4 étapes conformité

Juridique

La mise en conformité RGPD de votre entreprise en 4 étapes

Publié il y a 3 ans
Voici 4 actions principales à mener pour garantir une base de conformité au sein de votre structure.
conformité

Juridique

La mise en conformité RGPD de votre entreprise en 4 étapes

Publié il y a 3 ans

Les points principaux

Registre Transparence Sécurité
Voici 4 actions principales à mener pour garantir une base de conformité au sein de votre structure.

Le RGPD ou Règlement Général Sur la Protection des Données représente un indispensable de notre société actuelle. Il encadre le traitement des données personnelles de façon harmonisée, sur l’ensemble du territoire européen. Aujourd’hui toutes les entreprises qui collectent des données personnelles ont pour obligation d’assurer une mise en conformité RGPD. Sa méconnaissance peut même entraîner des sanctions allant du simple rappel à l’ordre à des amendes de plusieurs millions d’euros. Comment s’assurer alors que le traitement de vos données personnelles est en accord avec la législation ? Voici 4 actions à mener pour garantir une mise en conformité RGPD de votre organisation.

Rassembler les traitements de données dans un registre

À quoi sert la constitution d’un registre pour la conformité RGPD ?

Le registre a une part intégrante à jouer dans la documentation de conformité. Prévu à l’article 30 du RGPD, ce document permet à la fois de centraliser les données personnelles possédées par l’entreprise et d’obtenir une vue d’ensemble sur leur traitement. il intégrera notamment :

  • l’ensemble des parties intervenant dans le traitement de données personnelles ;
  • les différentes catégories de données appréhendées ;
  • la finalité des traitements (pour quel usage ?) ;
  • toutes les catégories d’individus disposant des accès aux données ;
  • la durée de conservation ;
  • la méthode de sécurisation utilisée.

Se constituer un registre de traitements, c’est acquérir un véritable outil de pilotage pour votre mise en conformité RGPD. Non seulement cela vous permettra de recenser vos données et fichiers, mais également de vous interroger sur leur traitement et leur but. Cette donnée est-elle indispensable ? La protection est-elle suffisante ? etc. Rassembler le traitement de données dans un registre unique constitue une base pour établir par la suite un plan d’action de mise en conformité au RGPD.

Comment constituer un registre ?

Une fois l’utilité avérée de rassembler les données dans un registre, reste à savoir comment constituer ce dernier. Pour cela, identifiez dans un premier temps les activités principales de l’entreprise qui sont liées aux données personnelles. Cela peut être le recrutement, la formation, la gestion des clients, etc. Puis une fois ces activités identifiées, réalisez une fiche reliée à chaque activité, et précisez dans chacune :

  • Identité et coordonnées de votre entité, ainsi que celles de votre DPO le cas échéant ;
  • la finalité principale du traitement et ses sous-finalités ;
  • les différentes catégories de données utilisées ;
  • les catégories de personnes concernées ;
  • les catégories de destinataires des données ;
  • les transferts de données hors UE le cas échéant ;
  • la durée de conservation ;
  • une description générale des mesures de sécurité techniques et organisationnelles

Réaliser un tri régulier dans les données

Afin de ne pas conserver de données personnelles inutiles, pensez à faire régulièrement le tri. Vérifiez que les données de traitement sont réellement indispensables aux activités de l’entreprise et que vous ne les conservez pas au-delà de ce qui est nécessaire. Cela vous permettra de réduire la collecte de données, et c’est aussi ça la mise en conformité RGPD.

Qui doit tenir ce registre ?

La tenue de ce registre doit être réalisée par le responsable des traitements de données. Néanmoins la tâche reste fastidieuse et demande du temps. À noter que plus votre activité s’accroît et plus la quantité de traitements et de données personnelles collectées sera conséquente.C’est pourquoi la désignation du DPO demeure fortement recommandée (lorsqu’elle n’est pas obligatoire). Ce dernier pourra intervenir dans le cadre de la mise en œuvre du Registre, permettra de gagner du temps et d’obtenir des conseils tout en assurant une mise en conformité RGPD rigoureuse. Il assurera également un contrôle du risque associé aux traitements de données recensés, et vous assistera dans la gestion et la mise à jour du Registre.

Assurer une transparence à l'égard des personnes

La mise en conformité RGPD passe également par une obligation d’information et de transparence vis-à-vis des personnes dont les données sont collectées.

Informer chacune des personnes dont les données sont collectées

Chacune des personnes reliée à des données collectées doit en être avisée. Pour cela, au moment de recueillir les informations personnelles, le formulaire doit obligatoirement contenir certaines mentions à savoir, notamment :

  • l’objectif des données (ce à quoi elles vont servir) ;
  • le fondement juridique justifiant de traiter ces données ;
  • qui sont les personnes détenant l’accès à ces données ;
  • le temps de conservation ;
  • l’ensemble des modalités permettant à la personne d’exercer ses droits.

Une fois ces différentes mentions appréhendées, vous aurez répondu à un second niveau de mise en conformité RGPD.

Bon à savoir : si les mentions vous paraissent trop longues, il est tout à fait possible d’apporter un premier niveau d’information sur le formulaire puis de renvoyer le reste à une politique de confidentialité.

Comment savoir si mes mentions sont conformes au RGPD ?

Vous avez mis en place des mentions d’information, mais vous ne savez pas si vos actions demeurent conformes au RGPD ? Le plus simple et rapide consiste à faire appel à un consultant RGPD ou un DPO. Il représente l’acteur clé dans la mise en conformité de votre entreprise au RGPD. Le DPO devra notamment :

  • contrôler le respect du RGPD au sein de votre entreprise ;
  • vous conseiller afin de vous permettre d’exercer dans les règles ;
  • se charger du rôle d’intermédiaire avec les CNIL.

Si vous avez un doute quant au respect de la transparence des données collectées à l’égard des personnes, il est également possible de réaliser un audit de conformité. Rapide et exigeante, cette solution vous permettra d’obtenir un rapport d’analyse RGPD ainsi que la mise en place d’un plan d’action priorisé. C’est non seulement un bon moyen pour comprendre les failles de l’entreprise, mais aussi les solutions dont vous disposez pour y répondre.

Permettre une liberté d'exercice des droits

Si l’enjeu d’une entreprise vise la collecte de données personnelles, encadrer l’exercice des droits des personnes reste indispensable. Cela passe notamment par permettre :

  • un droit d’accès à ses données ;
  • de rectifier ses données ;
  • de s’opposer ou d’effacer les données (attention ces droits ne sont applicables que dans certains cas);
  • la faculté de limiter le traitement de ses données, etc.

Cette liberté d’exercice pourra s’établir de différentes manières comme via un formulaire, un numéro ou une adresse mail spécifique ou encore directement en ligne. Une procédure interne est vivement recommandée afin de savoir comment répondre au mieux à la personne dans les délais requis (réponse sous 1 mois).

Un consultant RGPD ou un DPO vous aidera également à assurer correctement l’exercice des droits des personnes.

Sécuriser les données personnelles

La sécurisation des données personnelles représente un enjeu majeur dans la mise en conformité RGPD. Il s’agira non seulement de protéger les données personnelles et de limiter les risques de piratages tout comme d’éviter la perte de ces informations.Les données les plus sensibles devront faire l’objet d’une importante vigilance. Les moyens mis en œuvre pour y arriver dépendront essentiellement de la nature des données et des risques que cela ferait peser sur les personnes concernées.Des réflexes de base comme l’intégration d’antivirus, mots de passe et chiffrement de données sont indispensables pour garantir une mise en conformité RGPD.
Vous désirez vous assurer que le traitement de vos données personnelles est réalisé dans de bonnes conditions ? Bénéficiez dès à présent d’un accompagnement sur mesure avec Data Need Advice. Réalisez un projet conforme aux normes RGPD et obtenez tous les conseils nécessaires à sa mise en œuvre.

Du même thème

Intelligence Artificielle Règlement
Juridique

Nouvel accord sur le futur règlement européen sur l’intelligence artificielle

Lire
Audit RGPD Entreprise
Juridique

Pourquoi et comment réaliser un audit RGPD en entreprise ?

Lire
GDPR RGPD
Juridique

Protection des données personnelles : quelles obligations pour les entreprises ?

Lire
Voir d'autres publications
Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.