Voilà maintenant plus de 3 ans que le Règlement Général sur la Protection des Données (RGPD) partage notre quotidien, modifie notre comportement entrepreneurial, bouleverse nos habitudes et nos process de collecte et de traitement de données personnelles. Alors où en êtes vous de votre conformité au RGPD ?
A la différence des dernières directives en matière de protection des données, le RGPD est, comme son nom l’indique un règlement. Qui dit règlement, dit mesures coercitives en cas de non-conformité ! Le RGPD doit donc faire partie intégrante des stratégies d’entreprise.
Mise en conformité, par quel bout commencer ?
Afin d’être efficace dans vos process de mise en conformité et comprendre les tenants et aboutissants du RGPD, il convient d’en rappeler les grands principes et d’en recadrer le champ d’application
Concrètement qu’est-ce que vous devez mettre en place ?
Le RGPD, impose aux organisations qui traitent les données de résidents européens de préciser quelles données à caractère personnel sont traitées, comment est-ce qu’elles sont sécurisées et combien de temps elles sont conservées ?
Déjà, qu’est-ce qu’une donnée à caractère personnelle ?
Comprenez par données à caractère personnel au sens du règlement, toute donnée qui permet d’identifier (directement ou indirectement) un individu : très concrètement son nom, son prénom mais aussi son numéro de téléphone ou sa plaque d’immatriculation…
Dans un contexte de mise en conformité au RGPD, les organisations devront donc recenser l’ensemble des traitements de données dans un registre dédié.
Mais du coup qu’est-ce qu’un traitement de données ?
Un traitement est en fait une opération réalisée avec des données à caractère personnel : les formulaires de contact, les factures, les fichiers clients, ou les bulletins de salaires de vos employés sont des traitements …
Ça y est vous commencez à percevoir l’ampleur du travail à réaliser ?!
Et si nous vous donnions quelques clés pour faciliter cette démarche de conformité ?
- Voir le verre à moitié plein pour enfin se lancer :
On pourrait retenir de cette démarche que
- C’est un travail fastidieux
- Certaines de vos habitudes seront certainement bouleversées
- C’est un investissement
Mais !
- Les sanctions en cas de non-conformité peuvent aller jusqu’à une amende équivalente à 4 % de votre chiffre d’affaires annuel
- La conformité au RGPD est un gage de confiance vis-à-vis de vos partenaires et clients
- La conformité RGPD impose de tenir des mesures de sécurité adéquates pour vos données. Cette sécurité imposée vous octroie également une vulnérabilité moindre face aux cyberattaques.
- Désigner un DPO ou un pilote interne chargé de ce projet de mise en conformité
Un Délégué à la protection des données (ou pilote de conformité) aura pour un rôle de conseil, d’information, de contrôle, de sensibilisation des équipes et sera votre intermédiaire avec l’autorité de contrôle : la CNIL.
Ce personnage clé de votre conformité peut être nommé en interne ou en externe.
- Cartographiez vos traitements de données personnelles
Le but ici, c’est de vous permettre de visualiser !
C’est-à-dire ?! Cartographiez, recensez l’ensemble des traitements de donnée que vous effectuez. Ce premier état des lieux aura pour but d’identifier les écarts règlementaires de vos traitements pour ensuite prioriser et identifier les actions correctives à mener.
- Prioriser les actions à mener
La priorisation des actions, apporte une précision sur votre plan d’actions face à ces nouvelles exigences de gouvernance des données personnelles et les éventuels risques susceptibles d’impacter sur les droits et les libertés des personnes concernées.
Les traitements de données mis en œuvre respectent-ils les 8 règles d’or énoncées par le règlement ? Certains traitements présentent-ils un risque élevé pour les personnes concernées ?
- Documenter sa conformité
Attention, personne n’est en mesure de vous procurer une attestation “tamponnée conforme” au RGPD. La documentation de votre conformité fera preuve. Constituez un dossier qui répertoriera tous les process, les mentions d’informations rédigées ou encore le registre des traitements. Cette documentation de votre conformité sera à présenter à la CNIL en cas de contrôle.
Vous y voyez plus clair ? Encore des questions ? N’hésitez pas à nous contacter nous nous ferons un plaisir de vous renseigner .
<< Tout le monde croit que le fruit est l’essentiel de l’arbre quand, en réalité, c’est la graine.>> Friedrich NIETZCHE