RGPD - Quelles sont les actions à mettre en oeuvre pour être en conformité ?
- INES CRM |
- RGPD

Dans moins de 3 mois, entrera en vigueur le nouveau règlement général sur la protection des données (RGPD). Le 25 mai est la date butoire à partir de laquelle chaque entreprise qui gère, via traitement, des données personnelles sera exposée à des sanctions allant jusqu'à 2% ou 4% du chiffre d'affaires mondial ou jusqu'à 10 ou 20 millions d'euros (le montant le plus élevé étant retenu).
Si dorénavant, le texte allège les lourdeurs administratives associées aux anciennes “Déclarations CNIL”, il oblige chacun à intégrer le principe d’ “accountability”, c'est-à-dire apporter la preuve que toutes les mesures techniques et organisationnelles ont été mises en oeuvre pour protéger leurs données. Nous allons voir à travers ce second article, quelles sont les grandes actions que vous devez mettre en oeuvre pour être en mesure de prouver votre conformité.
La gouvernance des données
Le RGPD a un impact global sur l’entreprise, il induit pour chaque organisation une refonte interne des processus de gestion de l’information et de la donnée à chaque niveau de l’activité. La démarche de mise en conformité doit ainsi être initiée avant tout par la direction de l’entreprise, qui a pour rôle d'entraîner dans sa démarche l’ensemble des services autour d’une nouvelle culture d’entreprise respectueuse des principes de protection de la donnée. Veille technologique et juridique, sensibilisation du personnel, anticipation de la violation des données … sont autant d’actions qui peuvent être mises en oeuvre pour assurer un niveau de protection élevé et constant au sein de l’entreprise ! Le RGPD est une opportunité décisive pour chaque organisation de remettre de l’ordre et de la transversalité dans les processus internes de traitement de l’information.
Sécurisez vos données clients !
Les 6 étapes préconisées par la CNIL
1 ) Choisir un DPO.
Il apparaît comme pertinent d’accompagner ses équipes et de désigner un “pilote” de la gouvernance des données personnelles de votre entreprise. Il doit vérifier la conformité de son organisation avec le RGPD par l’identification des actions de traitement réalisées, l’analyse et la vérification de leur conformité. Véritable conseiller de votre mise en conformité ses recommandations vous guideront dans la jungle du RGPD ! La nomination d’un DPO, n’est pas obligatoire pour toutes les entreprises mais elle est fortement conseillée. Etant un poste inédit, il peut être difficile de trouver un interlocuteur qualifié sur le marché de l’emploi. Recrutement en interne ou externalisation? Fonction à mi-temps ou à plein temps ? Embauche ou mutualisation ? Autant de questions qu’il va falloir vous poser !
Malgré son rôle central dans la stratégie de mise en conformité d’une entreprise, le DPO n’est cependant pas légalement responsable de la conformité de son entreprise. C’est elle seule qui prend la décision d’appliquer ou non ses recommandations !
2 ) Cartographiez vos données
Avant d’engager une refonte de ses processus, une étape clé va être de recenser tous les traitements de données actuels dans l’entreprise. Le but : dresser un registre des traitements pour être en mesure d’identifier et de quantifier l’impact du RGPD.
-
L'article 4 du règlement définit un taitement comme "toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communicationpar transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction".
Le registre doit englober les différents traitements de données personnelles, les différentes catégories de données traitées, les objectifs de chaque opération de traitement, les différents acteurs qui traitent ces données et les différents flux d’origine et destination des données. Vous serez ainsi en mesure d’identifier les zones de risques et de mettre en place des actions correctives.
3 ) Élaborez votre plan d’action
Vous possédez maintenant un état des lieux complet sur lequel vous appuyer pour développer votre plan d’action ! Voici quelques étapes essentielles à votre transition vers la conformité :
Nettoyez votre base
Assurez-vous que les données collectées et traitées sont strictement nécessaires à la poursuite des objectifs définisVérifier l'adéquation de vos traitements avec les grands principes RGPD
On entre ici dans une introduction concrète du concept de "Privacy by design"! Mettez en place des mesures proactives et préventives dans la gestion de vos données personnelles de même qu'une protection automatique de ces dites données. Les processus mis en place doivent permettre à chaque personne concernée d'exercer ses droits (accès, rectification, portabilité...)Révisez toutes vos mentions d'informations pour être en adéquation avec le règlement
CGV, contrats... On justifie chaque collecte en s'appuyant sur une base juridique solide ! (consentement, contrat ...)Engagez la responsabilité de vos sous-traitants
Vérifiez la mise en conformité de vos sous-traitants et formalisez des clauses contractuelles définissant les obligations de ces derniers en termes de sécurité, confidentialité et protection des données personnelles traitées4 ) Evaluez les risques
Identifier un traitement à risque ne suffit plus, il vous faudra réaliser pour chacun de ces traitements suspects une analyse d’impact de la protection des données (DPIA - Data Protection Impact Assessment). Cette étude visant à inciter les organismes à construire un processus plus respectueux de la vie privée repose sur deux grands piliers :
- L’évaluation du système de traitement actuel et sa mise en comparaison avec les grands principes et droits cités dans le RGPD (finalités, durées de conservation, droits des personnes…)
- L’étude de risque sur la sécurité des données (abus, violations, disparition des données…)
5 ) Repensez vos processus internes
Le déploiement de votre plan d’action passe avant tout par la refonte de vos processus actuels. Votre obligation : garantir un haut niveau de protection des données personnelles et ce en permanence.
Application des principes de “Privacy by default” et “Privacy by design” à chaque niveau de votre activité, sensibilisation de l’ensemble de vos collaborateurs pour les impliquer dans une démarche proactive et responsable de traitement de la donnée, traitement des réclamations et des demandes des personnes concernées, ou encore anticipation des violations de données sont des sujets qui vont vous demander de repenser globalement vos processus de traitement internes et externes des données personnelles. Privilégiez des outils “RGPD compliant” pour mettre en oeuvre votre stratégie, anticiper et automatiser au maximum chaque scénario.
6 ) Documentez votre conformité
Nous l’avons dit le principe d’accountability est un des grands changements induits par le RGPD. Être en mesure de fournir des preuves de sa conformité nécessite de tenir à jour une documentation complète sur chaque action mise en place.
Quels éléments archiver ?
-
- Le registre des traitements
-
- Les analyses d’impacts sur la protection des données (PIA)
-
- L’encadrement des transferts de données hors de l’UE
-
- Les mentions d’information
-
- Les modèles de recueil de consentement
-
- Les procédures mise en place pour l’exercice des droits des individus
-
- Les contrats avec ses sous-traitants
-
- Les procédures en cas de violation de données
-
- Les preuves de consentement