Avec le Règlement Général sur la Protection des Données/General Data Protection Regulation (RGPD ou GDPR), les entreprises devront être en mesure de prouver à n’importe quel moment et que les données personnelles¹ sont protégées et inexploitables en cas de vol.

Si vous deviez débuter sa mise en conformité, par quoi commencer ?

Il convient tout d’abord d’adapter votre démarche à l’état dans lequel votre organisation se trouve.

Un premier état des lieux permettra d’établir l’existant en la matière dont le traitement des données personnelles dans l’entreprise,  l’application des  principes de la loi Informatique et Libertés de 1978 : déclaration de traitement, Correspondant informatique et liberté, …

En parallèle de cette démarche, il convient de s’assurer de la bonne compréhension des enjeux par les décideurs ou le comité de direction de l’entreprise.

Avec le RGPD, il s’agit en effet d’initier une transformation dans l’entreprise en matière de gouvernance des données.

Au-delà de la conformité, cette dernière est également en mesure d’apporter des gains réels dans le fonctionnement de l’entreprise, dans la relation avec ses collaborateurs et ses clients.

De l’état des lieux et du support des décideurs, il conviendra de déterminer les contours de votre chantier : un responsable de chantier au sein de votre organisation, un plan d’action et une feuille de route.

De la méthode, pour répondre à un chantier complexe

Cette complexité réside dans les 3 points suivants :

Le temps restant

Combien de jours avant le 25 Mai 2018 ? Juste 100 jours !

La nécessité d’impliquer de nombreux contributeurs internes

Il ne s’agit pas d’un chantier informatique, ni même d’un chantier juridique, mais tout au contraire d’un chantier qui concerne plusieurs contributeurs dans l’entreprise :

Pour exemple, le recueil et le traitement des données personnelles incombent dans l’entreprise à des acteurs tels que

Les ressources humaines voire les services généraux pour les données collaborateurs

Le marketing, pour les clients ou prospects pour le Marketing.

Sans compter, qu’il faut également prévoir de rendre compte de l’avancement des travaux aux décideurs et animer des sessions de sensibilisation, de formations internes pour des collaborateurs en lien avec les données personnelles.

La formalisation et la tenue de nouvelles procédures

Pour l’illustrer, nous avons établi une liste non exhaustive, extraite de différents plans d’action réalisés à l’occasion de nos missions auprès de nos clients et  points soulevés lors de nos interventions en la matière :

• Définir ou redéfinir la mission du Correspondant informatique et Libertés, ses outils de suivi et de contrôle.
• Établir la cartographie des traitements des données personnelles et le registre des activités de traitement.
• Formaliser ou revoir un processus pour toute nouvelle collecte / utilisation de données à caractère personnel.
• S’assurer de disposer d’une bibliothèque de mention type, de supports de communication destinés à informer des droits existants et les nouveaux (Accès, rectification, portabilité, …).
• Définir et formaliser une politique et charte d’utilisation des données personnelles conforme au RGPD.
• Initier les actions de sensibilisation et de formations du personnel avec la tenue d’un registre.
• Réaliser des analyses d’impacts pour les traitements des données personnelles à risques élevés.
• Vérifier les modalités contractuelles, les principes d’exécutions des sous-traitants avec lesquels vous partager les données personnelles.
• Renforcer l’existant sur la sécurité des données personnelles, le traitement des données sensibles et qualifier les solutions de transfert des données hors UE.
• Prévenir les poursuites et les sanctions au travers d’une gestion d’incident spécifique aux violations de données personnelles avec des procédures dédiées.

Certaines de ces actions peuvent être menées en parallèle.

Pour les retardataires, vous pouvez accéder à une offre modulaire associant montée en compétence sur le RGPD et lancement de la mise en conformité dans le même temps : https://rgpdtoulouse.com/

Nous l’avons codéveloppé avec emoveo et le cabinet Pantz.

Si cet article vous a plu, n’hésitez pas à le partager et nous adresser vos commentaires.

Besoin d’un avis spécifique ? Programmez votre rendez-vous en visioconférence.

¹ La CNIL définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Ces données concernent au sein de l’entreprise : ses collaborateurs, ses clients ou prospects.