RGPD : comment se mettre en conformité ? 6 étapes-clés
Qu’est-ce que le RGPD ? Comment intégrer le RGPD dans son entreprise ? Quelles étapes suivre pour se mettre en conformité avec la nouvelle réglementation ?
Il n’est pas trop tard pour se mettre en conformité avec la réglementation sur la protection des données, ou « RGPD ».
Cette réglementation est née de la transposition du règlement de l’Union Européenne 2016/679 visant à protéger les personnes physiques en ce qui concerne le traitement des données à caractère personnel et la circulation de ces données.
Les systèmes de collecte de données personnelles sont essentiels pour les entreprises : ils garantissent la compréhension et le traitement des demandes clients, et permettent l’amélioration de l’expérience client. A ce titre ils sont un facteur de compétitivité.
Mais face aux dérives qui sont apparues avec l’évolution des technologies numériques, les pouvoirs publics ont souhaité encadrer la collecte et le traitement des données personnelles des utilisateurs.
Voici tout ce qu’il faut savoir sur le RGPD.
Le RGPD c’est quoi ?
Le RGPD, ou Règlement Général sur la Protection des Données, est entré en application en France le 25 mai 2018. Il offre un cadre juridique qui renforce le droit des personnes. Il responsabilise les entreprises sur les usages fait des données personnelles récoltées dans le cadre de leur activité.
En France, le RGPD s’inscrit dans la continuité de la loi Informatique et Libertés.
Le principal avantage du RGPD est qu’il harmonise les pratiques sur le sol européen. Il garantit l’éthique et la transparence en matière de collecte et de traitement des données.
À qui s’adresse le RGPD ?
Le RGPD s’adresse à toute entité privée ou publique implantée en Union Européenne, et/ou qui a une activité ciblant les résidents européens.
Selon la nature de l’activité, le RGPD confère une certaine souplesse dans sa mise en oeuvre.
Il vous faudra néanmoins respecter plusieurs étapes pour intégrer cette nouvelle réglementation aux pratiques quotidiennes de votre entreprise.
RGPD : les étapes à suivre pour se mettre en conformité.
Élaborées par la CNIL (Commission Nationale de l’Informatique et des Libertés), les étapes suivantes vous permettront de mettre en œuvre correctement le nouveau règlement sur la collecte et le traitement des données.
1) Désigner un « DPO ».
DPO signifie « Data Protection Officer ». Il s’agit d’un délégué à la protection des données.
Pour mener à bien sa mission, le DPO doit détenir les compétences et les moyens nécessaires pour accomplir ses tâches.
Les conditions sont les suivantes :
- avoir une expertise juridique et technique,
- détenir une bonne connaissance du secteur d’activité,
- disposer d’un temps suffisant à l’exercice de la fonction,
- avoir à sa disposition des moyens suffisants (matériels et humains),
- avoir accès aux sources de données,
- être intégré aux équipes projet qui utilisent des données personnelles.
Le délégué devra également faire preuve d’indépendance et de neutralité.
2) Cartographier les données.
Cette étape consiste à recenser précisément la façon dont les données sont traitées dans l’entreprise.
La cartographie doit refléter les pratiques de votre entreprise concernant :
- les méthodes de traitement des données,
- les types de données collectées et traitées par les différents services,
- les acteurs du traitement des données (sous-traitants compris),
- les objectifs à atteindre en matière de collecte et d’utilisation des données,
- l’origine et la destination des données récoltées.
3) Prioriser les actions et les planifier.
Pour chacun des éléments cartographiés, il faudra ensuite établir un calendrier d’actions de contrôle ou de correction, tenant compte de vos objectifs et aussi de vos contraintes en terme de gestion des risques.
- assurez-vous de ne collecter que les données nécessaires à votre activité,
- déterminez sur quelle base juridique vous vous appuyez pour collecter vos données,
- vérifiez la conformité de vos mentions légales,
- contactez vos sous-traitants et harmonisez vos pratiques,
- vérifiez des modalités de contrôle et de rectification de leurs données offertes aux personnes concernées,
- sécurisez vos systèmes de récupération et de stockage des données.
4) Détecter les risques majeurs.
Si vous estimez que les pratiques en cours dans votre entreprise peuvent comporter un risque pour les droits et les libertés des personnes, vous avez le devoir de mener une étude d’impact : PIA (Privacy Impact Assessment).
Vous trouverez sur le site de la CNIL les guides de bonnes pratiques PIA.
5) Sécuriser les données.
Il s’agit ici d’anticiper d’éventuelles défaillances dans la collecte et le stockage des données, par la mise en place de procédures écrites de sécurisation des données.
Vous devrez ensuite former vos collaborateurs à ces nouvelles procédures RGPD.
6) Documenter votre démarche.
La dernière étape consistera à rédiger un dossier prouvant l’adéquation de votre démarche RGPD avec la réglementation en vigueur.
Ce dossier comportera trois volets :
- les informations relatives à vos pratiques en matière de traitement des données personnelles,
- les méthodes d’information des personnes,
- les différents éléments définissant les rôles et les responsabilités de chacun des acteurs du processus de collecte et de traitement des données.
Mettez à jour votre document unique d’évaluation des risques.
WikiCréa vous propose de télécharger un modèle de document unique d’évaluation des risques (obligatoire dès l’embauche du premier salarié). Cliquez ici pour y accéder.
Des outils Excel pour votre entreprise (gratuit).
Téléchargez gratuitement les outils Excel suivants :
- un plan financier facile à compléter : cliquez ici pour y accéder,
- un facturier permettant d’établir devis et factures : cliquez ici pour y accéder,
- un modèle de suivi de trésorerie : cliquez ici pour y accéder.
