RGPD : Votre “Check List” de mise en conformité

Conformité réglementaire …. Ce terme est souvent synonyme d’épée de Damoclès, d’angoisse pour les équipes en charge de la mise en conformité au sein des entreprises. Bien couvent, il évoque plus de contraintes que d’opportunités. Et effectivement, c’est une réalité; Si votre entreprise n’est pas en conformité avec le RGPD (Règlement Général sur la Protection des Données) d’ici le 25 mai 2018, le temps presse …

Les impacts pourraient être très négatifs d’un point de vue financier mais également entacher la réputation de votre entreprise.

Ceci concerne bien évidemment vos opérations internes au premier chef, mais aussi vos fournisseurs et partenaires (données, technologies, partenaires d’affiliation, …). Il est essentiel de vérifier tous les tiers qui participent au traitement de vos données, car il suffit d’un maillon faible dans votre chaîne de traitement pour vous mettre en difficulté !

Allez, pas de panique ! Nous avons créé une « check list » pour vous aider à vous y retrouver et quantifier l’effort qu’il vous reste à faire :

1) L’audit

Peu importe, ici, la taille de votre entreprise. Ce premier élément doit être en tête de vos priorités. La première étape de la conformité au RGPD est de comprendre le type de données que vous détenez et que vous utilisez. D’où viennent-elles ? A quoi servent-elles ? Dans quel cadre sont-elles utilisées ? Qui y a accès ? Ce sont autant de bonnes questions que vous devez vous poser. Et … tout de suite !

2) Votre politique de confidentialité

La mise à jour de votre politique de confidentialité doit être une autre tâche prioritaire. Le RGPD énonce et demande que vous rendiez chaque individu, visiteur de votre site ou dans vos bases de données, conscient que vous possédez des données personnelles le concernant et ce que vous avez l’intention de faire avec ses données. Il est également nécessaire de les informer en toute déontologie et transparence du fondement de votre démarche de collecte de données, ainsi que de les informer clairement de leur droit de plainte, de retrait et destruction si ces données sont utilisées de manière inappropriée.

3) Le DPO

Avez-vous déjà nommé un Responsable de la Protection des Données (DPO ou Data Protection Officer en anglais) ? Si vous êtes une autorité publique, alors désigner un DPO est une condition sine qua non au respect du RGPD. Sans cette figure de proue, votre vaisseau « gourvernance des données » naviguera sans capitaine, au gré des vents …..et des tempêtes !

4) Cartographier et analyser vos processus de gestion de données

Être préparé pour RGPD, c’est tout d’abord pouvoir démontrer que vos processus de traitement de données sont connus et maîtrisés après le 25 mai 2018. Vous devez vous assurer que vous avez les bonnes procédures en place pour traiter les données que vous détenez sur des individus. Aussi, vous devez être prêt à faire face à des demandes de suppression de données. Si ce type de demande ne vous est pas familier, alors il est grand temps de cartographier vos processus… et de les améliorer s’ils ne sont pas conformes !

5) Les violations de données

La façon dont les entreprises réagissent aux violations de données est un autre changement majeur avec l’entrée en vigueur du RGPD. Qu’elles soient accidentelles ou délibérées, les violations de données doivent être signalées, dans presque tous les cas, à la CNIL (Commission Nationale Information et Libertés) dans un délai de 72 heures. Pourrez-vous identifier rapidement une violation du réglement dans l’utilisation de données personnelles et fournir un rapport complet et précis dans le meilleur délai ?

6) Exigences au niveau international

Si vous êtes une entreprise qui participe au traitement de données transfrontalier, vous devez savoir quelle est votre autorité de référence. Planifiez à l’avance pour déterminer à qui vous devez rendre compte.