Votre conformité RGPD en 6 étapes
1
Désigner un pilote ou un comité de pilotage
Pour mettre en œuvre votre plan d’action, il vous faut dans un premier temps étudier si votre organisme a l’obligation de désigner un délégué à la protection des données (DPD ou DPO). Dans le schéma ci-dessous sont présentés les trois cas dans lesquels la désignation d’un DPO est obligatoire. En dehors de ces trois cas, la désignation d’un DPO n’est pas obligatoire.
La désignation d’un DPO est-elle obligatoire ?
💡 Découvrez notre article sur la notion de DPO ici.
Une mission à piloter
Pour piloter le travail de mise en conformité au RGPD, vous pouvez désigner un voire plusieurs pilotes ou chargés de projet qui, en plus de leurs missions, organiseront la mise en place du plan d’action. Pour faire émerger un projet de qualité, il est préférable que l’équipe désignée ne soit pas trop large. Trois aspects essentiels sont à prendre en compte :
-
-
- Le volet technique ;
- La partie juridique ;
- Et le plan organisationnel.
-
L’élaboration et la mise en place du plan d’action ne dépendent pas que d’une seule personne. Tous les services de l’entreprise sont concernés. Aussi, la sensibilisation et la communication avec vos collaborateurs, chefs de services et l’ensemble du personnel sont essentielles.
Désigner un « point de contact »
Si la désignation d’un DPO n’est pas obligatoire au sein de votre entreprise, il peut être judicieux de désigner un « point de contact ». Cela permettra de simplifier et centraliser les procédures (déclaration de violation de données auprès de la CNIL, réalisation d’audit au sein de l’entreprise, tenue des registres, etc.). Cette personne peut être la personne désignée pour piloter la mise en conformité de votre entité par exemple.
2
Cartographier les activités de traitement
L’objectif de cette étape est de faire l’inventaire des activités de traitement mises en œuvre au sein de votre structure. Une activité de traitement regroupe une ou plusieurs opérations effectuées sur des données à caractère personnel (collecte, consultation, modification, etc.).
Vous pourrez ensuite débuter la rédaction de votre registre des activités de traitement et disposer d’une vue d’ensemble de la gestion des données personnelles au sein de votre entreprise. Elément central de votre travail de mise en conformité, ce registre vous permettra également de mieux comprendre et maîtriser le patrimoine informationnel de l’entreprise.
3
Réaliser l’état des lieux
Pour élaborer votre registre des traitements, vous devrez pour chaque activité :
-
-
- Identifier les données ou catégories de données utilisées ;
- Répertorier les objectifs mobilisés ;
- Lister les mesures de sécurité mises en place (techniques, physiques, organisationnelles) ;
- Préciser les durées de conservation fixées ;
- Lister les sous-traitants de données personnelles, les éventuels transferts de données ;
- Etc.
-
En renseignant votre registre, vous allez identifier des actions à mener pour respecter les obligations en matière de protection des données et/ou les recommandations de la CNIL.
Après avoir interrogé les différents services et collaborateurs, vous pourrez distinguer certains écarts de conformité et des pistes pour améliorer la protection des données au sein de votre structure.
🤔 Comment mesurer sa conformité au RGPD ?
Vous pourrez ensuite dresser un rapport des pratiques mises en place dans l’entreprise.
L’état des lieux ainsi réalisé permet de constater des éventuels écarts de conformité.
4
Affecter et prioriser les tâches
Priorisation et axes d’amélioration
Parmi les manquements que vous allez identifier pourront figurer :
-
-
- La mise en place d’une information adaptée à chaque support de collecte de données personnelles tel que sur le formulaire de contact de votre site internet ;
- L’instauration d’une procédure pour la gestion des demandes d’exercice des droits et/ou de violations de données ;
- La détermination et l’application d’une durée de conservation adéquate (par exemple : 2 ans maximum pour les CV collectés dans le cadre d’un recrutement) ;
- La mise en place ou l’amélioration de mesures de sécurité (par exemple concernant la gestion des habilitations et des accès) ;
- Etc.
-
Communication
Chaque département, service ou collaborateur peut être mobilisé et participer à la mise en place des bonnes pratiques. Pour cela, vous pouvez communiquer le plus largement possible au sein de la société sur le travail en cours.
Il vous appartient d’affecter les tâches à mener dans le cadre de la mise en conformité, à une ou plusieurs personnes et de mobiliser les ressources nécessaires.
Nous vous recommandons également de prévoir une sensibilisation et des formations du personnel selon les services et selon les traitements de données effectués au sein de ces services.
💡Des exemples concrets d’amélioration de la protection des données
Vous pouvez charger le service qui gère le site Internet de vérifier et, le cas échéant, de mettre en place :
-
-
- Une information des internautes sur les données collectées et traitées (via une politique de protection des données) ;
- Un outil de gestion des cookies ;
- Des formulaires de contact respectant le principe de minimisation des données.
-
Le DSI (Directeur des Systèmes d’Information) peut apporter son expertise et ses connaissances pour améliorer les mesures de sécurité mises en place. Par exemple :
-
-
- Un système de chiffrement et de pseudonymisation des données traitées ;
- La vérification des flux de données et de leur nécessité ;
- Des tests, analyses, mises à jour et évaluations régulières des systèmes d’information.
-
5
Gérer et aménager les processus
Les collaborateurs
Il est fortement conseillé de gérer les habilitations et de mettre à jour les droits d’accès de vos collaborateurs de façon régulière.
La formation et la sensibilisation au RGPD de l’ensemble du personnel jouent un rôle essentiel et contribuent à la réussite de votre projet au sein de l’entreprise. Elles permettront également de faire face plus facilement aux risques qui ont pu être identifiés.
La mise en place de procédures à suivre en cas de violation de données est aussi très importante.
N’hésitez pas à prévoir une communication claire et synthétique des procédures et bonnes pratiques à suivre auprès de votre personnel.
Sous-traitance des données personnelles
Concernant la sous-traitance de données personnelles, il vous faut faire le point sur :
-
-
- Vos relations contractuelles avec les personnes vis-à-vis desquelles vous êtes sous-traitants de données personnelles ;
- Vos relations contractuelles avec vos propres sous-traitants de données personnelles.
-
Veillez à bien négocier et formaliser avec vos sous-traitants de données personnelles :
-
-
- Les garanties et les mesures de sécurité ;
- Les conditions de traitement des données ;
- Le transfert des données à d’autres entités notamment hors Union européenne ;
- La possibilité de faire appel à des sous-traitants ultérieurs.
-
Informer ses clients, prospects, visiteurs…
Les personnes concernées par un traitement de leurs données personnelles doivent avoir accès à une information accessible et complète.
Cette information doit mentionner :
✅ Les finalités ou objectifs des traitements de données ;
✅ La base légale qui garantit la licéité des traitements ;
✅ Leurs droits sur leurs données et la manière de les exercer ;
✅L’éventuelle existence de transferts de données vers d’autres entreprises (sous-traitants, partenaires, etc.), notamment hors Union européenne ;
✅ Les différents destinataires des données personnelles ;
✅ La durée de conservation des données et les mesures de sécurité mises en place.
💡En tant que responsable de traitement, vous avez l’obligation de mettre en place des moyens simples et efficaces pour faciliter la réponse aux demandes d’exercice des droits qui vous sont soumises par les personnes concernées.
Un délai de principe d’un mois est imposé pour répondre aux demandes.
6
Documentation de la conformité au RGPD
L’accountability
La CNIL définit l’accountability comme « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».
En d’autres termes, c’est l’obligation pour les entreprises de documenter les preuves de leur mise en conformité au RGPD.
N’hésitez pas à prévoir une communication claire et synthétique des procédures et bonnes pratiques à suivre auprès de votre personnel.
Démontrer sa conformité
Pour être en mesure de démontrer sa conformité au RGPD, vous devez pouvoir produire une documentation, décrivant l’ensemble des procédures et des bonnes pratiques appliquées par votre structure en matière de données personnelles. Cette documentation comprend notamment :
✅ Les registres : registre des activités de traitement et registre du sous-traitant de données personnelles.
✅ Les analyses d’impact réalisées pour les traitements qui présentent des risques pour les droits et libertés de personnes.
✅ Les clauses contractuelles et toute autre preuve de l’encadrement des transferts de données à des tiers établis en dehors de l’Union Européenne.
- Les mentions d’information mises à la disposition des personnes concernées par les traitements ainsi que le recueil de leurs consentements le cas échéant.
- La documentation concernant le traitement des demandes et la mise en place d’une procédure simple et accessible d’exercice des droits.
- Le registre des violations de données répertoriant tout incident de sécurité ayant un potentiel impact sur les données personnelles et sur les droits et libertés des personnes.
Retrouvez nos bonnes pratiques et checklists dans les offres et l’application de conformité RGPD Lord Privacy ! 💡
Découvrez les solutions Lord Privacy
→Retrouvez nos bonnes pratiques et checklists dans les offres et l’application de conformité RGPD Lord Privacy !