Accompagnement
Conformité RGPD pour PME
Mise à disposition d'un DPO externe certifié AFNOR : un accompagnement à la conformité RGPD pour PME dans les règles de l'art.
Assur-on pour les TPE et PME, c’est l’assurance d’être épaulé, sans limites, dans les trois situations les plus risquées :
- Violation de données.
- Contrôle de la CNIL.
- Demande d’exercice de droit d’un citoyen.
C’est également la possibilité d’un appui technique par un DPO certifié AFNOR, désigné auprès de la CNIL. Pour un accompagnement RGPD progressif des PME et TPE.
Conform-on c’est la solution Assur-on, avec encore plus de temps d’appui technique, l’audit de la structure, et un bilan annuel du DPO.
La phase d’audit, correspond à notre solution Audit-on, se déroule sur 3 mois, et apporte un plan d’action complet ainsi que le registre de traitements.
Cette solution intègre la désignation du DPO, des newsletters, la formation du personnel …
C’est la conformité RGPD pour PME dans les règles de l’art préconisées par les autorités.
Pourquoi choisir notre accompagnement conformité RGPD pour PME ?
Nos compétences et nos valeurs font de nos consultants en conformité RGPD parmi les plus qualitatifs du marché.
Nous nous assurons des compétences de nos consultants RGPD et DPO externes, par des formations et des certifications validées par la CNIL.
Dans nos évaluations, nous ne privilégierons jamais un tiers plutôt qu’un autre : nos recommandations sont impartiales.
De plus, nous ne proposons pas de services qui pourraient présenter un conflit d’intérêt : avocat, fourniture de logiciel, prestation de cybersécurité.
Nous proposons de multiples moyens de contacter votre interlocuteur dédié, qu’il soit votre DPO désigné à la CNIL ou le consultant RGPD ponctuel. Nous nous engageons sur nos délais de réponses.
Opt-on est également une entreprise à taille humaine. Vous disposez d’un seul interlocuteur, aux compétences certifiées, et qui ne change pas tous les quatre matins.
Conseil conformité RGPD n°1 pour PME
Réaliser un état des lieux
La mise en conformité avec le RGPD nécessite un audit des activités de traitement. La rédaction d'un registre des traitements des données à caractère personnel est une nécessité.
Recenser les activités
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les activités de la PME.
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Cartographier les traitements
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Recenser les activités
C’est la réalisation d’un état des lieux pour identifier la totalité des données personnelles. Il s’agit d’être exhaustif. À cette fin, il faut lister toutes les activités de la PME
Ce recensement permet d’initier la rédaction du registre de traitement en conformité avec l’article 30 du RGPD.
Le registre de traitement, tel qu’encadré par le RGPD, n’impose pas la création d’une cartographie, au sens où nous l’entendons. Toutefois, elle est recommandée par les DPO certifiés.
Cet exercice a pour but de créer une représentation visuelle des traitements de données. Cette synthèse des traitements de données personnels permet de mieux se repérer.
Cartographier les traitements
Conseil conformité RGPD n°2 pour PME
Évaluer les risques
L'analyse du registre de traitement permet d'évaluer la sensibilité des activités de l'organisation.
Identifier les données sensibles
Une fois les activités de traitement recensées, le dirigeant de la PME obtient les différentes catégories de données personnelles.
C’est ici que commence la conformité avec le RGPD.
C’est ainsi que le risque sur les droits et libertés est évalué. Dans le cadre de certains usages des PME, la réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD des activités de la PME, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité RGPD générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés par les équipes de la PME.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles.
Le but étant de gommer les défauts que le dirigeant de la PME doit améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles comme le précisent les articles 24 et 25 du RGPD.
Identifier les données sensibles
Une fois les activités de traitement recensées, le dirigeant de la PME obtient les différentes catégories de données personnelles.
C’est ici que commence la conformité avec le RGPD.
C’est ainsi que le risque sur les droits et libertés est évalué. Dans le cadre de certains usages des PME, la réalisation d’une analyse d’impact sur les données personnelles (AIPD), peut être rendue obligatoire. Par ailleurs, dans certains cas, la CNIL doit être consultée.
Mettre à jour les contrats
À ce stade de la mise en conformité RGPD des activités de la PME, les sous-traitants sont identifiés. Il est alors nécessaire de mettre à jour les contrats ne disposant pas de clause RGPD.
L’encadrement des relations avec les sous-traitants et partenaires est une obligation règlementaire. En effet, cela participe à la mise en conformité RGPD générale. En outre, cette étape assure la protection des droits des citoyens, mais aussi la prévention des fuites de données.
Assurer la sécurité
Un audit RGPD complet permet d’obtenir une vision d’ensemble des traitements de données à caractère personnel réalisés par les équipes de la PME.
Cette vision à 360° des traitements de données à caractère personnel met en évidence les améliorations possibles.
Le but étant de gommer les défauts que le dirigeant de la PME doit améliorer en priorité. Ces améliorations peuvent être techniques et organisationnelles comme le précisent les articles 24 et 25 du RGPD.
Conseil conformité RGPD n°3 pour PME
Appliquer la méthode PDCA
La mise en conformité RGPD doit être envisagée comme une gestion de projet permanente, du fait de la diversité des taches et services interne concernés.
Conseil conformité RGPD n° 4 pour PME
Opter pour un DPO externe
Externaliser la fonction de délégué à la protection des données garantie l'absence de conflit d'intérêt (article 38.6 du RGPD). La mise en conformité peut être réalisée en interne, à condition toutefois d'investissements cohérents en temps et en argent.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action réalisable par les équipes de la PME. C’est pourquoi il doit être pragmatique.
L’analyse des risques met en évidence les actions à prioriser. C’est pourquoi une liste exhaustive des actions de conformité RGPD doit faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par la direction de la PME. Il guidera l’ensemble des acteurs opérationnels des traitements de données. En outre, il permettra d’encadrer les pratiques futures de l’entreprise.
Ainsi, des actions telles que la réalisation des analyses d’impact, la sensibilisation des employés, doivent être les tâches prioritaires.
Sensibiliser
Les dirigeants ont intérêt à numériser leur activité, il est donc primordial que la brique « éthique » ne soit pas oubliée.
Les dirigeants des PME doivent inciter les fournisseurs de solutions numériques à respecter le RGPD « by design ».
La mission des fournisseurs de solutions est d’aider les PME à être conforme au RGPD.
Prioriser
Les informations obtenues par l’audit RGPD, permettent la construction d’un plan d’action réalisable par les équipes de la PME. C’est pourquoi il doit être pragmatique.
L’analyse des risques met en évidence les actions à prioriser. C’est pourquoi une liste exhaustive des actions de conformité RGPD doit faire l’objet d’un suivi régulier.
Planifier
Ensuite, le plan d’action du DPO externe doit être validé par la direction de la PME. Il guidera l’ensemble des acteurs opérationnels des traitements de données. En outre, il permettra d’encadrer les pratiques futures de l’entreprise.
Ainsi, des actions telles que la réalisation des analyses d’impact, la sensibilisation des employés, doivent être les tâches prioritaires.
Sensibiliser
Les dirigeants ont intérêt à numériser leur activité, il est donc primordial que la brique « éthique » ne soit pas oubliée.
Les dirigeants des PME doivent inciter les fournisseurs de solutions numériques à respecter le RGPD « by design ».
La mission des fournisseurs de solutions est d’aider les PME à être conforme au RGPD.
Conseil conformité RGPD n°5 pour PME
Maîtriser la conformité
Lancer un chantier de mise en conformité avec le RGPD n'est pas tout. Les compétences du DPO externe doivent être fiables et pérennes. Opt-on investit en permanence dans son expertise.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
DPO certifié AFNOR
Nous apportons à nos clients la preuve de nos compétences au travers de la certification AFNOR Certification – Délégué à la Protection des Données – DPO. Bien que toutes les structures n’aient pas l’obligation de désigner un Délégué à la Protection des Données auprès de la CNIL, tous nos clients bénéficient du même niveau d’expertise RGPD.
Activateur numérique
Opt-On est un acteur référencé sur la plateforme gouvernementale France Num. Cette démarche s’inscrit dans notre volonté d’exprimer nos ambitions en développement soutenable du numérique. Nous participons à la numérisation efficiente de l’économie française. Opt-On accompagne les organisations dans la numérisation éthique.
Membre de l'AFCDP
L’Association Française des Correspondants à la protection des Données à caractère Personnel regroupe plus de 3 500 professionnels. Les échanges entre spécialistes de la conformité RGPD permettent aux membres d’échanger sur les situations les plus subtiles du RGPD. Ainsi, Opt-on est au plus proche des évolutions règlementaires.
Conseil conformité RGPD n°6 pour PME
Maintenir la conformité RGPD des PME
La tâche la plus complexe en matière de conformité est sûrement celle du maintien de la dynamique.
Grâce à notre expérience de DPO, nous pouvons affirmer que, le plus difficile dans la mise en conformité avec le RGPD, est de réussir à rendre la démarche attrayante.
Toutefois, cela doit être un objectif prioritaire dès le début du chantier. La mise en conformité ne doit pas être subie par les équipes des PME, afin que la démarche reste dynamique.
Il est judicieux de confier le chantier à un DPO externe, dont c’est le quotidien, afin d’éviter que les équipes se découragent, à cause d’une impression d’immobilisme, ou de changements trop rapides.
En effet, le métier de DPO est difficile à plus d’un titre. Il est difficile de faire adopter une culture de la protection des données au sein d’une organisation qui n’y est pas habituée. En outre, la protection des données est souvent perçue comme un frein à l’activité. Ces situations génèrent des résistances.