RGPD  : Assurer votre conformité en 5 étapes

Vous avez décidé de mettre votre organisation en conformité avec le RGPD  - Règlement Général sur la Protection des Données - mais après avoir consulté internet, quelques guides, le site de la CNIL, vous ne savez pas par où commencer !

xDPO vous répond en cinq étapes simples : 

• 1. Recenser les logiciels et prestataires  

• 2. Mettre à jour ses mesures de sécurité  

• 3. Documenter, formaliser, garder une trace écrite 

• 4. Savoir traiter les demandes des personnes  

• 5. Mettre en conformité son site internet   

  
  

Les 5 étapes à suivre pour se mettre en conformité avec le RGPD:

1. Recenser les logiciels et prestataires

Pour recenser les données, recensez les logiciels !

En effet, aujourd’hui toutes les données personnelles – concernées par le RGPD – sont saisies dans un logiciel. Si vous listez les logiciels, vous aurez une bonne idée des données que vous traitez et de leur flux : d’où vient la donnée et où va-t-elle.

Détectez aussi dans votre organisation les modes d’installation des logiciels : sur un serveur au sein de votre organisation (« on premise ») ou dans le cloud (dans ce cas, renseignez-vous sur la localisation de l’hébergement).

A partir du moment où vous aurez recensé vos logiciels, vous aurez identifié la trame de votre Registre des traitements. Pour le finaliser, il ne vous restera qu'à lister les logiciels, leur finalité (à quoi sert ce logiciel?) et les compléter pour chaque traitement les règles d'or décrites ici 

Notre astuce  : commencez par les logiciels qui concernent les données du personnel (SIRH ; établissement de la paie) ou les clients/ usagers (newsletter, site internet, CRM, facturation, logiciel métier).

2. Décrire et mettre à jour ses mesures de sécurité

Cela paraît évident, mais la protection des données personnelles commence par la prise de mesures permettant d'assurer la sécurité des données en général (c’est l’article 32 du RGPD). N’oubliez pas que les données papiers sont aussi concernées : pensez à fermer les placards qui contiennent les dossiers du personnel. Mais la majorité de vos données concernées par le RGPD sont numériques : pensez à quelques règles simples de sécurité informatique (voir « notre conseil » ou notre page dédié aux règles essentielles pour votre cybersécurité) et à demander des garanties à vos sous-traitants (logiciels cloud, expert comptable).

Notre astuce : la méthode « MMS » : pour sécuriser les données manipulées par vos équipes, demandez-leur d’appliquer au minimum

1/ les Mises à jour des logiciels qu’ils utilisent, sans oublier leur navigateur internet

2/ les Mot de passe doivent être uniques à chaque utilisateur, être complexe et changés tous les ans minimum

3/ les Sauvegardes doivent être faites : si vous êtes cyberattaqué, ce sera la seule base à partir de laquelle vous pourrez redémarrer votre activité.

3. Documenter, formaliser

C’est le premier principe du RGPD : vous devez prendre les mesures adéquates et les documenter de votre propre initiative. C’est le principe d’auto-documentation et d'auto-responsabilité (« Accountability » article 5.2 du RGPD). Vous devez être capable de prouver que vous avez démarré le processus de mise en conformité, même si vous n’avez pas tous les documents règlementaires.

C'est dans ce cadre que vous devrez rédiger le Registre des traitements, qui décrit dans le détails vos différentes activités de traitement de données personnelles. Mais patience, nous vous conseillons de ne pas commencer par cet exercice, nous le verrons au moment du recensement des logiciels.

Notre astuce : Créez dès maintenant un dossier en ligne partagé (via Sharepoint, Dropbox, etc.) pour centraliser tous vos documents, contrats et guides relatifs à la protection des données personnelles, même s’ils sont encore en cours de finalisation. En plus de faciliter votre organisation, ce dossier deviendra une ressource précieuse pour votre futur DPO ou en cas de contrôle CNIL ! Une mine d’or à portée de clic pour simplifier votre gestion de conformité.

4. Savoir traiter les droits des personnes

Les données personnelles appartiennent aux personnes : elles ont donc des droits que vous devez connaître (articles 12 à 23 du RGPD) et que vous devez savoir traiter.

En commençant par déterminer un moyen de communication : existe-t-il un e-mail spécifique ? (rgpd@chezvous.fr) Générique ? (contact@chezvous.fr) Qui le relève ? Qui doit traiter le message ?

En général, il y a peu de demandes, mais elles peuvent être justifiées et argumentées : il faut savoir les traiter sinon le silence peut motiver les personnes à faire un recours auprès de la CNIL.

D'autant plus que le RGPD impose des délais de réaction assez courts : "sans délai", "dans les 72h", "au plus tard dans les 30 jours" ce qui vous oblige au minimum de savoir comment et qui va traiter ces demandes

Notre astuce : créez une adresse e-mail visible sur la page d’accueil de votre site internet et mettez en place une règle de transfert du message vers votre chef de projet RGPD.

5.Mettre en conformité son site internet

Votre site internet regorge d’indices publics de votre conformité RGPD, c'est une vitrine publique de votre conformité au RGPD :

• Crédibilité et confiance : Dans un monde où les préoccupations concernant la vie privée sont croissantes, un site clairement conforme au RGPD inspire confiance aux visiteurs. Les consommateurs sont de plus en plus attentifs à la manière dont leurs données sont traitées.

• Réputation de la marque : Une mauvaise gestion des données personnelles, souvent visible par des pratiques non conformes sur le site, peut nuire gravement à la réputation d'une entreprise.

• Éviter les sanctions : La CNIL et les autres autorités de protection des données contrôlent activement la conformité des sites web. Un site non conforme est une cible facile pour des plaintes ou des inspections, pouvant mener à des amendes substantielles.

• Différenciation concurrentielle : Démontrer une conformité solide peut devenir un avantage concurrentiel, en particulier dans les secteurs où la confiance est primordiale (santé, finance, services sensibles).

  
  

  En somme, le site internet est la première interface entre une organisation et ses utilisateurs, et c'est donc le lieu privilégié pour afficher et mettre en œuvre les principes du RGPD. Sa conformité n'est pas seulement une obligation, mais une preuve tangible de l'engagement de l'entreprise envers la protection des données personnelles.

Nous y revenons dans un article de Blog spécifique "Comment rendre votre site internet conforme au RGPD ?" disponible en cliquant ICI

En conclusion, la mise en conformité au RGPD est un mix de bon sens et d'application de formalisme spécifique.

Avec ces cinq règles, vous serez en conformité avec les règles essentielles.

Si vous êtes bloqué ou si vous souhaitez un appui pour réaliser les documentations (Registre des traitements, Fiche de traitements, Analyse d'impact sur la protection des données - AIPD) n’hésitez pas à solliciter XPDO pour la réaliser ! La page contact c'est ici

Les internautes ont aussi consulté dans le Blog:

Votre logiciel de newsletter est-il conforme au RGPD ?

Quelles sont les règles d'or du RGPD?

Comment réaliser une analyse d impact relative à la protection des données (AIPD)

Comment mettre son site internet en conformité avec le RGPD?