Le RGPD est entré en vigueur le 25 Mai 2018. Entreprises, en 2021/2022, il est plus que temps de vous engager dans le processus, il n'est pas trop tard, au contraire... ne perdez plus de temps...
Le RGPD est le Règlement Général de Protection des Données (personnelles). Règlement voté par le parlement Européen le 24 Mai 2016 et entré en application pour tous les organismes/services publics/entreprises/associations/professions libérales/autoentrepreneurs le 25 Mai 2018.
Si l’entité n’est pas conforme à cette date, il faut qu'elle montre qu'elle a la volonté de se mettre en conformité. Il faut pour cela un justificatif tiers comme un engagement auprès d’une société qui réalise la démarche « d’audit RGPD ». En général une société spécialisée dans l’informatique qui emploie ou a mandaté des consultants sur le sujet. Nous vous encourageons à nous consulter (gratuitement sur simple appel pour un premier avis sur votre situation). Nous pouvons vous proposer plusieurs solutions en fonction de la taille de votre entreprise et certaines actions liées au RGPD se classent dans la catégorie des formations éligibles à la formation professionnelle continue.
1ère étape, mettez-vous en sécurité !
Avec le RGPD, se mettre en sécurité c'est prouver que l'on s'en est soucié. C'est comme de déclarer l'embauche d'un salarié le jour où il commence à travailler. Dans le cas de cet article sur le site de ValorConseil PACA, cela signifie que vous devez nommer un référent RGPD dans votre entreprise (si vous êtes le dirigeant, ce peut être vous aussi). Vous pouvez vous adresser à nous afin que nous prenions la commande de votre première action : notre prestation pour vous accompagner dans le démarrage du processus.
En référence aux documents de la CNIL qui tiennent comme référentiel aujourd'hui dans la démarche RGPD, vous allez désigner notre entreprise comme étant votre "Pilote de la gouvernance des données personnelles de votre structure". Tout du moins, pour ce qui concerne la période d'audit et de documentation qui peut démarrer après le 25 Mai 2018. L'information nécessaire sur le RGPD vous sera cependant fournie lors d'une première réunion d'une demi-journée avec vous : nous allons prendre un rendez-vous avec vous pour cela.
2ème étape, un véritable audit des données personnelles
L'audit ressemble à ce que l'on voit avec les diagnostics immobiliers. Ils sont obligatoires. Il vont cibler la présence d'amiante, de défauts électriques, de risques sismiques et autres... Dans le cas du RGPD, on va cartographier (traquer) les données personnelles et leurs traitements. On va se préoccuper du "qui, où, quand, quoi, pourquoi". Pour cela, il faut comprendre que les données personnelles, il y en a partout.
En effet, cela va de la liste d'emailing sur des prospects et clients au dossiers du personnel. Sans compter les spécificités de votre métier : commerce, marketing, médical, associations, assurances, etc. Le but est d'élaborer un registre des traitements qui identifiera et classera les données personnelles détenues, utilisées ou pas par l’entreprise, et jusqu'à la classification de leurs durées légales de conservation en fonction de leur typage. Les données personnelles détenues sur papier doivent elles-aussi être intégrées dans le registre.
3ème étape : recommandations et priorisations pour entrer en conformité avec le RGPD
L’audit est avant tout légal. Une fois identifiés les traitements et stockages des données personnelles, il rend des recommandations. Les recommandations vont tenir compte des risques légaux sur les données personnelles. La priorisation des actions à mener sera directement liée à ces risques. En effet, les actions seront menées de façon opérationnelle à partir de l'étape 5. Cette étape sortant du champ de l'audit.
4ème étape : analyse des risques
Ce règlement a pour but de responsabiliser tous les maillons de toutes les chaînes de traitement de données personnelles qui concernent les citoyens de la communauté Européenne. Lorsque la cartographie des données personnelles est établie, les données sont classées de plusieurs façons : normales, sensibles ou très sensibles. Les risques concernent les différentes manières dont sont traitées ces données et qu'elles sont protégées. En effet, les données personnelles peuvent être des copies de pièces d’identité, des relevés de banque nominatifs, le numéro de sécurité sociale, des éléments sur les orientations politiques, sexuelles, etc.
Selon la CNIL et le RGPD, "si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (en anglais, Data protection impact assessment ou Privacy Impact Assessment). Cette action est encore dans le process d'audit. Effectivement, mieux vaut savoir dès le début si votre entreprise contient des données à ce point sensibles avec un traitement lui aussi à grande échelle. Cette partie de l'audit est ce qui va occasionner le plus de frais. Puis, comme nous essayons de forfaitiser au mieux nos prises en charge, il nous faut avoir des informations en amont sur ce sujet.
Etape 5 : mise en place des bonnes pratiques RGPD
A la suite de l’audit RGPD qui suit les étapes 1 à 4, des actions qui dépassent le champ de l'audit RGPD sont déclenchées. De fait, il s'agit de mettre en place les "bonnes pratiques RGPD". Ces actions sont à la fois organisationnelles sur le plan humain. Puis, à la fois sur la manière de penser de nouveaux traitements. Ou alors, repenser les anciens pour être conformes aux règles fondamentales de la protection des données personnelles des citoyens Européens :
Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement.
Organiser un plan de formation et/ou de communication auprès de vos collaborateurs
Traiter les réclamations des personnes concernées quant à l’exercice de leurs droits
Anticiper les violations de données en prévoyant la notification aux autorités compétentes et aux personnes concernées dans les 72h
Etape 6 : continuer à documenter la conformité RGPD de l'entreprise
Il s'agit de continuer à appliquer toutes les "bonnes pratiques RGPD". Pour cela, il faut continuer à agir au quotidien pour les plus grosses entreprises. Ainsi, rester très vigilant pour de très petites et petites entreprises.
On se répète mais c'est pour la bonne cause. Il faut veiller à mettre à jour
1. La documentation sur les traitements :
Le registre des traitements
Les analyses d'impacts sur la protection des données (PIA). Lorsqu’un risque élevé est identifié pour les droits et libertés des personnes,
L’encadrement des transferts de données hors de l’Union Européenne (clauses contractuelles, règles internes de l'entreprise, et certifications).
2. L’information aux personnes :
Les mentions d’information
Les modèles de recueil du consentement des personnes.
les procédures instituées pour l’exercice des droits.
3. Les contrats définissant les rôles et responsabilités des acteurs :
Contrats avec les sous-traitants (Cloud et autres)
Déclenchements et fonctionnement des procédures en cas de violation de données
Les preuves du consentement des personnes lorsqu’un traitement de données repose sur ce consentement (principe du double opt'in)
Je souhaite être contacté
Ce formulaire est conforme RGPD (Règlement Général de Protection des Données applicable pour tous les pays membres de l’UE depuis le 25 Mai 2018). Les données que vous soumettez ici sont traitées uniquement par nous. Elles sont hébergées momentanément sur ce site hébergé par GANDI SAS, société située à PARIS – FRANCE. Ce site est sécurisé par un certificat SSL (site HTTPS). Qui garantit la sécurisation des échanges entre vous et l’hébergement du site.
L’équipe ValorConseil PACA
