RGPD / GDPR : Se préparer avant fin 2017

Le 28 août 2017 dans Resilience

Avec le Règlement Général sur la Protection des Données/General Data Protection Regulation (RGPD ou GDPR), toute entreprise devra être en mesure de prouver à n’importe quel moment, qu’elle respecte des règles relatives à la protection des données personnelles (1).
Cette réglementation met fin au déclaratif et ouvre la porte à des sanctions financières bien plus lourdes en cas de manquement : Jusqu’à 4% du CA annuel sur un total maximum pouvant atteindre 20 millions d’euros.
La mise en conformité passe par 3 domaines qu’il convient d’adresser : l’organisationnel, le juridique et le technique.

Si vous deviez débuter sa mise en chantier, par quoi commencer ?

Il convient tout d’abord d’adapter votre démarche à l’état dans lequel votre organisation se trouve.
Un premier état des lieux permettra d’établir l’existant en la matière dont le traitement des données personnelles dans l’entreprise,  l’application des  principes de la loi Informatique et Libertés de 1978 : déclaration de traitement, Correspondant informatique et liberté, …
En parallèle de cette démarche, il convient de s’assurer de la bonne compréhension des enjeux par les décideurs ou le comité de direction de l’entreprise.
Avec le RGPD, il s’agit en effet d’initier une transformation dans l’entreprise en matière de gouvernance des données.
Au-delà de la conformité, cette dernière est également en mesure d’apporter des gains réels dans le fonctionnement de l’entreprise, dans la relation avec ses collaborateurs et ses clients.
De l’état des lieux et du support des décideurs, il conviendra de déterminer les contours de votre chantier : un responsable de chantier au sein de votre organisation, un plan d’action et une feuille de route.

De la méthode, pour répondre à un chantier complexe

Cette complexité réside dans les 3 points suivants :

Le temps

Combien de jours avant le 25 Mai 2018 ? Il suffit de regarder votre planning pour vous rendre compte du temps restant.

A la date de la publication de cet article, il ne reste que 269 jours.

La nécessité d’impliquer de nombreux contributeurs internes

Il ne s’agit pas d’un chantier informatique, ni même d’un chantier juridique, mais tout au contraire d’un chantier qui concerne plusieurs contributeurs dans l’entreprise :
Pour exemple, le recueil et le traitement des données personnelles incombent dans l’entreprise à des acteurs tels que

  • Les ressources humaines voire les services généraux pour les données collaborateurs.
  • Le marketing pour les clients ou prospects pour le Marketing.

Sans compter, qu’il faut également prévoir de rendre compte de l’avancement des travaux aux décideurs et animer des sessions de sensibilisation, de formations internes pour des collaborateurs en lien avec les données personnelles.

La formalisation et la tenue de nouvelles procédures

Pour l’illustrer, nous avons établi une liste non exhaustive, extraite de différents plans d’action réalisés à l’occasion de nos missions auprès de nos clients et  points soulevés lors de nos interventions dans des événementiels en la matière (2) :

  • Définir ou redéfinir la mission du Correspondant informatique et Libertés, ses outils de suivi et de contrôle.
  • Établir la cartographie des traitements des données personnelles et le registre des activités de traitement.
  • Formaliser ou revoir un processus pour toute nouvelle collecte / utilisation de données à caractère personnel.
  • S’assurer de disposer d’une bibliothèque de mention type, de supports de communication destinés à informer des droits existants et les nouveaux (Accès, rectification, portabilité, …).
  • Définir et formaliser  une politique et charte d’utilisation des données personnelles.
  • Initier les actions de sensibilisation et de formations du personnel avec la tenue d’un registre.
  • Réaliser des analyses d’impacts pour les traitements des données personnelles à risques élevés.
  • Vérifier les modalités contractuelles, les principes d’exécutions des sous-traitants avec lesquels vous partager les données personnelles.
  • Renforcer l’existant sur la sécurité des données personnelles, le traitement des données sensibles et qualifier les solutions de transfert des données hors UE.
  • Prévenir les poursuites et les sanctions au travers d’une gestion d’incident spécifique aux violations de données personnelles avec des procédures dédiées.
  • ….

Certaines de ces actions peuvent être menées en parallèle.

 

Conscients des enjeux  et  des risques associés à une mise en conformité insuffisante ou tardive, nous avons  également développé une offre adaptée et modulaire « Start’in Block RGPD ».

Venez la découvrir en programmant un rendez-vous visio : https://www.emoveo.fr/visio/

 

(1) La CNIL définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Ces données concernent au sein de l’entreprise : ses collaborateurs, ses clients ou prospects.

(2) Notre dernière intervention basée sur un serious game :
http://lacantine-toulouse.org/7770/alors-pret-a-jouer-avec-4-du-chiffre-d-affaires-annuel
Save the date : Nous allons à nouveau animer une nouvelle session courant septembre 2017 à Toulouse et une autre en octobre à Paris (Suivre l’actualité sur notre site internet).
Jean-Marc Sepio : emoveo

Par Jean-Marc Sépio

Articles suggérés

Data Breach, the Achilles’ heel of CEOs

Not a week goes by without sophisticated attack targeting businesses: ransomware or theft of personal…

Lire la suite de l'article

Cybersecurité : l’investissement gagnant c’est…

Dilapider tout un budget en solution technologique ne garantit pas une réponse efficace face à la…

Lire la suite de l'article

Les métiers d’emoveo

s’engager pour le succès de nos clients

Les missions que nous entreprenons sont marquées par la coopération : nous travaillons de concert avec nos clients, pour garantir le sur-mesure, le pragmatisme et le transfert de compétence.

Découvrir les métiers d’emoveo