11 actions à réaliser pour votre mise en conformité RGPD

  • Home
  • Actualité
  • 11 actions à réaliser pour votre mise en conformité RGPD

Vous êtes perdu dans votre démarche de mise en conformité RGPD ? N’ayez crainte, vous n’êtes sûrement pas le (la) seul(e).

En effet, le Règlement Général sur la Protection des Données (RGPD) demande à toutes les organisations du monde (associations, entreprises et administrations etc…) traitant des données personnelles de résidents de l’Union Européenne d’être en conformité depuis son entrée en application le 25 mai 2018. Seulement, beaucoup ne s’y sont pas préparés comme il se doit. 

Les dirigeants d’entreprises, DPO (Data Protection Officer), Chef de projet RGPD peuvent se sentir assez démunis face à cette nouvelle réglementation et à sa démarche de mise en conformité RGPD potentiellement lourde, voire coûteuse.

Comment lancer une démarche de mise en conformité RGPD au sein de votre entreprise ? Vous êtes tombé au bon endroit, on vous dit tout en 11 actions à mener pour aborder ce grand chantier.  

ACTION 1 : DÉFINIR UNE PIZZA TEAM 

Désignez une Pizza Team : c’est-à-dire une équipe de 2 à 5 personnes pour une PME par exemple.

Pourquoi créer une telle équipe ? Tout simplement parce que le RGPD n’est pas l’histoire d’une seule personne, le DPO ou la personne désignée comme responsable de la protection des données.

De plus, le RGPD s’accompagne d’un vrai accompagnement au changement dans les différents processus de l’entreprise. Cela implique tous les services de l’entreprise. Et, à plusieurs il est plus facile d’avancer que tout seul !

ACTION 2 : SENSIBILISER LES MANAGERS 

Commencez par organiser une réunion de sensibilisation sur le sujet auprès des managers de l’entreprise. Demandez à ces derniers de désigner une personne clef de leur service ayant une bonne connaissance de son fonctionnement.

Notre conseil :

L’objectif est de mobiliser le management autour du projet. Il faut présenter le projet comme une opportunité pour le management et surtout comme un impératif au regard du marché et des attentes des clients. Il est nécessaire de désigner des ambassadeurs au sein de chaque service, afin que vous ayez une connaissance précise des flux d’information et de données au sein de chaque service. Vous connaissez probablement l’organisation et les flux théoriques mais souvent la pratique est tout autre.

ACTION 3 : PRÉPARER VOTRE PLAN D’ACTIONS 

Préparer votre plan d’action sous forme de rétro-planning.

Par exemple planifiez à date : la cartographie des traitements, les entretiens avec les personnes clés de chaque service, le plan de communication interne, la construction du registre des traitements.

demo conformité RGPD

ACTION 4 : SENSIBILISER LES COLLABORATEURS 

Organisez une réunion de sensibilisation des équipes. Cela étant d’autant plus une prérogative du RGPD de sensibiliser les collaborateurs.

Durant cette sensibilisation, présentez-leur le planning de mise en conformité.

Prévoyez également un plan de communication sur le sujet afin d’ancrer les messages

L’objectif est simple, informer les collaborateurs du chantier en cours et leur donner les clefs afin de répondre aux sollicitations potentielles des clients.

ACTION 5 : RÉALISER UNE MACRO-CARTOGRAPHIE 

Commencez par lister les principaux services de votre organisation. Il vous faut ensuite identifier les traitements standards les plus courants.

L’objectif est de fournir à chaque représentant de service une base par laquelle démarrer qu’il pourra compléter de manière itérative.

Notre conseil :

Il existe un ensemble de processus courant nécessaire au bon fonctionnement de l’entreprise et il est relativement simple d’en réaliser une cartographie. Il s’agit ici des processus RH, des processus commerciaux ou des processus liés au service client. Cette liste vous permet d’amorcer le dialogue par la suite avec les représentants des services qui pourront alors détailler ces traitements et les compléter d’autres traitements spécifiques dont vous n’avez pas la connaissance.

Article à lire : Amende RGPD – combien y a-t-il eu d’amendes depuis l’entrée en vigueur du texte ?

ACTION 6 : MISSIONNER LES REPRÉSENTANTS 

Présentez la macro-cartographie à vos représentants de service et expliquez-leur la façon de détailler les traitements. (Méthode QQOQCP)

Notre conseil :  

Pas de panique ! Des outils très bien conçus existent, notamment une matrice Excel proposée par la CNIL.

ACTION 7 : PRIORISATION DES POINTS DOULEUREUX 

Commencez par identifier les traitements présentant un risque réel et sérieux. Il faudra ensuite alerter la direction sur les situations à risque et proposer des actions curatives.

Il faudra mettre en place une date pour la mise en application de l’action.

Nos conseils :

Il s’agit d’identifier rapidement les traitements qui risquent de poser un problème important :

  • Traitements sur des données sensibles ou critiques et dont la finalité n’est pas justifiée ou pertinente au regard de votre activité.
  • Traitements avec des transferts des données hors UE
  • Traitements ne présentant visiblement pas de mesures de sécurités minimales
  • Traitements ne permettant pas de garantir l’intégrité et le contrôle des données

ACTION 8 : PRÉVENIR LES SITUATIONS A RISQUES 

Certain de vos traitements sont sensibles en raison des données personnelles exploitées ou des conditions d’exploitation. Vous devez alors réaliser une analyse de risque et documenter votre plan d’action permettant de réduire l’exposition au risque.

ACTION 9 : GOOD JOB ! 

A ce stade, vous avez réussi à enclencher la dynamique et à démontrer que votre organisation a pris la bonne direction !

ACTION 10 : POURSUIVRE L’EFFORT SUR LA DURÉE 

La conformité est un processus d’amélioration continue. Mettez en place un processus de suggestion d’amélioration de vos traitements.

Continuez de construire un plan de sensibilisation et de formation de vos collaborateurs.

N’oubliez pas d’auditer votre organisation ponctuellement et testez vos processus internes en simulant des scénarios

ACTION 11 : EN CAS DE VIOLATION DE DONNÉES …

Commencez par réunir la pizzaTeam RGPD et évaluer la gravité de la violation de donnée et selon les cas :

  • Prévenir l’autorité de contrôle si la violation expose les données personnelles
  • Notifier l’ensemble des personnes dont les données ont été exposées.

Notre conseil :

Attention ! Si cela s’applique à votre violation de données personnelles, vous avez 72 heures pour notifier l’autorité de contrôle et/ou les personnes concernées dans les meilleurs délais.

Article écrit par notre Responsable commercial & partenariats 💼 Aymeric Guyard




Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *