Comment vous mettre au RGPD ?

Un peu plus de 2 années se sont écoulées depuis l’entrée en vigueur du RGPD, deux ans c’est à la fois très court et très long. Très court pour réussir les transformations organisationnelles, techniques et juridiques nécessaires pour une mise en conformité et à la fois très long avec son lot de nouvelles données, de nouveaux outils, nouveaux process et intervenants.

Bref 2 ans c’est le moment idéal pour se resensibiliser au RGPD et faire un point sur la mise en conformité et les étapes pour y arriver.

Et si cela peut paraître rébarbatif ou douloureux, il est important de se rappeler que plus qu’une obligation légale, la mise en conformité à la nouvelle réglementation sur la protection des données favorise le développement vertueux de l’activité digitale des entreprises.

La mise en place de pratiques, outils et process pour se conformer au RGPD doit être vue comme une opportunité et c’est dans cet esprit que nous vous proposons 5 étapes pour renforcer votre mise en conformité.

1° Auditer l’existant 

Pour entamer la mise en conformité au RGPD, il est judicieux pour tout organisme, petite ou grande entreprise, de procéder à un audit de l’existant.

Cela permet va vous permettre d’identifier entre autre:

  • les pratiques en place
  • les parties prenantes concernées par le traitement des données
  • les catégories de données traitées
  • l’objectif poursuivi et les personnes ou services qui accèdent aux données
  • les sources de données, les supports
  • la politique de confidentialité actuelle
  • la gestion du consentement …

Notre conseil : Établissez une check list pour votre audit et n’hésitez pas à revenir régulièrement sur votre document pour valider que les nouveaux outils, collaborateurs ou pratiques ont bien été identifiés.

2° Constituer un registre des traitements 

La deuxième étape consiste à constituer un registre de traitement des données (obligatoire pour tout organisme traitant des données à caractère personnel : Article 30 du RGPD 

Ce registre, placé sous la responsabilité du responsable du  traitement de l’entreprise, contribue à faciliter l’accès à l’ensemble des fichiers et traitements d’une entreprise et regroupe un certain nombre d’informations pour les différentes activités qui sont sujettes à la collecte et aux traitements des données. (Source CNIL)

  • Les parties prenantes qui interviennent dans le traitement des données en interne ou en externe
  • Les catégories de données traitées
  • A quoi servent ces données
  • Qui accède aux données et à qui elles sont communiquées
  • Combien de temps vous les conservez
  • Comment elles sont sécurisées

Notre conseil : N’hésitez pas à utiliser le modèle de registre fourni par la CNIL, qui vous permettra d’être le plus exhaustif possible : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

3° Cartographier et trier vos données 

La cartographie des données est une étape indispensable non seulement pour se mettre en conformité avec le RGPD mais aussi pour avoir une bonne vision du capital data, votre or noir : quelles sont les données dont vous disposez, les utilisez-vous et quelle valeur ajoutée celle-ci vous apportent ?

La cartographie des données vous permettra d’avoir une vue d’ensemble sur vos données avec pour chaque donnée collectée, une description de leur composition, de leur finalité et des traitements effectués, …

Cette cartographie est votre meilleur allié pour optimiser vos pratiques de traitement des données mais aussi de mise en conformité avec le RGPD.

Ainsi, vous allez pouvoir déterminer si les données collectées et leur granularité sont réellement nécessaire pour le bon fonctionnement de votre activité et procéder à un tri pour isoler celles que vous pouvez collecter, celles que  vous devez ne plus collecter ou des données sous un autre format.

Pour ce faire, il vous suffit de vous interroger sur les données dont vous disposez :

  • Les données traitées sont-elles nécessaires à mon activité ?
  • Les données traitées sont-elles sensibles ? Si oui, quels sont les points de vigilance à prendre en considération ?
  • Qui a accès à ces données ?
  • Quelle est la période de conservation des données ?

Notre conseil : Profitez de cette cartographie pour mettre en place une démarche de Privacy by Design & Privacy by Default, en réfléchissant à limiter au maximum les données collectées et leur format, la clé pour passer à la Smart Data 100% RGPD compliant !

4° Respecter le droit des personnes 

La mise en conformité au RGPD implique une communication de manière claire et transparente sur la raison de la collecte et le traitement des données. C’est dans ce sens qu’à chaque collecte d’une donnée à caractère personnelle, il est nécessaire de  préciser entre autre:

  • La finalité de la collecte des données
  • Le fondement juridique qui autorise les entreprises à traiter les données
  • Les parties qui ont accès à ces données
  • La période de conservation des données
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits
  • Le pays qui maintient le niveau de protection des données
  • ….

Le consentement étant au cœur du RGPD, il vous faudra recueillir pour certains traitements le consentement des personnes impactées.

Le RGPD vient renforcer le droit des personnes qui bénéficient de plusieurs droits, leur permettant de mieux maîtriser les actions effectuées sur leurs données :

  • Le droit d’accès
  • Le droit de rectification
  • Le droit d’opposition
  • Le droit de d’effacement
  • Le droit de portabilité
  • Ou encore le droit de limitation de traitement

Notre conseil : Pour plus de facilités vous pouvez donner un premier niveau d’information sur les formulaires de collecte et entrer dans le détail en renvoyant votre politique de confidentialité à votre interlocuteur.

Pour bien traiter les demandes effectuées par les contacts sur leurs données et dans les meilleurs délais, il est important d’automatiser au maximum le traitement de ces demandes. Des solutions comme SmartProfile propose via des API de traiter tout ou partie de ces demandes.

5° Sécuriser vos données  

Prendre les mesures nécessaires pour garantir la sécurité des données est un des points les plus stratégiques pour se conformer au RGPD. En effet, la sécurisation des données personnelles permet de garantir l’intégrité de ces données, en minimisant les risques de leur perte.

Cette démarche passe par des mesures qui sont à la fois techniques mais aussi organisationnelles. Une sensibilisation et formation des collaborateurs, amenés à manipuler la donnée sont aussi un élément clé dans la sécurisation des données.

Le volet sécurité implique un grand nombre d’acteurs au sein de l’écosystème de l’entreprise aussi bien en interne dans différents services, qu’en externe. Il est donc indispensable lors de l’audit de bien identifier toutes les parties prenantes et les pratiques en place pour les optimiser.

Notre conseil : Pensez à interroger vos prestataires et partenaires sur leur politique de protection des données afin de vous assurer que vos données sont hébergées sur une infrastructure sécurisée, au sein de l’UE avec des sauvegardes régulières.

Inforgraphie RGPD

Au-delà des obligations légales à respecter, la définition d’une politique de protection de données est devenue une nécessité pour assurer une démarche éthique et transparente quant à la collecte et au traitement effectuées vis-à-vis des acteurs concernés. Cette démarche vous permettra de gagner en confiance sur le long terme avec vos clients et plus généralement vos collaborateurs.



Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.