Depuis quelques années, les règles en Europe en ce qui concerne la collecte, le traitement et le stockage des données ont beaucoup évoluées. Elles sont désormais plus strictes, et ce depuis la mise en application du RGPD en mai 2018. Toutes les entreprises qui ne se conforment pas au plus tôt peuvent subir de graves sanctions et perdre une grande partie de leur patrimoine. Alors pour éviter que cela ne vous arrive, voici les différentes étapes que vous aurez à suivre pour la mise en conformité de votre structure avec le RGPD.
1ère étape : Nommer un DPO
Pour ceux qui ne savent pas de quoi il s’agit exactement, le DPO est le Data Protection Officer. Il peut s’agir d’un homme ou d’une femme, pourvu que cette personne soit qualifiée pour incarner le RGPD au sein de la structure. Elle doit allier des compétences juridiques et techniques, et être aussi très douer pour communiquer. Elle doit savoir résister aux pressions, car il y en aura sans aucun doute.
La personne considérée comme le DPO au sein de votre structure travaille directement avec la direction générale. Elle aura pour obligation de délivrer toutes ses recommandations en toute indépendance, même si ceux-ci doivent aller à l’encontre des intérêts de l’entreprise. Si n’avez pas la chance de trouver parmi vos collaborateurs une personne avec les compétences requises pour jouer ce rôle, il faudra alors penser à recruter un professionnel du domaine.
2ème étape : Mettre en place une cartographie des traitements
Une fois que vous disposez en interne d’un DPO compétent et prêt à jouer son rôle, vous pouvez maintenant passer à l’étape suivante. Elle consiste à passer en revue l’ensemble des traitements de données personnelles, qu’elles soient informatisées ou disponibles sur papier dans vos archives. Le CNIL et prospection commerciale aident les particuliers à mieux maîtriser leurs données.Vous aurez alors à identifier les processus pris en compte par le RGP, puis à analyser leur niveau de conformité avec la législation en vigueur. Il s’agira en gros de dresser une cartographie de ces traitements, en mettant à profit les différents métiers de la structure, en l’occurrence la DRH et le département marketing.
3ème étape : Trouver un plan d’action
Après votre état des lieux détaillés avec la cartographie des traitements, vous aurez à établir un plan d’action et à le mettre en œuvre. Il faudra entreprendre des travaux informatiques, dans le but de sécuriser au plus vite les données les plus critiques. Il s’agit notamment des données de type anonymisation ou chiffrement. Vous aurez aussi à revoir certaines modalités, notamment celles de l’exercice du droit des individus, et aussi celles du recueil du consentement au droit à l’oubli. La politique de confidentialité de l’entreprise devra subir une véritable révision complète, afin que désormais, la finalité des traitements et la durée de conservation des données soient clairement établies.
4ème étape : Poser le cadre de gouvernance
Le plan d’action ainsi trouvé doit maintenant s’intégrer aux habitudes à la gestion de l’entreprise. Pour cela, il faudra mettre en place une gouvernance spécifique. Celle-ci viendra garantir l’intégrité des données, depuis le moment de leur collecte, jusqu’à celui de leur suppression. C’est ainsi que le plan d’action défini plus tôt pourra s’inscrire dans la durée et entrer dans les nouvelles habitudes au sein de l’entreprise.
5ème étape : Sensibiliser les collaborateurs
Une fois que toutes les dispositions sont mises en place pour le respect des règles du RGPD au sein de la structure, il faut maintenant faire intervenir tous vos collaborateurs. Il faudra les sensibiliser à la notion de respect de la vie privée et les former aux nouvelles obligations induites par le RGPD. C’est ainsi que tous les acteurs pourront collaborer dans la même direction pour contribuer à la mise en conformité de la RGPD dans l’entreprise.
À propos de l’auteur