Être conforme à la RGPD ?

 

Notre filiale informatique Data-IT vous accompagne dans votre mise en conformité RGPD

Le RGPD est le nouveau règlement européen unifiant les réglementations des différents états membres de l’Union européenne en matière de protection des données à caractère personnel. Il renforce les droits des personnes dont les données sont collectées et traitées et met en place des sanctions plus importantes en cas de violation.

Plus d’informations sur le Règlement Général sur la Protection des Données et les sanctions (jusqu’à 4% du CA)

 

Voici les 6 étapes pour mettre en œuvre cette gestion et par la même être en conformité avec le RGPD.

1. Désigner un chef de projet

Comme tous les projets d’envergure, il faut un pilote ou un chef de projet. Sa mission est de mettre en place la gouvernance des données personnelles au sein de l’entreprise.
Pour que ce pilote, le Délégué à la Protection des Données – DPO, soit en mesure de mener à bien sa mission, il doit maîtriser à la fois les questions juridiques en lien avec la protection des données personnelles et les questions informatiques. Ces compétences sont indispensables pour bien comprendre les enjeux d’une gestion parfaite de la conformité.
Le DPO va s’appuyer sur l’ensemble des autres directions de l’entreprise, DSI, DRH, DAF…, pour mener à bien sa mission.

2. Cartographier les données personnelles

Le DPO va recenser l’ensemble des données personnelles confiées à l’entreprise. Il s’agit des données de ses clients, de ses salariés, de ses prospects…
Ces données personnelles sont très diverses et le DPO se demandera pour chacune d’entre elles les questions suivantes :
• pourquoi avez-vous recueilli ces données : gérer les relations avec ses clients ;
• où sont stockées ces données : dans l’entreprise, en France, dans le cloud, oui mais où ?… ;
• combien de temps devez-vous les conserver : 1 an, 10 ans, indéfiniment ?
• …
L’ensemble de ces traitements doit être recensé dans un document unique : le registre des traitements. Le but est de d’assurer la traçabilité des données personnelles.

3. Agir pour corriger

Une fois l’ensemble des traitements de données personnelles cartographié, le DPO trouvera probablement des anomalies dans la gestion des données.
Ces anomalies doivent être corrigées. Elles ne sont toutefois pas toutes de la même importance. Le DPO doit prioriser les tâches en traitant en premier les anomalies les plus graves pour finir par celles qui sont moins graves.
Cela peut par exemple se traduire par la mise en place de mots de passe plus compliqués sur les postes de travail des salariés. Non, 123456 n’est pas un mot de passe assez sûr. Pas plus que ne l’est azerty ! L’idée est ici de renforcer la protection des données personnelles des clients.

4. Gérer les risques

Le Délégué à la Protection des Données peut identifier des traitements particuliers qui engendrent des risques élevés pour les droits et libertés des personnes. Cela peut concerner des données de santé par exemple. Ces données sont considérées comme particulièrement sensibles.
Dans ce cas, le DPO doit mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données.
Le DPO va devoir déterminer pour chacun de ce type de données si le traitement des données personnelles est fait en toute sécurité. Le risque de fuite de données doit absolument être écarté. Cela passe notamment par une bonne gestion des droits d’accès des salariés aux données des clients : ne doit avoir accès à ces données que le salarié qui en a besoin.

5. Mettre à jour les processus internes

Les actions correctrices sont importantes mais sont le plus souvent provisoires. Pour que la gestion des données personnelles soit conforme au RGPD, l’entreprise devra probablement réorganiser ses processus internes.
En effet, le RGPD vise un haut niveau de protection des données personnelles. C’est aussi l’occasion de montrer à ses clients et partenaires que vous prenez soin des données qu’ils vous ont confiées.
Par exemple, cela peut impliquer d’empêcher tous les salariés d’accéder à toutes les données, notamment celles des clients. En principe, ne doit accéder à une donnée que celui qui en a besoin.

6. Documenter la conformité

C’est la dernière étape. Elle découle naturellement des 5 étapes précédentes. La documentation permet le suivi quotidien des actions menées sur les données personnelles au sein de l’entreprise.
Cette documentation permet surtout de prouver que les process internes respectent le RGPD. Les différents documents doivent en permanence être à jour pour rester efficace. Elle permettra aussi de prouver la bonne gouvernance en cas de contrôle par la CNIL.

Être en conformité avec le RGPD est enfin pour les entreprises, un très bon moyen de renforcer la confiance de ses clients. C’est un grand avantage concurrentiel.

 

Contactez nos experts et démarrez votre mise en conformité !

contact@data-it.fr ou 03.20.30.38.70