Vous avez décidé de mettre votre organisation en conformité avec le RGPD - Règlement Général sur la Protection des Données - mais après avoir consulté internet, quelques guides, le site de la CNIL, vous ne savez pas par où commencer !
xDPO vous répond en cinq étapes simples :
Les 5 étapes à suivre pour se mettre en conformité avec le RGPD:
1. Mettre en conformité son site internet
Votre site internet regorge d’indices publics de votre conformité RGPD:
la gestion des cookies : si votre site utilise des cookies ou traceurs, vous devez informer votre internaute et lui permettre d'accepter, refuser ou modifier l'installation des cookies. A ce sujet vous pouvez consulter notre article sur "Cookies : les règles à suivre"
les mentions légales : elle doit être en ligne et à jour
la politique de protection des données: elle doit être en ligne et à jour
les formulaires : le consentement est "opt-in" et les mentions RGPD sont présentes
le certificat de chiffrement : présence du cadenas dans la barre d'adresse
Si vous vous assurez d’avoir une vitrine publique conforme au RGPD, vous diminuerez d’autant les risques de contrôle de la CNIL ou de plaintes de personnes. Nous vous le signalons dans l'article les trois piliers d'un site internet conforme, il faut être vigilant sur les points suivants : le certificat de chiffrement https, la présence de mentions obligatoires, la gestion des formulaires de contact et la gestion des cookies.
Notre astuce : sollicitez votre agence digitale ou votre service communication sur ces points. Ils vous seront d'une aide précieuse !
2. Décrire et mettre à jour ses mesures de sécurité
Cela paraît évident, mais la protection des données personnelles commence par la prise de mesures permettant d'assurer la sécurité des données en général (c’est l’article 32 du RGPD). N’oubliez pas que les données papiers sont aussi concernées : pensez à fermer les placards qui contiennent les dossiers du personnel. Mais la majorité de vos données concernées par le RGPD sont numériques : pensez à quelques règles simples de sécurité informatique (voir « notre conseil » ou notre page dédié aux règles essentielles pour votre cybersécurité) et à demander des garanties à vos sous-traitants (logiciels cloud, expert comptable).
Notre astuce : la méthode « MMS » : pour sécuriser les données manipulées par vos équipes, demandez-leur d’appliquer au minimum
1/ les Mises à jour des logiciels qu’ils utilisent, sans oublier leur navigateur internet
2/ les Mot de passe doivent être uniques à chaque utilisateur, être complexe et changés tous les ans minimum
3/ les Sauvegardes doivent être faites : si vous êtes cyberattaqué, ce sera la seule base à partir de laquelle vous pourrez redémarrer votre activité.
3. Recenser les logiciels et prestataires
Pour recenser les données, recensez les logiciels ! En effet, aujourd’hui toutes les données personnelles – concernées par le RGPD – sont saisies dans un logiciel. Si vous listez les logiciels, vous aurez une bonne idée des données que vous traitez et de leur flux : d’où vient la donnée et où va-t-elle.
Détectez aussi dans votre organisation les modes d’installation des logiciels : sur un serveur au sein de votre organisation (« on premise ») ou dans le cloud (dans ce cas, renseignez-vous sur la localisation de l’hébergement).
A partir du moment où vous aurez recensé vos logiciels, vous aurez identifié la trame de votre Registre des traitements. Pour le finaliser, il ne vous restera qu'à lister les logiciels, leur finalité (à quoi sert ce logiciel?) et les compléter pour chaque traitement les règles d'or décrites ici
Notre astuce : commencez par les logiciels qui concernent les données du personnel (SIRH ; établissement de la paie) ou les clients/ usagers (newsletter, site internet, CRM, facturation, logiciel métier).
4. Documenter, formaliser
C’est le premier principe du RGPD : vous devez prendre les mesures adéquates et les documenter de votre propre initiative. C’est le principe d’auto-documentation et d'auto-responsabilité (« Accountability » article 5.2 du RGPD). Vous devez être capable de prouver que vous avez démarré le processus de mise en conformité, même si vous n’avez pas tous les documents règlementaires.
C'est dans ce cadre que vous devrez rédiger le Registre des traitements, qui décrit dans le détails vos différentes activités de traitement de données personnelles. Mais patience, nous vous conseillons de ne pas commencer par cet exercice, nous le verrons au moment du recensement des logiciels.
Notre astuce : Créez dès maintenant un dossier en ligne partagé (via Sharepoint, Dropbox, etc.) pour centraliser tous vos documents, contrats et guides relatifs à la protection des données personnelles, même s’ils sont encore en cours de finalisation. En plus de faciliter votre organisation, ce dossier deviendra une ressource précieuse pour votre futur DPO ou en cas de contrôle CNIL ! Une mine d’or à portée de clic pour simplifier votre gestion de conformité.
5. Respecter les droits des personnes
Les données personnelles appartiennent aux personnes : elles ont donc des droits que vous devez connaître (articles 12 à 23 du RGPD) et que vous devez savoir traiter. En commençant par déterminer un moyen de communication : existe-t-il un e-mail spécifique ? (rgpd@chezvous.fr) Générique ? (contact@chezvous.fr) Qui le relève ? Qui doit traiter le message ? En général, il y a peu de demandes, mais elles peuvent être justifiées et argumentées : il faut savoir les traiter sinon le silence peut motiver les personnes à faire un recours auprès de la CNIL.
Notre astuce : créez une adresse e-mail visible sur la page d’accueil de votre site internet et mettez en place une règle de transfert du message vers votre chef de projet RGPD.
En conclusion, la mise en conformité au RGPD est un mix de bon sens et d'application de formalisme spécifique.
Avec ces cinq règles, vous serez en conformité avec les règles essentielles.
Si vous êtes bloqué ou si vous souhaitez un appui pour réaliser les documentations (Registre des traitements, Fiche de traitements, Analyse d'impact sur la protection des données - AIPD) n’hésitez pas à solliciter XPDO pour la réaliser ! La page contact c'est ici
Les internautes ont aussi consulté dans le Blog:
Comments