Comment se mettre en conformité RGPD ?
Les conseils élémentaires afin d'aider tous les secteurs d'activité à initier leur mise en conformité RGPD dans les règles de l'art.
Conseil conformité RGPD n° 1
Réaliser l'état des lieux
La mise en conformité avec le RGPD nécessite un audit des activités de traitement. La rédaction d'un registre de traitements des données à caractère personnel est une nécessité.
Recenser les activités de traitement
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les activités de l’organisation.
Ce recensement permet la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Cartographier les traitements de données
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Recenser les activités de traitement
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les activités de l’organisation.
Ce recensement permet la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Cartographier les traitements de données
Conseil conformité RGPD n°2
Évaluer les risques
L'analyse du registre de traitement permet d'évaluer la sensibilité des activités de l'organisation.
Identifier les données sensibles
Une fois les activités de traitement recensées, le responsable de traitement obtient les différentes catégories de données personnelles. C’est ici que commence la conformité.
C’est ainsi que le risque sur les droits et libertés est évalué. La réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles. Le but étant de gommer les défauts que le responsable de traitement doit améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles.
Conseil conformité RGPD n° 3
La conformité RGPD : un projet au long cours
La mise en conformité RGPD devrait être envisagée comme une gestion de projet permanente et AGILE.
Conseil conformité RGPD n° 4
Opter pour un DPO Externe
Externaliser la fonction de délégué à la protection des données garantie l'absence de conflit d'intérêt (article 38.6 du RGPD). La mise en conformité peut être réalisée en interne, à condition toutefois d'investissements cohérents en temps et en argent.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action pragmatique.
L’analyse du DPO externe met en évidence les actions à prioriser, afin de réduire le risque de non-conformité RGPD. La liste exhaustive des actions RGPD devrait faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par la direction. Il guidera l’ensemble des acteurs opérationnels des traitements de données.
Les actions obligatoires telles que la réalisation des analyses d’impact, et la désignation d’un DPO doivent être inscrites dans le planning RGPD.
Contrôler
Enfin, la mise en conformité, doit être encadrée par une équipe de travail dédiée au chantier « RGPD ».
L’équipe RGPD, avec le soutien du DPO externe, aura en charge le suivi du projet RGPD. Elle assurera la mise à jour du plan d’action RGPD, et la démarche de « privacy by design » de l’organisation.
Conseil conformité RGPD n° 5
Maîtriser la conformité
Lancer un chantier de mise en conformité avec le RGPD n'est pas tout. Les compétences du DPO externe doivent être fiables et pérennes. Opt-on investit en permanence dans son expertise.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Conseil conformité RGPD n° 6
Maintenir la conformité
La tâche la plus complexe en matière de conformité est sûrement celle du maintien de la dynamique.
Grâce à notre expérience de DPO, nous pouvons affirmer que, le plus difficile dans la mise en conformité avec le RGPD, est de réussir à rendre la démarche attrayante.
Toutefois, cela doit être un objectif prioritaire dès le début du chantier. La mise en conformité ne doit pas être subie par les opérationnels, afin que la démarche reste dynamique.
Il est judicieux de confier le chantier à un DPO externe, dont c’est le quotidien, afin d’éviter qu’un responsable interne se décourage, à cause d’une impression d’immobilisme.
En effet, le métier de DPO est difficile à plus d’un titre. Il est difficile de faire adopter une culture de la protection des données au sein d’une organisation qui n’y est pas habituée. En outre, la protection des données est souvent perçue comme un frein à l’activité. Ces situations génèrent parfois des résistances.
La conformité RGPD est l'affaire de tous !
Conformité RGPD des acteurs de la santé
Vous êtes médecin libéral, association de santé, maison de santé, ambulancier, diététicien, audioprothésiste, ergothérapeute, orthophoniste, etc, le traitement de données de sensible est strictement encadré par le RGPD. Le seul secret professionnel ne suffit pas à démontrer votre conformité RGPD.
Conformité RGPD des PME
Vous êtes un acteur de l'économie locale, employeur essentiel sur un territoire, commerçant de proximité, pour maintenir la confiance de vos clients et employés, la protection de leurs données personnelles n'est pas un luxe. Ils attendent de vous une conformité RGPD minimale.
Conformité RGPD des acteurs du numérique
Vous êtes une agence digitale, community manager, infogéreur, distributeur et éditeur de logiciels, développeur d’Intelligences Artificielles, vous êtes un maillon essentiel de la protection des données de vos clients. Votre conformité RGPD est indispensable à leurs yeux.
Conformité RGPD des associations
Vous gérez une association culturelle, sportive, ou religieuse, une association à but non lucratif, intermédiaire ou d'intérêt général, vous êtes responsables des données sensibles, et parfois de données de personnes vulnérables. Votre "risque RGPD" est considérable.
Conformité RGPD des professionnels de l'assurance
Vous êtes assureur, mutuelle de santé, courtier, intermédiaire d'assurance ou centre de gestion, les échanges de données dans le cadre de vos missions sont à protéger. La pérennité de vos activités en dépend.
