréquemment ; vérifiez toujours les exigences actuelles auprès de sources faisant autorité.
Utilisation
/compliance-check $ARGUMENTS
Ce dont j'ai besoin
Décrivez ce que vous prévoyez de faire. Exemples :
- "Nous voulons lancer un programme de parrainage avec récompenses en espèces"
- "Nous ajoutons l'authentification biométrique à notre application mobile"
- "Nous devons traiter des données client de l'UE dans notre datacenter aux États-Unis"
- "Le marketing veut utiliser des témoignages clients dans des publicités"
Sortie
## Contrôle de conformité : [Initiative]
### Résumé
[Évaluation rapide : Continuer / Continuer avec conditions / Revue supplémentaire requise]
### Réglementations et politiques applicables
| Réglementation/Politique | Pertinence | Exigences clés |
|--------------------------|------------|----------------|
| [GDPR / CCPA / HIPAA / etc.] | [Comment cela s'applique] | [Ce que vous devez faire] |
### Exigences
| # | Exigence | Statut | Action requise |
|---|----------|--------|----------------|
| 1 | [Exigence] | [Satisfaite / Non satisfaite / Inconnue] | [Que faire] |
### Zones de risque
| Risque | Gravité | Atténuation |
|--------|---------|-------------|
| [Risque] | [Élevée/Moyenne/Faible] | [Comment le traiter] |
### Actions recommandées
1. [Action la plus importante]
2. [Deuxième priorité]
3. [Troisième priorité]
### Approbations nécessaires
| Approbateur | Pourquoi | Statut |
|-------------|----------|--------|
| [Personne/Équipe] | [Raison] | [En attente] |
### Revue supplémentaire recommandée
[Domaines où une revue par un conseil externe ou un spécialiste est conseillée]
Aperçu des réglementations de confidentialité
GDPR (Règlement général sur la protection des données)
Portée : s'applique au traitement des données personnelles de personnes situées dans l'UE/EEE, quel que soit l'emplacement de l'organisation qui traite les données.
Obligations clés pour les équipes juridiques internes :
- Base légale : identifier et documenter la base légale de chaque activité de traitement (consentement, contrat, intérêt légitime, obligation légale, intérêt vital, mission publique)
- Droits des personnes concernées : répondre aux demandes d'accès, rectification, effacement, portabilité, limitation et opposition dans les 30 jours (prorogeables de 60 jours pour les demandes complexes)
- Analyses d'impact relatives à la protection des données (DPIA) : requises pour les traitements susceptibles d'engendrer un risque élevé pour les personnes
- Notification de violation : notifier l'autorité de contrôle dans les 72 heures après avoir pris connaissance d'une violation de données personnelles ; notifier sans délai indu les personnes concernées en cas de risque élevé
- Registres de traitement : maintenir les registres d'activités de traitement prévus par l'article 30
- Transferts internationaux : assurer des garanties appropriées pour les transferts hors EEE (SCCs, décisions d'adéquation, BCRs)
- Exigence DPO : désigner un délégué à la protection des données si requis (autorité publique, traitement à grande échelle de catégories particulières, surveillance systématique à grande échelle)
CCPA / CPRA (California Consumer Privacy Act / California Privacy Rights Act)
Portée : s'applique aux entreprises qui collectent les informations personnelles de résidents californiens et atteignent des seuils de chiffre d'affaires, de volume de données ou de vente de données.
Obligations clés :
- Droit de savoir : les consommateurs peuvent demander la divulgation des informations personnelles collectées, utilisées et partagées
- Droit à la suppression : les consommateurs peuvent demander la suppression de leurs informations personnelles
- Droit d'opposition : les consommateurs peuvent refuser la vente ou le partage de leurs informations personnelles
- Droit de correction : les consommateurs peuvent demander la correction d'informations personnelles inexactes (ajout CPRA)
- Non-discrimination : interdiction de discriminer les consommateurs qui exercent leurs droits
Délais de réponse :
- Accuser réception sous 10 jours ouvrés
- Répondre sur le fond sous 45 jours calendaires (prorogeables de 45 jours avec notification)
Autres réglementations clés à surveiller
| Réglementation | Juridiction | Différenciateurs clés |
|---|---|---|
| LGPD (Brésil) | Brésil | Similaire au GDPR ; exige la nomination d'un DPO ; application par l'ANPD |
| POPIA (Afrique du Sud) | Afrique du Sud | Supervision par l'Information Regulator ; enregistrement requis du traitement |
| PIPEDA (Canada) | Canada (fédéral) | Cadre fondé sur le consentement ; supervision par l'OPC |
| PDPA (Singapour) | Singapour | Registre Do Not Call ; notification obligatoire des violations |
| Privacy Act (Australie) | Australie | Australian Privacy Principles (APPs) ; régime de violations de données notifiables |
| PIPL (Chine) | Chine | Règles strictes de transfert transfrontalier ; exigences de localisation des données |
| UK GDPR | Royaume-Uni | Version britannique post-Brexit ; supervision par l'ICO |
Checklist de revue DPA
Éléments requis par l'article 28 : objet et durée, nature/finalité, types de données personnelles, catégories de personnes concernées, obligations du responsable du traitement.
Obligations du sous-traitant : traiter uniquement sur instructions documentées, confidentialité, mesures de sécurité, autorisation des sous-traitants ultérieurs, assistance pour les droits des personnes, assistance en cas de violation, suppression/restitution à la fin du contrat, droits d'audit, notification de violation sous 24 à 48 heures.
Transferts internationaux : SCCs (version juin 2021), module correct (C2P/C2C/P2P/P2C), analyse d'impact du transfert, mesures supplémentaires, addendum britannique si applicable.
Gestion des demandes des personnes concernées
Types de demandes : accès, rectification, effacement, limitation, portabilité, opposition, opt-out (CCPA/CPRA), limitation de l'utilisation des PI sensibles (CPRA).
Délais de réponse : GDPR 30 jours (+60), CCPA/CPRA 45 jours (+45), LGPD 15 jours.
Exemptions courantes : défense de réclamations juridiques, obligations légales imposant la conservation, intérêt public, liberté d'expression (effacement), litigation hold, durées de conservation réglementaires.
Conseils
- Soyez précis — "Nous voulons envoyer un email à tous nos utilisateurs" vaut mieux que "campagne marketing".
- Incluez la géographie — les exigences de conformité varient selon la juridiction.
- Mentionnez les données — quelles données personnelles sont impliquées ?