Comment se conformer au RGPD ?
En mettant en place le RGPD, les Pouvoirs publics ont voulu faire du cyberespace un lieu de confiance et de droit. L’objectif principal du RGPD n’est pas seulement d’optimiser la protection des données personnelles des Européens, mais également de favoriser une circulation des données numériques en adéquation avec les évolutions technologiques. Mais respecter les dispositions du RGPD constitue un véritable challenge pour les entreprises. Le processus de mise en conformité nécessite de passer par plusieurs étapes importantes.
Faire un bilan interne de l’entreprise
La réalisation d’un état des lieux de l’entreprise est la première étape à franchir dans un processus de mise en conformité avec le RGPD. Il s’agira d’identifier les différentes opérations à mener pour se mettre en conformité pour chaque traitement Elles seront par la suite synthétisées dans un plan d’action priorisé et les traitements décrits dans un registre.
Tout cela doit bien évidemment être relié aux objectifs de la nouvelle règlementation. À savoir :
- le renforcement des droits des personnes (droit à l’oubli, droit à la portabilité, gestion stricte des consentements…)
- la responsabilisation des acteurs traitant les données
- la mise en place de mesures pour optimiser la protection des données personnelles.
Ces 3 points serviront de cadre et faciliteront l’identification de ce qui doit être changé dans l’organisation de l’entreprise en matière de traitements et de protection des données personnelles (durée de stockage des données, condition de transfert, mise à jour…).
Faire le point sur les différentes obligations prévues par le RGPD
Mais avant de prendre des mesures, il sera nécessaire de faire le point sur les nouvelles obligations imposées par le RGPD, du moins les plus importantes :
- Le principe d’accountability : l’obligation pour l’entreprise de tout mettre en œuvre pour se conformer au RGPD ;
- Le privacy by design : l’obligation pour l’entreprise de prendre en considération la problématique posée par la protection des données dès la conception d’un nouveau service ou d’un nouveau produit ;
- L’obligation de tenir un registre des traitements des données personnelles ;
- L’obligation d’accorder une importance capitale à la sécurité des données ;
- L’obligation de notifier dans les plus brefs délais la CNIL en cas de fuites de données ;
- L’obligation de réaliser une étude d’impact pour chaque traitement ssensible au sens du RGPD ;
- L’obligation de nommer un responsable à la protection des données (DPO) dans certains cas ;
- L’obligation de s’assurer que les sous-traitants et les collaborateurs de l’entreprise soient bien au courant des nouvelles normes en vigueur en matière de protection des données.
Adopter une démarche répondant à ces obligations
L’ensemble des démarches et des mesures correctives mis en place au sein de l’entreprise doivent permettre le respect des obligations précédentes. En plus, il faudra sensibiliser vos collaborateurs au respect de ces obligations en mettant en place des formations. Enfin, pour accélérer votre mise en conformité, déterminer un calendrier d’action précis.
Faire appel à un prestataire externe
Puisque le RGPD est déjà pleinement applicable, le timing est important. Il faut se mettre rapidement en conformité pour limiter les risques de sanctions, mais surtout pour limiter les risques de fuites de données. Pour aller plus vite, se tourner vers un prestataire qui réalisera l’analyse complète de votre organisation sera peut-être indispensable. Vous pourrez également externaliser la fonction de DPO.
Vous pouvez également vous aider en vous procurant un logiciel RGPD efficace. Cette solution permet de mieux gérer les workflows et traiter plus rapidement les éventuelles réclamations.