VIDÉO - Compliance
RGPD : la démarche de mise en conformité
Ce qu’il faut savoir
Les enjeux sont très importants pour les entreprises. D’où l’importance d’une réflexion poussée pour aboutir au niveau de conformité le plus adapté à sa société. Cela passe par un bilan de la situation actuelle de l’entreprise vis-à-vis des données.
Ensuite, il faudra identifier les risques et les enjeux de la nouvelle réglementation. Et, au final, vous devrez établir un plan d’action, avec un planning adapté à vos réalités économiques et opérationnelles. De plus, vous devrez réfléchir sur l’ensemble des conséquences que peut avoir une telle mise en conformité l’organisation, la gouvernance et les processus opérationnels de votre entreprise.
Comment agir ?
Tout d’abord, faites un état des lieux des traitements et des données installés dans votre entreprise, et principalement dans vos systèmes d’information, mais pas uniquement. De plus, cet état des lieux devra concerner les moyens mis en place, c’est-à-dire que vous devez effectuer une cartographie de votre système d’information et des mesures de sécurité qui existent. Ensuite, identifiez les modifications à effectuer, à partir du diagnostic, pour atteindre le niveau de conformité.
Enfin, arrive une phase de gestion de projet et des risques. Cette étape essentielle suppose que vous identifiez vos besoins, vos contraintes, vos ambitions et vos actions, ainsi que les outils déjà existants au sein de l’entreprise.
Et tout cela, en répondant aux exigences que sont les 8 droits de l’individu et les 8 obligations de l’entreprise.
Les 8 droits de l’individu sont:
- le consentement explicite,
- l’information de la personne,
- le droit d’accès,
- le droit de rectification,
- le droit à l’oubli,
- le droit à la portabilité,
- le droit d’opposition,
- l’opposition à la mise en place des décisions automatisées, telles que le profilage.
Les 8 obligations de l’entreprise concernent :
- la responsabilité et l’ « accountability »,
- le privacy by design, by default,
- le registre des traitements,
- la sécurisation des traitements,
- les fuites de données,
- le data privacy impact assessment (DPIA),
- le responsable à la protection des données (RPD ou DPO),
- les transferts de données.
Bien prendre en compte les personnes dont on collecte les données
Réfléchissez bien à la manière dont vous obtenez le consentement des personnes concernées et à la manière dont votre entreprise informe ces personnes. On est au cœur des droits essentiels de l’individu, que chacun doit pouvoir faire respecter.
En interne, comment sensibiliser les collaborateurs à cette démarche ?
Tout d’abord, cela peut passer par des formations, ainsi que par la mise en place d’une équipe projet dédiée. Pourquoi ne pas envisager également une nouvelle gouvernance de l’entreprise ?
Ensuite au quotidien, cela passera par le déploiement précis d’un calendrier d’actions avec, par exemple, l’implémentation de nouveaux processus de gestion des incidents, de détection des fuites de données et de gestion du cycle de vie des données.
Respecter le principe de minimisation de la collecte
La collecte devra concerner uniquement les données nécessaires. Les bases de données devront être nettoyées et l’entreprise devra revoir sa stratégie de collecte et de conservation. Ce déploiement passe par l’implémentation de nouveaux outils de conformité et de sécurité, tels qu’un registre des clauses, un registre des traitements, un outil de chiffrement.
François-Pierre Lani, avocat associé chez Derriennic Associés et spécialiste en droit des nouvelles technologies
Découvrir aussi dans cette catégorie