Le RGPD est entré en vigueur le 25 mai dernier, et pourtant peu d’entreprises ont mis en conformité leurs process.
Lors de nos événements P’TITS DEJ EXPERTS, nous avons posé la question aux entreprises présentes, et résultats : alors que seulement 5% estiment être conformes au RGPD, 55% n’ont pas démarré leur mise en conformité !
Et la raison est simple : peu d’entre vous savent concrètement ce qu’il faut faire !
Mais que faut-il faire concrètement pour être conforme RGPD ?
Tout d’abord, on ne peut pas être une entreprise « Conforme RGPD ». Vos process en revanche, peuvent être conformes RGPD, à condition qu’ils soient appliqués correctement. Et comme chaque entreprise a des process et une organisation qui lui sont propres, les actions à mettre en place varient d’une entreprise à une autre.
1. Désigner un pilote
La démarche de mise en conformité RGPD est un projet qui touche toute votre entreprise, il faut donc qu’une personne pilote ce projet. Attention, on ne parle pas encore de DPO. La question viendra plus tard dans la démarche.
2. Faire un bilan de vos process
Ensuite, vous devez faire un état des lieux de tous vos process pour identifier lesquels traitent des données personnelles. Puis, vous devez écrire ces traitements dans un registre de traitements. Dans le registre, il faut retrouver les traitements, les catégories de données personnelles traitées, les objectifs de chaque traitement, les acteurs (internes ou externes) qui participent à ces traitements, et les flux des données afin d’en donner l’origine et la localisation (UE / hors UE).
=> Qu’est-ce qu’une donnée personnelle ?
Le registre des traitements peut être sous la forme que vous souhaitez, mais il doit être facilement consultable, modifiable et surtout mis à jour continuellement (Excel, logiciel etc.).
3. Vérifier la conformité de vos traitements
Une fois vos traitements de données personnelles identifiés, vous devez vérifier que ces traitements sont conformes au RGPD. Comment ? Pour toutes les données personnelles que vous traitez, posez-vous les questions suivantes :
- Est-ce que mon traitement est légal ? Est-ce que j’ai le droit de le faire ?
- Pourquoi je le fais ? Si vous n’avez pas de finalité, le traitement doit être modifié, voire supprimé.
- Est-ce que toutes les données sont nécessaires ? En effet, pas besoin de demander le téléphone d’un prospect si le but est de lui envoyer une newsletter par email. L’adresse email, et éventuellement NOM Prénom si nécessaire suffiront.
- Les données sont-elles exactes ou obsolètes ? Le RGPD induit que les données personnelles doivent être à jour.
- Combien de temps je conserve mes données ? C’est l’un des principes les plus importants du règlement. Toutes les données personnelles que vous traitez doivent avoir une durée de conservation définie.
- Est-ce que les personnes pour lesquelles je traite des données personnelles le savent ? En B2C, vous devez obligatoirement avoir le consentement d’une personne pour traiter ses données personnelles tandis qu’en B2B, vous devez informer la personne que vous traitez ses données personnelles. Dans tous les cas, vous devez être en mesure de prouver que la personne a consenti ou a été informée.
- Est-ce que les données personnelles que je conserve le sont en sécurité ? Vous êtes responsable des données personnelles que vous traitez / conservez. En cas de perte, fuite ou vol de données, vous devrez notifier les propriétaires des données personnelles conservées, mais également en assumer les conséquences juridiques et financières. Les sanctions peuvent être très élevées.
Après cette étape, vous devez analyser les risques potentiels, liés à vos traitements de données personnelles. En cas de risque important, vous devez mener une Analyse d’Impact relative à la Protection des Données (AIPD). Pour cela un outil a été créé, il est accessible via le site de la CNIL.
4. Établir un plan d’action
Lorsque vous avez terminé la vérification de la conformité de vos traitements, vous devez mettre en place un plan d’action sur les traitements non conformes.
Des exemples :
- Vous conservez des données personnelles sans les supprimer ? Pour chaque catégorie, demandez-vous quelle est la durée de conservation adaptée. Pour automatiser la suppression à la fin de la durée de conservation, vous pouvez utiliser un logiciel de GED.
- Vous avez une base de données informatisée ? Assurez-vous que vos serveurs, ou ceux de votre prestataire informatique en cas d’externalisation, soient totalement sécurisés.
- Vous jetez des papiers sur lesquels se trouvent des données personnelles (contrats, badges, emails imprimés, copies de cartes d’identité, CV, etc.) ? Munissez-vous de broyeurs / destructeurs à papier.
- Vos collaborateurs impriment des documents sur plusieurs matériels d’impression ? Rendez obligatoire l’impression sécurisée, ou bien installez un système de badges.
- Vous récupérez des données personnelles via votre site internet (inscriptions, contact, etc.) ? Assurez-vous que votre site internet soit en protocole HTTPS.
Cette liste n’est pas exhaustive, en effet, les exemples sont innombrables.
Une fois vos traitements existants gérés, vous devez garder en tête que dès le début d’un nouveau traitement, il faut intégrer cette notion de conformité au RGPD, on parle de Privacy by Design.
5. Intégrer le plan d’action à votre organisation
Une fois tous vos process évalués et votre plan d’action construit, vous devez l’intégrer à votre organisation. Dans beaucoup d’entreprises, on associe une conduite du changement à la démarche de mise en conformité RGPD. Il faut sensibiliser vos collaborateurs aux process que vous avez établis précédemment. Il faut également être en mesure de traiter les modalités d’exécution des droits des personnes, comme les droits d’accès, de rectification ou encore de suppression par exemple.
6. Documenter votre mise en conformité
Lorsque vous aurez terminé le processus, vous devez documenter tout ce que vous avez fait précédemment : le registre, mais également la communication interne et externe que vous avez pu faire (email, notes, etc.), l’ensemble des procédures, les contrats de sous-traitance, les preuves de consentement (B2C) / d’information (B2B), etc. Cette documentation permettra à votre DPO de valider ou non vos traitements, et d’engager sa responsabilité envers la CNIL.
Qui est ce fameux DPO ? Est-il obligatoire ? Doit-il être interne ou externe ?
Vous souhaitez être accompagné ?
Les experts RGPD de C’PRO vous accompagnent tout au long de votre démarche de mise en conformité RGPD.