RGPD : les 6 étapes pour être en conformité

Mise à jour : 30 avril 2022
Acquisition Client

Le 25 mai 2018, le règlement général de protection des données (RGPD) entre en vigueur. Toute entreprise, peu importe sa taille, doit être en conformité avec la réglementation. Voici les 6 étapes pour être prêt le jour J.

La Commission Européenne a élaboré le Règlement Général sur la Protection des Données (RGPD) afin de contribuer à renforcer les garde-fous autour des données personnelles, et créer des standards plus homogènes pour tous les pays de l’Union Européenne.

Le nouveau règlement européen sur la protection des données entrera en vigueur le 25 mai 2018. Cette nouvelle réglementation viendra remplacer la directive datant de 1995 sur la protection des données, que chaque membre de l’UE avait transposé dans son droit national. Toutes les entreprises sont concernées. En cas de non respect de la nouvelle règlementation, l’amende peut atteindre jusqu’à 20 millions d’euros ou 4% du CA Mondial de la société.

Si votre entreprise traite, manipule, gère ou stocke des données à caractère personnel, elle est concernée par la RGPD. Cette règlementation a vocation, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

Voici les éléments nouveaux apportés par le RGPD et à mettre en place :

Nomination obligatoire d’un délégué à la protection des données
Droit à l’oubli
Portabilité des données
Opposition de toute opération marketing
Se préparer à la possibilité d’une fuite de données et notifier la violation de données à la personne concernée dans les meilleurs délais
Obligation de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans
Obligation de tenir un registre de traitement des données (Modèle de registre proposé par la CNIL)
Identifier le périmètre des données sensibles
Garantir les droits des personnes
Revoir les contrats fournisseurs
Rédiger une charte de bonnes pratiques

Avec l’adoption du RGPD, les organisations vont devoir adapter leur approche business, leurs procédures et leurs politiques de sécurité.

Au-delà des nouvelles directives, il s’agit d’un nouvel enjeu pour les entreprises. La notion de respect de la vie privée doit être partagé par tous. Il convient de former les salariés aux nouvelles obligations introduites par ce nouveau règlement. Et rappeler qu’un simple fichier Excel contenant des contacts constitue un traitement de données personnelles.

ETAPE 1 : Désigner votre délégué à la protection des données

il est préférable de déclarer cette personne en ligne via ce formulaire: https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

ETAPE 2 : Pour le registre mentionné, je vous joins un modèle au format excel

Voici les questions à se poser pour vous aider à y répondre :

Qui ?

Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
Etablissez la liste des sous-traitants.

Quoi ?

Identifiez les catégories de données traitées
Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)

Pourquoi ?

Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

Où ?

Déterminez le lieu où les données sont hébergées.
Indiquez quels pays les données sont éventuellement transférées.

Jusqu’à quand ?

Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Comment ?

Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

ETAPE 4 : Le PIA

Le PIA (analyse d’impact sur la protection des données) est indispensable compte tenu des données sensibles que vous récupérez. C’est la partie la plus complexe pour la mise en conformité.

La CNIL a créé un logiciel pour faciliter l’analyse. Nous devons le tester prochainement. Je vous en dirais plus après essai. En attendant, si vous souhaitez l’utiliser, voici le lien pour le télécharger :

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

ETAPE 5 : Organiser les processus interne

Je vous joins également un document plus détaillé de la CNIL, qui dresse la liste des précautions élémentaires en matières de données, et de transmissions de celles-ci en interne notamment

Etape 6 : Documenter la conformité

Voici les points qui doivent apparaitre dans la documentation

La documentation sur vos traitements de données personnelles

Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
L’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L’information des personnes

Les mentions d’information
Les modèles de recueil du consentement des personnes concernées,
Les procédures mises en place pour l’exercice des droits

Les contrats qui définissent les rôles et les responsabilités des acteurs

Les contrats avec les sous-traitants
Les procédures internes en cas de violations de données
Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

En cas de violation des données, il faut notifier la CNIL dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Le Saviez-vous ?

Le RGPD favorise l’utilisation de logiciel européen. En effet, si vous utilisez des outils pour l’acquisition de Leads, ou clients, dont les bases de données sont en dehors de l’Europe, vous devrez faire apparaitre sur le formulaire deux opt-in au lieu d’un.

Les outils tels que Aweber, Mailchimp sont concernés.

S’inscrire à la Newsletter

Chaque semaine nos conseils et astuces pratiques actionnables dans votre boîte mail.

En vous abonnant, vous acceptez notre politique de confidentialité.

Articles qui peuvent vous intéresser

Stratégie SEO : Les 3 piliers fondamentaux

Une bonne stratégie SEO implique que vous incorporiez 3 piliers fondamentaux. L’optimisation des moteurs de recherche, plus connue sous le nom de SEO, est un

4 étapes essentielles pour élaborer une stratégie de Demand Gen

Un programme de génération de demande solide renforce la notoriété et l’autorité de la marque, et produit un contenu réfléchi et engageant qui suscite l’intérêt

Plan de marquage pour Google Tag Manager

Un plan de marquage ou de taggage constitue les prémisses pour mesurer toutes les actions des visiteurs d’un site web. Google vous permet par le

A propos de l'auteur

Constance Gatbois

Entrepreneur passionné avec plus de 20 ans d'expertise en marketing digital. Je suis là pour vous aider à optimiser la croissance de votre entreprise. Suivez-moi pour des techniques facilement actionnables en SEO, CRO et Data

RGPD : les 6 étapes pour être en conformité

Sommaire

ETAPE 1 : Désigner votre délégué à la protection des données