Mise en conformité RGPD

Le Règlement Général sur la Protection des Données (RGPD) demande à toutes les organisations du monde (associations, entreprises et administrations etc.) traitant des données personnelles de résidents de l’Union Européenne d’être en conformité depuis son entrée en application le 25 mai 2018.

 

Les dirigeants d’entreprises, DPO (Data Protection Officer), Chef de projet RGPD peuvent se sentir assez démunis face à cette nouvelle réglementation et à sa démarche de mise en conformité potentiellement lourde, voire coûteuse.

 

Comment lancer une démarche de mise en conformité au sein de votre entreprise ?  

DES GRANDS DÉFIS A RELEVER EN INTERNE 

Prendre en main son organisation: une mise en œuvre pragmatique du RGPD ! 

CARTOGRAPHIER 

Cartographier l’ensemble des traitements de données à caractère personnel 

SENSIBILISER 

Sensibiliser le management et l’ensemble des collaborateurs sur la gestion des données personnelles et chasser les mauvaises pratiques 

SÉCURISER 

Sécuriser les lieux de stockage et les accès aux données personnelles 

11 ACTIONS POUR LANCER VOTRE DÉMARCHE DE MISE EN CONFORMITÉ AU RGPD 

ACTION 1 : DÉFINIR UNE PIZZA TEAM 

Désignez une Pizza Team: une équipe de 2 à 5 personnes pour une PME par exemple.

 

POURQUOI ? :


  • Car le RGPD n’est pas l’histoire d’une personne ;
  • Car il est question d’accompagnement au changement ;
  • Car l’ensemble des services est concerné ;
  • Car à plusieurs c’est plus simple et efficace ! Et trop nombreux on n’avance plus ! 

ACTION 2 : SENSIBILISER LES MANAGERS 

  • Organisez une réunion de sensibilisation sur le sujet ;
  • Demandez à chaque manager de désigner une personne clef de son service ayant une bonne connaissance de son fonctionnement ;

Le conseil de l’expert RGPD :

L’objectif est de mobiliser le management autour du projet. Il faut présenter le projet comme une opportunité pour le management et surtout comme un impératif au regard du marché et des attentes des clients. Il est nécessaire de désigner des ambassadeurs au sein de chaque service, afin que vous ayez une connaissance précise des flux d’information et de données au sein de chaque service. Vous connaissez probablement l’organisation et les flux théoriques mais souvent la pratique est tout autre. 

ACTION 3 : PRÉPARER VOTRE PLAN D’ACTIONS 

Préparer votre plan d’action sous forme de rétro-planning.

 

Par exemple planifiez à date : la cartographie des traitements, les entretiens avec les personnes clés de chaque service, le plan de communication interne, la construction du registres des traitements. 

ACTION 4 : SENSIBILISER LES COLLABORATEURS 

  • Organisez une réunion de sensibilisation des équipes
  • Présentez le planning de mise en conformité
  • Prévoyez un plan de communication sur le sujet afin d’ancrer les messages
  • Objectif : Informer les collaborateurs du chantier en cours et leur donner les clefs afin de répondre aux sollicitations potentielles des clients 

ACTION 5 : RÉALISER UNE MACRO-CARTOGRAPHIE 

  • Listez les principaux services de votre organisation.
  • Identifiez les traitements standards les plus courants

Objectif : Fournir à chaque représentant de service une base par laquelle démarrer qu’il pourra compléter de manière itérative.

 

Le conseil de l’expert RGPD :

Il existe un ensemble de processus courant nécessaire au bon fonctionnement de l’entreprise et il est relativement simple d’en réaliser une cartographie. Il s’agit ici des processus RH, des processus commerciaux ou des processus lié au service client. Cette liste vous permet d’amorcer le dialogue par la suite avec les représentants des services qui pourront alors détailler ces traitements et les compléter d’autres traitements spécifiques dont vous n’avez pas la connaissance. 

ACTION 6 : MISSIONNER LES REPRÉSENTANTS 

  • Présentez la macro-cartographie à vos représentants de service
  • Expliquez leur la façon de détailler les traitements. (méthode QQOQCP)

 Le conseil de l’expert RGPD :

Pas de panique ! Des outils très bien conçus existent, notamment une matrice Excel proposée par la CNIL. 

ACTION 7 : PRIORISATION DES POINTS DOULEUREUX 

  • Identifiez les traitements présentant un risque réel et sérieux.
  • Alertez la direction sur les situations à risque
  • Proposez des actions curatives
  • Demandez une date de mise en application de l’action.

Le conseil de l’expert RGPD :

Il s’agit d’identifier rapidement les traitements qui risquent de poser un problème important notamment pour vos clients :

  • Traitements sur des données sensibles ou critiques et dont la finalité n’est pas justifiée ou pertinente au regard de votre activité.
  • Traitements avec des transferts des données hors UE
  • Traitements ne présentant visiblement pas de mesures de sécurités minimales
  • Traitements ne permettant pas de garantir l’intégrité et le contrôle des données 

ACTION 8 : PRÉVENIR LES SITUATIONS A RISQUES 

Certain de vos traitements sont sensibles en raison des données personnelles exploitées ou des conditions d’exploitation. Vous devez alors réaliser une analyse de risque et documenter votre plan d’action permettant de réduire l’exposition au risque. 

ACTION 9 : GOOD JOB ! 

A ce stade, vous avez réussi à enclencher la dynamique et à démontrer que votre organisation a pris la bonne direction !

 

Le conseil de l’expert RGPD :

Je suis fier de vous ! Bon travail ! 

ACTION 10 : POURSUIVRE L’EFFORT SUR LA DURÉE 

  • Mettez en place un processus de suggestion d’amélioration de vos traitement
  • Construisez un plan de sensibilisation et de formation de vos collaborateurs
  • Auditez votre organisation ponctuellement
  • Testez vos processus internes en simulant des scénarios 

ACTION 11 : EN CAS DE VIOLATION DE DONNÉES …

1 – Réunir la pizzaTeam RGPD et évaluer la gravité de la violation de donnée 

2 – Selon les cas:

  • Prévenir l’autorité de contrôle si la violation expose les données personnelles  
  • Notifier l’ensemble des personnes dont les données ont été exposées. 

Le conseil de l’expert RGPD :

Attention ! Si cela s’applique à votre violation de données personnelles, vous avez 72 heures pour notifier l’autorité de contrôle et/ou les personnes concernées dans les meilleurs délais. 

SUIVEZ-NOUS SUR: