Suivez les rendez-vous incontournables B2B


Pour aller plus loin, inscrivez-vous à notre newsletter pour recevoir tous les mois, les articles les plus lus et les rendez-vous incontournables

RGPD - Quelles sont les actions à mettre en oeuvre pour être en conformité ?

 

Dans moins de 3 mois, entrera en vigueur le nouveau règlement général sur la protection des données (RGPD). Le 25 mai est la date butoire à partir de laquelle chaque entreprise qui gère, via traitement, des données personnelles sera exposée à des sanctions allant jusqu'à 2% ou 4% du chiffre d'affaires mondial ou jusqu'à 10 ou 20 millions d'euros (le montant le plus élevé étant retenu).
Si dorénavant, le texte allège les lourdeurs administratives associées aux anciennes “Déclarations CNIL”, il oblige chacun à intégrer le principe d’ “accountability”, c'est-à-dire apporter la preuve que toutes les mesures techniques et organisationnelles ont été mises en oeuvre pour protéger leurs données. Nous allons voir à travers ce second article, quelles sont les grandes actions que vous devez mettre en oeuvre pour être en mesure de prouver votre conformité.

 

La gouvernance des données

 

Le RGPD a un impact global sur l’entreprise, il induit pour chaque organisation une refonte interne des processus de gestion de l’information et de la donnée à chaque niveau de l’activité. La démarche de mise en conformité doit ainsi être initiée avant tout par la direction de l’entreprise, qui a pour rôle d'entraîner dans sa démarche l’ensemble des services autour d’une nouvelle culture d’entreprise respectueuse des principes de protection de la donnée. Veille technologique et juridique, sensibilisation du personnel, anticipation de la violation des données … sont autant d’actions qui peuvent être mises en oeuvre pour assurer un niveau de protection élevé et constant au sein de l’entreprise ! Le RGPD est une opportunité décisive pour chaque organisation de remettre de l’ordre et de la transversalité dans les processus internes de traitement de l’information.

 

Les 6 étapes préconisées par la CNIL

1 ) Choisir un DPO.

Il apparaît comme pertinent d’accompagner ses équipes et de désigner un “pilote” de la gouvernance des données personnelles de votre entreprise. Il doit vérifier la conformité de son organisation avec le RGPD par l’identification des actions de traitement réalisées, l’analyse et la vérification de leur conformité. Véritable conseiller de votre mise en conformité ses recommandations vous guideront dans la jungle du RGPD ! La nomination d’un DPO, n’est pas obligatoire pour toutes les entreprises mais elle est fortement conseillée. Etant un poste inédit, il peut être difficile de trouver un interlocuteur qualifié sur le marché de l’emploi. Recrutement en interne ou externalisation? Fonction à mi-temps ou à plein temps ? Embauche ou mutualisation ? Autant de questions qu’il va falloir vous poser !


 

Malgré son rôle central dans la stratégie de mise en conformité d’une entreprise, le DPO n’est cependant pas légalement responsable de la conformité de son entreprise. C’est elle seule qui prend la décision d’appliquer ou non ses recommandations ! 

2 ) Cartographiez vos données

Avant d’engager une refonte de ses processus, une étape clé va être de recenser tous les traitements de données actuels dans l’entreprise. Le but : dresser un registre des traitements pour être en mesure d’identifier et de quantifier l’impact du RGPD. 

  

Le registre doit englober les différents traitements de données personnelles, les différentes catégories de données traitées, les objectifs de chaque opération de traitement, les différents acteurs qui traitent ces données et les différents flux d’origine et destination des données. Vous serez ainsi en mesure d’identifier les zones de risques et de mettre en place des actions correctives.

3 ) Élaborez votre plan d’action

Vous possédez maintenant un état des lieux complet sur lequel vous appuyer pour développer votre plan d’action ! Voici quelques étapes essentielles à votre transition vers la conformité :

 

4 ) Evaluez les risques

Identifier un traitement à risque ne suffit plus, il vous faudra réaliser pour chacun de ces traitements suspects une analyse d’impact de la protection des données (DPIA - Data Protection Impact Assessment). Cette étude visant à inciter les organismes à construire un processus plus respectueux de la vie privée repose sur deux grands piliers :

L’évaluation du système de traitement actuel et sa mise en comparaison avec les grands principes et droits cités dans le RGPD (finalités, durées de conservation, droits des personnes…)

L’étude de risque sur la sécurité des données (abus, violations, disparition des données…) 

5 ) Repensez vos processus internes

Le déploiement de votre plan d’action passe avant tout par la refonte de vos processus actuels. Votre obligation : garantir un haut niveau de protection des données personnelles et ce en permanence.
Application des principes de “Privacy by default” et “Privacy by design” à chaque niveau de votre activité, sensibilisation de l’ensemble de vos collaborateurs pour les impliquer dans une démarche proactive et responsable de traitement de la donnée, traitement des réclamations et des demandes des personnes concernées, ou encore anticipation des violations de données sont des sujets qui vont vous demander de repenser globalement vos processus de traitement internes et externes des données personnelles. Privilégiez des outils “RGPD compliant” pour mettre en oeuvre votre stratégie, anticiper et automatiser au maximum chaque scénario.

6 ) Documentez votre conformité

Nous l’avons dit le principe d’accountability est un des grands changements induits par le RGPD. Être en mesure de fournir des preuves de sa conformité nécessite de tenir à jour une documentation complète sur chaque action mise en place. 

Quels éléments archiver ?

Le registre des traitements

Les analyses d’impacts sur la protection des données (PIA)

L’encadrement des transferts de données hors de l’UE

Les mentions d’information

Les modèles de recueil de consentement

Les procédures mise en place pour l’exercice des droits des individus

Les contrats avec ses sous-traitants

Les procédures en cas de violation de données

Les preuves de consentement

Augmentez votre connaissance client avec INES.Contact Manager !
!--
Solution tout en un pour gérer sa relation client !
-->
 
 

Erica Seng-Sourinho

Digital Marketing Manager - INES CRM

Top