Comment se mettre en conformité RGPD ?
Les conseils élémentaires afin d'aider tous les secteurs d'activité à initier leur mise en conformité RGPD.
Conseil conformité RGPD n° 1
Réaliser l'état des lieux
La mise en conformité avec le RGPD nécessite un audit des activités de traitement, et la rédaction d'un registre de traitements des données à caractère personnel.
Recenser les activités de traitement
La réalisation d’un état des lieux consistant à recenser la totalité des activités de traitement de base, mais pas seulement. Il s’agit d’être exhaustif et de lister également toutes les autres activités dites secondaires du point de vue du RGPD.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Cartographier les traitements de données
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Mais elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données, permettant une synthèse facile à comprendre des traitements de données personnels.
Recenser les activités de traitement
La réalisation d’un état des lieux consistant à recenser la totalité des activités de traitement de base, mais pas seulement. Il s’agit d’être exhaustif et de lister également toutes les autres activités dites secondaires du point de vue du RGPD.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Mais elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données, permettant une synthèse facile à comprendre des traitements de données personnels.
Cartographier les traitements de données
Conseil conformité RGPD n°2
Évaluer les risques
L'analyse du registre de traitement permet d'évaluer la sensibilité des traitements en tenant compte des flux de données et de leur nature.
Identifier les données sensibles
Une fois les activités de traitement recensées, le responsable de traitement obtient la totalité des catégories de données personnelles à mettre en conformité avec le RGPD.
Dans le cadre de certaines activités de traitement, la réalisation d’une étude d’impact sur la vie privée (EIVP), peut être rendue obligatoire.
Mettre à jour les contrats
A ce stade de la mise en conformité RGPD, il est nécessaire de mettre à jour les contrats en y ajoutant une clause RGPD.
L’encadrement de vos relations avec vos sous-traitants et partenaires est indispensable à la mise en conformité RGPD de vos activités, à la protection des droits des citoyens, et à la prévention des fuites de données.
Assurer la sécurité
L’audit RGPD permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés au quotidien.
Cette vision à 360° des pratiques et des traitements de données à caractère personnel met en évidence les défauts techniques et organisationnels que le responsable de traitement doit améliorer.
Identifier les données sensibles
Une fois les activités de traitement recensées, le responsable de traitement obtient la totalité des catégories de données personnelles à mettre en conformité avec le RGPD.
Dans le cadre de certaines activités de traitement, la réalisation d’une étude d’impact sur la vie privée (EIVP), peut être rendue obligatoire.
Mettre à jour les contrats
A ce stade de la mise en conformité RGPD, il est nécessaire de mettre à jour les contrats en y ajoutant une clause RGPD.
L’encadrement de vos relations avec vos sous-traitants et partenaires est indispensable à la mise en conformité RGPD de vos activités, à la protection des droits des citoyens, et à la prévention des fuites de données.
Assurer la sécurité
L’audit RGPD permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés au quotidien.
Cette vision à 360° des pratiques et des traitements de données à caractère personnel met en évidence les défauts techniques et organisationnels que le responsable de traitement doit améliorer.
Conseil conformité RGPD n° 3
La conformité RGPD : un projet au long cours
La mise en conformité RGPD doit être envisagée comme une gestion de projet permanente, du fait de la diversité des taches et services interne concernés.
Conseil conformité RGPD n° 4
Opter pour un DPO Externe
Bien que la mise en conformité soit réalisable en interne, à condition d'investissements cohérents en temps et en argent (gestion de planning, formation du pilote…), externaliser la fonction de délégué à la protection des données garantie l'absence de conflit d'intérêt (article 38.6 du RGPD).
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action pragmatique.
L’analyse du DPO externe met en évidence les actions à prioriser, afin de réduire le risque de non-conformité RGPD. La liste exhaustive des actions RGPD fait l’objet d’un suivi régulier.
Planifier
Le plan d’action du DPO externe doit être accepté par l’ensemble des acteurs participant aux traitements de données personnelles.
Les actions urgentes telles que la réalisation des études d’impact sur la vie privée, la désignation d’un DPO, ou la validation du registre des traitements doivent être inscrites dans le planning RGPD.
Contrôler
La mise en conformité RGPD, doit être encadrée par la mise en place d’une équipe de travail dédiée au chantier « RGPD », et un planning de travail respecté.
L’équipe RGPD de la structure avec le soutien du DPO externe a en charge le suivi du projet RGPD, la mise à jour du plan d’action RGPD, et la démarche de « privacy by design » de l’organisation.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action pragmatique.
L’analyse du DPO externe met en évidence les actions à prioriser, afin de réduire le risque de non-conformité RGPD. La liste exhaustive des actions RGPD fait l’objet d’un suivi régulier.
Planifier
Le plan d’action du DPO externe doit être accepté par l’ensemble des acteurs participant aux traitements de données personnelles.
Les actions urgentes telles que la réalisation des études d’impact sur la vie privée, la désignation d’un DPO, ou la validation du registre des traitements doivent être inscrites dans le planning RGPD.
Contrôler
La mise en conformité RGPD, doit être encadrée par la mise en place d’une équipe de travail dédiée au chantier « RGPD », et un planning de travail respecté.
L’équipe RGPD de la structure avec le soutien du DPO externe aura en charge le suivi du projet RGPD, la mise à jour du plan d’action RGPD, et la démarche de « privacy by design » de l’organisation.
Conseil conformité RGPD n° 5
Maîtriser la conformité RGPD
Lancer un chantier de mise en conformité avec le RGPD n'est pas tout. Les compétences du DPO externe doivent être fiables et pérennes. Opt-on investit en permanence dans son expertise.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de compétence de nos intervenants au travers de la certification de personne ANFOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’ont pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, nos clients bénéficient d’un niveau d’expertise et de conseils RGPD certifié AFNOR
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel, regroupant plus de 3 500 professionnels, est à ce jour la référence en France. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles de la conformité RGPD, ainsi d’être au plus proche des évolutions règlementaires.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique,ainsi que dans notre capacité à participer à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de compétence de nos intervenants au travers de la certification de personne ANFOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’ont pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, nos clients bénéficient d’un niveau d’expertise et de conseils RGPD certifié AFNOR
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique,ainsi que dans notre capacité à participer à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel, regroupant plus de 3 500 professionnels, est à ce jour la référence en France. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles de la conformité RGPD, ainsi d’être au plus proche des évolutions règlementaires.
Nos domaines d'activités
Santé et paramédical
Médecin libéral, association de santé, maison de santé, ambulancier, diététicien, audioprothésiste, ergothérapeute, orthophoniste, ...
PME - PMI
Acteur de l'économie locale, employeur essentiel sur un territoire, commerce de proximité, quelque soit le domaine d'activité, ...
Numérique
Agence de communication digitale, community manager, infogéreurs, distributeur et éditeur de logiciels, développeur d’Intelligences Artificielles, ...
Environnement
Gestion et recyclage des déchets, installation de technologies en faveur de la performance énergétique, promoteur de l'économie de l'eau, ...
Associatif
Association culturelle, sportive, ou religieuse, association à but non lucratif, association intermédiaire ou d'intérêt général, ...
Social et Solidarité
Coopérative, association ou fondation, dont le fonctionnement interne et les activités sont fondées sur un principe de solidarité et d'utilité sociale, ...
Santé et paramédical
Médecin libéral, association de santé, maison de santé, ambulancier, diététicien, audioprothésiste, ergothérapeute, orthophoniste, ...
PME - PMI
Acteur de l'économie locale, employeur essentiel sur un territoire, commerce de proximité, quelque soit le domaine d'activité, ...
Numérique
Agence de communication digitale, community manager, infogéreurs, distributeur et éditeur de logiciels, développeur d’Intelligences Artificielles, ...
Associatif
Association culturelle, sportive, ou religieuse, association à but non lucratif, association intermédiaire ou d'intérêt général, ...
Environnement
Gestion et recyclage des déchets, installation de technologies en faveur de la performance énergétique, promoteur de l'économie de l'eau, ...
Economie Sociale et Solidaire
Coopératives, mutuelles, associations, ou fondations, dont le fonctionnement interne et les activités sont fondées sur un principe de solidarité et d'utilité sociale