Bien que le Règlement Général sur la Protection des Données ou RGPD ait été mise en place en mai 2018, il n’est jamais trop tard pour l’intégrer au sein de votre entreprise si jamais cela n’a pas encore été fait. Cette réglementation est entrée en vigueur afin de protéger toutes personnes physiques pour ce qui est du traitement et de la circulation des données informatiques personnelles. Comme la mise en conformité RGPD est inscrite dans la continuité de la loi Informatique et Libertés, elle est importante pour toute entité utilisant des données informatiques à caractère personnel. Voici les étapes à suivre pour être en conformité avec ce règlement.
La désignation d’un DPO
DPO ou Data Protection Officer, c’est la personne qui se charge de la data protection. En d’autres termes, c’est une personne désignée à être délégué à la protection des données personnelles. Pour qu’un DPO mène à bien sa mission, il doit avoir les compétences et les moyens indispensables lui permettant d’accomplir aisément toutes ses tâches.
Assurez-vous donc de recruter ou de nommer un DPO qui, en plus d’être indépendant et neutre, a :
- une expertise aussi bien technique que juridique ;
- une parfaite maîtrise du secteur d’activité ;
- un temps suffisant pour exercer sa fonction ;
- les moyens nécessaires, qu’ils soient matériels ou humains ;
- accès aux différentes sources de données ;
- la capacité d’intégrer différentes équipes projet utilisant des données personnelles.
La cartographie de toutes les données
Dans cette étape, pour être en conformité, il est important de recenser la manière dont toutes les données sont traitées au niveau de votre entreprise. En effet, la cartographie doit obligatoirement refléter toutes les pratiques de votre entreprise pour ce qui est :
- des méthodes de traitement des données personnelles ;
- des types de données réunies et traitées ;
- des objectifs à atteindre aussi bien en collecte qu’en utilisation de ces données ;
- de l’origine et de la destination de chacune des données récoltées.
La priorisation et la planification des actions
Pour chaque élément cartographié, un calendrier d’actions doit être établi tout en tenant compte des objectifs à fixer ainsi que des contraintes rencontrées. Pour une meilleure mise en conformité RGPD de votre entreprise, il est important de vous assurer de collecter uniquement les données personnelles pouvant être utiles à votre activité. Ensuite, déterminez la base juridique où vous allez vous appuyer pour la collecte de ces données tout en vérifiant la conformité de vos mentions légales.
Il vous est fortement recommandé de faire appel à des sous-traitants pour mieux harmoniser vos pratiques. Pensez également à mettre en place des systèmes de vérification des modalités de rectification et de contrôle de données. Enfin, la sécurisation des systèmes de récupération, de stockage et de gestion des données ne doit pas être négligée.
La détection des risques majeurs
Dans le cas où vous estimez que les pratiques déjà mises en oeuvre au sein de votre entreprise comportent un risque, menez une étude d’impact. Il s’agit du PIA ou Privacy Impact Assessment. Le site web de la CNIL liste les guides de bonnes pratiques de cette étude.
La sécurisation des données personnelles
Cette étape consiste à anticiper les défaillances possibles aussi bien dans la collecte que le stockage des datas personnels. Pour cela, il est recommandé de mettre en place des procédures écrites de protection des données. Ensuite, il est important de former chaque collaborateur à ces nouvelles réglementations et procédures RGPD.
La documentation de votre démarche
Dans cette dernière étape, vous êtes invité à rédiger un dossier qui prouve l’adéquation de l’ensemble de votre démarche RGPD avec la conformité et la réglementation en vigueur. Dans ce dossier, il y aura trois volets principaux :
- les informations conformes à vos pratiques concernant le traitement des données à caractère personnel ;
- les méthodes à utiliser pour informer les gens ;
- les différents éléments qui définissent les responsabilités et les rôles de chaque acteur de l’étape consistant à collecter et à traiter les données.