RGPD : les 6 étapes pour être en conformité

Sommaire

Le 25 mai 2018, le règlement général de protection des données (RGPD) entre en vigueur. Toute entreprise, peu importe sa taille, doit être en conformité avec la réglementation. Voici les 6 étapes pour être prêt le jour J.

La Commission Européenne a élaboré le Règlement Général sur la Protection des Données (RGPD) afin de contribuer à renforcer les garde-fous autour des données personnelles, et créer des standards plus homogènes pour tous les pays de l’Union Européenne.

Le nouveau règlement européen sur la protection des données entrera en vigueur le 25 mai 2018. Cette nouvelle réglementation viendra remplacer la directive datant de 1995 sur la protection des données, que chaque membre de l’UE avait transposé dans son droit national. Toutes les entreprises sont concernées. En cas de non respect de la nouvelle règlementation, l’amende peut atteindre jusqu’à 20 millions d’euros ou 4% du CA Mondial de la société.

Si votre entreprise traite, manipule, gère ou stocke des données à caractère personnel, elle est concernée par la RGPD. Cette règlementation a vocation, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

Voici les éléments nouveaux apportés par le RGPD et à mettre en place :

  • Nomination obligatoire d’un délégué à la protection des données
  • Droit à l’oubli
  • Portabilité des données
  • Opposition de toute opération marketing
  • Se préparer à la possibilité d’une fuite de données et notifier la violation de données à la personne concernée dans les meilleurs délais
  • Obligation de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans
  • Obligation de tenir un registre de traitement des données (Modèle de registre proposé par la CNIL)
  • Identifier le périmètre des données sensibles
  • Garantir les droits des personnes
  • Revoir les contrats fournisseurs
  • Rédiger une charte de bonnes pratiques

Avec l’adoption du RGPD, les organisations vont devoir adapter leur approche business, leurs procédures et leurs politiques de sécurité.

Au-delà des nouvelles directives, il s’agit d’un nouvel enjeu pour les entreprises. La notion de respect de la vie privée doit être partagé par tous. Il convient de former les salariés aux nouvelles obligations introduites par ce nouveau règlement. Et rappeler qu’un simple fichier Excel contenant des contacts constitue un traitement de données personnelles.

ETAPE 1 : Désigner votre délégué à la protection des données

il est préférable de déclarer cette personne en ligne via ce formulaire: https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

ETAPE 2 : Pour le registre mentionné, je vous joins un modèle au format excel

Voici les questions à se poser pour vous aider à y répondre :

Qui ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
  • Etablissez la liste des sous-traitants.

Quoi ?

  • Identifiez les catégories de données traitées
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)

Pourquoi ?

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

Où ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez quels pays les données sont éventuellement transférées.

Jusqu’à quand ?

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Comment ?

  • Quelles mesures de sécurité sont mises en œuvre  pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

ETAPE 4 : Le PIA

Le PIA (analyse d’impact sur la protection des données) est indispensable compte tenu des données sensibles que vous récupérez. C’est la partie la plus complexe pour la mise en conformité.

La CNIL a créé un logiciel pour faciliter l’analyse. Nous devons le tester prochainement. Je vous en dirais plus après essai. En attendant, si vous souhaitez l’utiliser, voici le lien pour le télécharger :

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

ETAPE 5 : Organiser les processus interne

Je vous joins également un document plus détaillé de la CNIL, qui dresse la liste des précautions élémentaires en matières de données, et de transmissions de celles-ci en interne notamment

Etape 6 : Documenter la conformité

Voici les points qui doivent apparaitre dans la documentation

La documentation sur vos traitements de données personnelles

  • Le registre des traitements (pour les responsables de traitements)  ou des catégories d’activités de traitements (pour les sous-traitants)
  • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
  • L’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L’information des personnes

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l’exercice des droits

Les contrats qui définissent les rôles et les responsabilités des acteurs

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

En cas de violation des données, il faut notifier la CNIL dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Le Saviez-vous ?

Le RGPD favorise l’utilisation de logiciel européen. En effet, si vous utilisez des outils pour l’acquisition de Leads, ou clients, dont les bases de données sont en dehors de l’Europe, vous devrez faire apparaitre sur le formulaire deux opt-in au lieu d’un.

Les outils tels que Aweber, Mailchimp sont concernés.

S’inscrire à la Newsletter


Chaque semaine nos conseils et astuces pratiques actionnables dans votre boîte mail.

En vous abonnant, vous acceptez notre politique de confidentialité.

Articles qui peuvent vous intéresser

A propos de l'auteur