Se conformer au RGPD : les démarches à effectuer

RGPD : se mettre en conformité

Des démarches de conformité adaptées à votre entreprise 

Il faut effectuer des démarches adaptées à votre entreprise : 

  • effectuer une réflexion poussée pour aboutir au niveau de conformité le plus adapté à sa société. Cela passe par un bilan de la situation actuelle de l’entreprise vis-à-vis des données. 
  • identifier les risques et les enjeux de la nouvelle réglementation 
  • établir un plan d’action, avec un planning adapté à vos réalités économiques et opérationnelles. 
  • réfléchir sur l’ensemble des conséquences que peut avoir une telle mise en conformité sur l’organisation, la gouvernance et les processus opérationnels de votre entreprise. 

Faire un état des lieux des actions à mener 

Faire un état des lieux des traitements et des données installés dans votre entreprise, et principalement dans vos systèmes d’information. 

Cet état des lieux devra aussi concerner les moyens mis en place. L’idée étant d’effectuer une cartographie de votre système d’information et des mesures de sécurité qui existent ou non 

Élaborer une phase de gestion de projet et de risques en identifiant vos besoins, vos contraintes, vos ambitions et vos actions, ainsi que les outils déjà existants au sein de l’entreprise. 

À partir de ce diagnostic, identifier les modifications à effectuer pour atteindre le niveau de conformité. 

Les obligations prévues par le RGPD 

Les 8 nouvelles obligations de l’entreprise sont désormais :
– l’autoresponsabilité, dite accountability, à savoir la mise en conformité au sein même de l’entreprise sans n’effectuer aucune déclaration ou demande d’autorisation à la CNIL ;
– le privacy by design, c’estàdire la prise en compte par l’entreprise de la problématique des données personnelles dès la conception d’un produit ou d’un service ;
– la tenue d’un registre des traitements de données personnelles ;
– la priorité absolue à la sécurité des données ;
– la notification immédiate des fuites de données auprès des autorités ;
– l’étude d’impact pour chaque projet susceptible de traiter des données en volume (cela concerne notamment les réseaux sociaux) ;
– la nomination d’un responsable à la protection des données (RPD ou DPO) ;
– L’assurance que les sous-traitants ou partenaires de l’entreprise, installés dans des pays qui n’assurent pas un niveau de protection suffisant, signent des accords renforçant la protection des données lors de leurs transferts. 

Vos démarches doivent permettre le respect de ces 8 grandes obligationsPour sensibiliser vos collaborateurs sur ces obligations à respecter, vous pouvez mette en place des formations spécialisées ou créer une équipe de projet dédiée. 

Au quotidien, tout cela passera par le déploiement précis d’un calendrier d’action avec, par exemple, l’implémentation de nouveaux processus de gestion des incidents, de détection des fuites de données et de gestion du cycle de vie des données. 

Les droits des personnes dont les données sont traitées 

Les personnes concernées par un traitement de données à caractère personnel disposent des droits qui suivent :
– Le consentement explicite au traitement de la donnée ;
– être informé du traitement des données personnelles ;
– le droit d’accès ;
– le droit de rectification ;
– le droit à l’oubli ;
– le droit à la portabilité de ses propres données ;
– le droit d’opposition ;
– l’opposition à la mise en place des décisions automatisées, telles que le profilage. 

Vos démarches doivent rendre effectifs les droits des individus 

Vos démarches doivent impérativement prendre en compte ces différents droits. On est au cœur des droits essentiels de l’individu, que chacun doit pouvoir faire respecter. 

Vous devez bien réfléchir à la manière dont vous obtenez le consentement des personnes concernées et à la manière dont votre entreprise informe ces personnes. 

Enfin, la collecte devra concerner uniquement les données nécessaires. Les bases de données devront être nettoyées et l’entreprise devra revoir sa stratégie de collecte et de conservation. Ce déploiement passe par l’implémentation de nouveaux outils de conformité et de sécurité, tels qu’un registre des clauses, un registre des traitements ou encore un outil de chiffrement.