Les 6 grandes étapes pour se mettre en conformité

Effectuer un pré-audit

Avant toutes démarches de mise en conformité, d’engager de fort investissement et de surcroît qui peuvent s’avéré inutile, il est conseillé :

> D’évaluer votre niveau de conformité conformément au RGPD (Scoring),
> D’examiner la conformité aux exigences documentaire,
> D’identifier des pistes de progrès,
> De bénéficier des conseils d’un auditeur expert pour les actions à mener (Prévisions budgétaire pour mise en conformité),
> De bénéficier des recommandations juridiques et techniques,
> Déclaration du DPO ou CIL auprès de la CNIL (interne ou externe).
 

Nomination d’un Data Protection Officier (DPO)

La mise en conformité avec le RGPD commence par la nomination d’un DPO. C’est en quelque sorte celui ou celle qui incarnera le RGPD en interne (ou en externe). Le DPO doit posséder de solides compétences en droit des nouvelles technologies et en droit des données personnelles. Il doit également avoir une bonne connaissance des TIC. À part ses connaissances, le DPO est très sociable et doit maitriser l’art de la communication. Il travaille étroitement avec la direction générale et exerce son métier en toute indépendance. Si besoin, il est possible de laisser cette fonction à un prestataire spécialisé (avocat, entreprise spécialisée…).

Cartographier les traitements de données personnelles

Ici, il s’agira de dresser un registre des traitements pour identifier l’impact du RPGD sur ces derniers. Il faudra alors classer les traitements, déterminer leurs objectifs respectifs, catégoriser les données personnelles (données de santé, données professionnelles…), identifier les acteurs qui traitent les données (internes et/ou externes), et enfin, retracer l’historique des données (origine et destination).

Mettre en place un plan d’action

Normalement, les étapes précédentes auront permis de faire un état des lieux de l’ensemble des traitements. Et partir de cet état des lieux, il sera plus facile d’établir un plan d’action pour la sécurisation des données. Il s’agira également de faire le point sur les conditions d’exercice des droits des cibles des traitements (importance du consentement, exercice du droit à l’oubli…). À part cela, la finalité de chaque traitement ainsi que leur durée de conservation et leur destruction devront être bien définies. Bref, l’établissement d’un plan d’action revient à revoir complètement la politique de confidentialité de l’entreprise.

Il faut noter que le plan d’action mis en place doit inclure les sous-traitants. Chaque contrat avec ces derniers devra être révisé et comprendre une clause apportant des précisions sur les nouvelles obligations imposées par le RGPD. Cela concerne aussi les prestataires hors de l’UE, à partir du moment où ils manipulent des données de citoyens européens.

Gérer les risques

Si l’on réussit à identifier les traitements qui présentent un risque élevé pour les droits et libertés des personnes concernées, il faudra effectuer sur chacun de ces traitements une  analyse d’impact sur la protection des données (DPIA). Cette analyse peut grandement faciliter la construction d’un traitement plus respectueux de la vie privée. Et parfois, c’est la seule manière de se conformer au RGPD.

Refonte de l’organisation interne

Pour assurer un niveau de protection élevé à tout moment, il est indispensable de faire une refonte de l’organisation interne, plus précisément, mettre en place des procédures internes garantissant la protection des données à tout moment. Le processus peut nécessiter une veille technologique et juridique, la sensibilisation du personnel (sensibilisation à la privacy), l’anticipation des violations de données… Vous l’aurez compris la mise en conformité avec le RGPD ne va pas de soi, parfois l’accompagnement d’un professionnel s’avère indispensable pour se faciliter la tâche.

Si vous souhaitez réaliser un audit de votre mise en conformité ou si vous avez besoin de conseil, n’hésitez pas à nous contacter.

Fermer le menu
×
×

Panier