Retrouvez notre dossier sur la mise en conformité au RGPD!
Depuis le 25 mai 2018, toutes les entreprises exploitant les données personnelles de leurs clients dans l’Union européenne (UE) doivent se conformer au Règlement général sur la protection des données (RGPD). Ce règlement définit les changements majeurs pour chaque entreprise sur le traitement et l’utilisation des données des personnes. Pour se conformer au RGPD, les entreprises doivent prendre certaines dispositions. Si vous souhaitez savoir comment vous organiser dans votre entreprise pour réussir sa conformité au RGPD, alors cet article est pour vous.
Sensibiliser toutes les entités de l’entreprise
La première étape pour réussir la conformité de votre entreprise au RGPD est de sensibiliser toute les entités. Cette sensibilisation doit commencer par la Direction générale. En effet, si la Direction générale est motivée pour porter le projet du respect des libertés fondamentales, la mise en conformité de l’entreprise sera déjà à moitié réussie ! Ensuite, les directions métiers doivent être identifiées et sensibilisées sur leurs responsabilités et porter le projet. Enfin, tous les autres collaborateurs de l’entreprise doivent être sensibilisés à la protection des personnes. Cela permet à chaque composant de l’entreprise de prendre connaissance du projet et de se mobiliser pour sa réussite.
Nommer un DPO
Suivant les recommandations du RGPD de l’entreprise, vous devez procéder à la nomination d’un DPO (Data Protection Officer). Il s’agit du délégué à la protection des données personnelles. Cette désignation est obligatoire dans plusieurs cas : lorsque le traitement des données est effectué par une autorité ou un organisme public, lorsque les données font l’objet d’un suivi régulier ou lorsqu’il s’agit de données sensibles. Compte tenu de la complexité des tâches et des résultats attendus, il serait préférable de faire appel à un DPO externe qui doit être enregistré auprès de l’autorité de contrôle. Par la suite, il faut mettre en place un comité de pilotage et de validation.
Identifier les données et définir les plans de mises en œuvre
Vous devez ensuite identifier les traitements et les données personnelles qui y sont associées et les mettre dans un registre. De même, vous devez identifier les non-conformités liées aux données et mettre en place un plan d’action par traitement. Cela vous permet d’avoir une idée précise des données personnelles dont vous avez la charge et de prendre les dispositions pour :
- recenser tous les formulaires de collectes ;
- mettre à jour les mentions des formulaires en adéquation avec les services concernés ;
- rédiger les clauses contractuelles ;
- incorporer les clauses dans les futurs contrats,
- mettre à jour la charte en incluant les directives relatives à la protection de la vie privée ;
- mettre en place une PSSI (Politique de Sécurité du Système d’Information) ;
- mettre en place des procédures (gestion des réclamations, des violations du règlement…) ;
- mettre en place les mécanismes de gestion des risques.
Prévoir des mécanismes de suivi et d’amélioration
Cette dernière étape consiste à auditer fréquemment la mise en conformité, à contrôler l’efficacité des mesures fonctionnelles et des procédures et à surveiller les indicateurs d’efficacité et les tableaux de bord afin d’identifier les axes d’amélioration des mesures mises en place pour la conformité au RGPD.
Le plus difficile est d’identifier le plan de mise en conformité RGPD! Les chantiers doivent être priorisés en fonction du risque