Le RGPD s’applique à tout organisme traitant des données personnelles de citoyens de l’UE, que votre organisme soit établi dans l’UE et que le traitement ait lieu dans l’UE ou non.

La charge de travail pour une mise en conformité avec le RGPD dépend bien entendu du degré de maturité de chaque organisation concernant le traitement de ses données, de la taille de l’organisation et du type de données collectées.

Il est important d’établir dans chaque établissement un état des lieux, une feuille de route et des chantiers prioritaires. Cependant, de nombreuses entreprises ne se sont pas encore lancées dans ces démarches.

Il reste moins de 6 mois pour se préparer au RGPD. Pouvez-vous être prêt dans les temps ? Quelles sont les différentes étapes à mettre en œuvre dans votre entreprise ?

Déessi vous livre un rétro-planning simple et pragmatique en 5 étapes, à appliquer dès à présent :

Etape 1 : Nommer une personne en charge du RGPD

Pour prendre en charge la mise en place du RGPD au sein de votre entreprise, il est important de disposer d’un référent. Ce référent aura pour mission d’informer les collaborateurs, de conseiller, et d’effectuer des contrôles en interne. Il devra également allouer des moyens humains et financiers pour piloter l’ensemble du projet.

Désigner un DPO est-il obligatoire ?

Dans les faits, pas nécessairement. Le DPO est obligatoire :

• pour les organismes publics,
• pour les structures de plus de 250 salariés,
• pour les structures effectuant des traitements de données avec un suivi régulier et systématique des personnes à grande échelle,
• pour les structures effectuant un traitement sur des données dites “sensibles”.

Désigner un DPO est-il conseillé ?

Même lorsque la désignation d’un DPO n’est pas obligatoire, elle est conseillée. En effet, il s’agit d’une mission nouvelle et qui exige des compétences spécifiques, à la fois juridiques, techniques, organisationnelles et stratégiques.

La mise en place du RGPD doit être réalisée de façon rigoureuse, et les organismes ne mettant pas en œuvre les moyens nécessaires à sa bonne exécution seront potentiellement exposés à des sanctions lourdes.

À savoir toutefois que la gestion du RGPD peut être confiée en interne à un employé, au deçà de ses missions habituelles, mais également, externalisée à un partenaire compétent, généralement spécialisé dans les systèmes d’information et / ou leurs aspects juridiques.

Étape 2 : Cartographier les traitements des données au sein de la structure

Le travail sur l’identification des différents types de traitement des données est un des aspects primordiaux du RGPD. Il s’agira d’effectuer une cartographie des ces données au sein de l’organisme, notamment à travers la mise en place d’un registre des traitements.

Ce registre devra permettre d’identifier :

• le volume des données,
• la finalité du traitement (démarchage commercial, RH, analyse statistique…)
• la nature des données traitées,
• le temps de conservation,
• si les données présentent des risques particuliers, s’il s’agit de données sensibles,
• les acteurs qui traitent ces données,
• la localisation des données, leur lieu d’hébergement ou de transfert
• l’origine et la destination.

Pour réaliser votre propre cartographie :

• La CNIL met à disposition un modèle de fiche de registre ici : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
• Déessi vous assiste dans la réalisation d’une cartographie de vos données, de façon pragmatique et efficace, pour une mise en conformité RGPD. Contactez-nous.

Étape 3 : Évaluer le niveau de conformité

Une fois le DPO désigné et les données cartographiées, il est important d’évaluer le niveau de conformité de la structure, selon les aspects suivants :

Respect du principe de minimisation

Les organismes ne sont censés collecter que les données strictement essentielles et adéquates.

Respect du droit au consentement explicite

Pour exploiter des données personnelles, la structure doit obtenir le consument explicite des personnes concernées par le traitement et doit pouvoir en apporter la preuve.

Respect du droit à l’oubli

L’organisme doit garantir aux individus qui en font la demande la suppression de leurs données dans le délai fixé.

Respect du droit à la portabilité

L’organisme doit donner aux individus la possibilité d’obtenir leurs données personnelles dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.

De plus, l’organisme doit continuer de garantir les droits préexistants (droits d’accès, doit d’opposition et droit de rectification)

Revoir les contrats fournisseurs

Enfin, l’organisme doit revoir les contrats fournisseurs, car le RGPD met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Attention cependant, le principal responsable de la prise en charge du RGPD d’un organisme reste son dirigeant lui-même.

Étape 4 : Renforcer la sécurité des données

Enfin, le RGPD met l’accent sur la nécessité de garantir la sécurité des données, selon les principes suivants :

Data breach : L’organisme doit disposer d’un plan de gestion des incidents afin de mettre en place des process en cas de violations de données (data breach). L’organisme dispose également d’une obligation de notification de la CNIL sous 72h en cas de violations de données à caractère personnel. Enfin, l’organisme doit avertir les personnes concernées par la fuite dans les meilleurs délais, notamment lorsqu’il s’agit d’un problème présentant un haut risque, comme le vol de mots de passe ou de numéros de cartes bancaires.

Privacy by design : Il s’agit de l’obligation de prendre en compte la notion de respect de la vie privée dès la conception d’un système d’information, d’une base de données ou d’une application.

Renforcement de la sécurité des systèmes : Il est demandé aux organismes de mettre en place des mesures de sécurité afin de minimiser les risques d’accès non autorisés aux données. Différents outils peuvent être utilisés, tels que des outils de chiffrement, de pseudonymisation, d’anonymisation, ou de détection de data breach.

Étape 5 : Documentation

Une fois toutes ces procédures, process et examens mis en place, il vous faut encore prouver votre conformité au RGPD par la documentation de l’ensemble de ces actions et résultats.

Ces documents devront être actualisés régulièrement pour assurer le maintien de la conformité RGPD.

Ainsi, la documentation du RGPD doit comporter :

• Le registre des traitements des données
• Les analyses d’impact sur la protection des données (PIA)
• L’encadrement des transferts de données hors de l’Union européenne
• Les mentions d’information des personnes
• Les modèles de recueil du consentement des personnes et les preuves que les personnes concernées ont donné leur consentement,
• Les procédures mises en place pour l’exercice des différents droits (droit à la portabilité, droit à l’oubli…)
• Les contrats avec les sous-traitants, pour définir leurs rôle et leur responsabilité dans la gestion des données
• Les procédures mises en place en interne en cas de violations de données.

RGPD : serez-vous prêt ?

À la date de rédaction de cet article, il reste 5 mois tout au plus aux entreprises pour se mettre en conformité avec le Règlement Général sur la Protection des Données.

Selon la taille de l’entreprise, le volume de données collectées, ou les différents enjeux liées à ces données, la tâche peut se révéler plus ou moins difficile.

Il est important d’allouer le temps et les moyens nécessaires à cette mise en conformité, qu’il s’agisse de la mettre en place en interne ou de l’externaliser.

Déessi vous prépare toute une série de ressources dédiées au thème du RGPD, articles, analyses, check-lists et infographies. Par exemple, notre article : Comprendre le RGPD en 10 points.

Déessi lance également un service de préparation du RGPD, avec un audit de conformité RGPD permettant d’obtenir des recommandations sur les ajustements techniques, juridiques et organisationnels nécessaires.

Pour en savoir plus, contactez-nous !