Retour à la liste

Quelles actions mettre en place pour être conforme RGPD ?

quelles-actions-mettre-en-place-pour-etre-conforme-rgpd Le Nouveau règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018, renforce les normes et contraintes existantes dans le traitement des données. La non-conformité avec le RGPD entraîne des sanctions allant jusqu’à 2% voire 4% du chiffre d’affaires mondial. Quelles sont les actions à suivre pour se mettre en conformité avec la RGPD ? 
 
 

Etape 1 : choisir un Data protection officer (DPO)

 
L’entreprise doit désigner une personne chargée de la protection des données. Cette personne, qui devrait avoir des compétences juridiques et techniques, aura les missions suivantes :
 
  • Informer et conseiller en interne,
  • Contrôler le respect du règlement,
  • Collaborer avec les autorités.
 
Malgré le rôle central du DPO, il n’est pas légalement responsable de la conformité de son entreprise.
 
Les PME quant à elles pourront externaliser cette fonction auprès de prestataires spécialisés (avocat, consultant…).
 


Etape 2 : cartographier les traitements

L’une des étapes clés du processus consiste à recenser tous les traitements de données actuels de l’entreprise. Le recensement a pour but la confection d’un registre des traitements de données personnelles informatisées ou non (archives papier).
 
Ce travail préliminaire servira à mesurer et quantifier l’impact du RGPD. Une fois les données cartographiées, il est possible de mettre en œuvre les potentielles actions correctrices qui permettront la mise en conformité.


Etape 3 : établir un plan d’actions

Le registre est un véritable état des lieux et une aide à la prise de décisions. Viennent ensuite les travaux informatiques pour la sécurisation des données les plus critiques (de type anonymisation ou chiffrement).
 
La politique de confidentialité doit être révisée en profondeur. D’ailleurs, la finalité de chaque traitement et la durée de la conservation des données doit être établie. Enfin, le processus mis en place doit permettre à chaque personne concernée d’exercer ses droits d’accès, de rectification, de portabilité...
 
Par ailleurs, il faut aussi engager la responsabilité des sous-traitants, qui deviennent co-responsables au regard de la RGPD. Les contrats fournisseurs devront comprendre une clause définissant leurs obligations en termes de sécurité, confidentialité et protection des données personnelles traitées.


Établir des nouveaux processus internes

Le déploiement de votre plan d’action se focalise sur la refonte de vos processus actuels.
Votre entreprise doit garantir un haut niveau de protection des données personnelles. Les démarches à faire pour se mettre en conformité concernent l’application des principes suivant :
  • “Privacy by default”
  • “Privacy by design”
 
Ces principes s’appliquent à chaque niveau, de la sensibilisation des collaborateurs pour les former aux nouvelles obligations introduites par la RGPD au traitement des réclamations, en passant par l’anticipation des violations de données.


Documenter votre conformité

Il est très important de documenter les mécanismes et procédures internes mises en place pour votre conformité. Cela vous permettra de pouvoir prouver la conformité des mesures de protection de données.
 
Pour être en mesure de fournir les preuves de sa conformité, il faudra archiver tout un ensemble d’informations :

 
  • Le registre des traitements,
  • Les analyses d’impacts sur la protection des données,
  • L’encadrement des transferts de données hors UE,
  • Les modèles de recueil de consentement,
  • Les contrats avec ses sous-traitants
 
Article connexe : Qui est concerné par la RGPD ?
 
 
Retour en haut