RGPD : Comment me mettre en conformité ?

1- Je désigne un DPO (délégué à la protection des données)

Si vous répondez à l’une de ces deux conditions, la nomination d’un délégué à la protection des données est obligatoire :

• vous êtes un organisme public,
• vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.

Ses principales missions seront :

• informer en interne sur le contenu des nouvelles obligations
• sensibiliser les décideurs sur l’impact de ces nouvelles règles
• réaliser l’inventaire des traitements de données de votre organisation
• créer et animer des actions de sensibilisation
• piloter en continu la conformité.

Même si vous ne répondez pas à l’un des deux critères ci-dessus, il est recommandé de désigner une personne de votre entreprise qui s’assurera de la mise en conformité de vos traitements au RGPD.

2 - Je recense les traitements de données dans mon entreprise

Vous avez l'obligation de tenir un registre de traitement des données personnelles.

Cartographiez :

• la liste des traitements, triés par objectif principal (et non par outil utilisé) et les types de données traitées
• à qui et où les données sont transmises (en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne)
• les sous-traitants intervenant sur chaque traitement - où et combien de temps sont stockées vos données.

Vous devrez pouvoir justifier de ce registre à tout moment auprès des autorités compétentes (en cas de non présentation de registre les amendes peuvent être très importantes : jusqu'à 4% de votre chiffre d'affaires).
Un modèle de registre au format Excel est disponible sur le site de la CNIL.

3 - Je priorise mes actions de mise en conformité

Sur la base de la cartographie réalisée à l’étape précédente, définissez les actions nécessaires pour vous mettre en conformité avec la loi. Établissez une priorisation de ces actions en fonction des risques qu’ont vos traitements de données sur les libertés et droits des personnes.

Ce sur quoi vous devez agir en priorité :

• vous ne devrez collecter et traiter que les données strictement nécessaires à la poursuite de vos objectifs
• vous identifierez la base juridique de votre traitement (exemples : consentement de la personne, intérêt légitime, contrat, obligation légale…)
• vous informerez de façon claire et non ambiguë les personnes concernées (à quelle fin et combien de temps seront utilisées leurs données...)
• vous adapterez toutes vos mentions d’information (contrats, mentions légales, mentions associées à vos formulaires en ligne…) pour les rendre conformes au RGPD
• si vous avez recours à des sous-traitants (hébergeurs, solutions cloud, prestataire réalisant des campagnes de référencement payant pour votre compte...), vous vérifierez qu’ils remplissent également leurs obligations vis-à-vis du RGPD.
  Assurez-vous que dans les contrats qui vous lient à eux, il existe des clauses listant leurs obligations en matière de confidentialité, de sécurité et de protection des données personnelles traitées.
  A savoir : toutes les données gérées par les applications Net Hélium sont hébergées en France.
• vous créerez ou réviserez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) et vous assurerez que les contacts de votre base puissent y accéder facilement
• vous vérifierez et éventuellement augmenterez les mesures de protection des données de votre base pour éviter leur piratage
• si nécessaire, vous réaliserez des actions vous permettant d'actualiser la gestion des données personnelles de vos contacts (actualisation du consentement, "opt-inisation"...).

4 - Je gère les risques

Si des traitements de données que vous effectuez sont susceptibles de faire peser un risque élevé pour les droits et libertés des personnes, vous devrez mener une étude d’impact sur la protection des données.

Ce sujet ne concernant qu’une très petite partie des entreprises, cliquez ici pour en savoir plus.

5 - J’organise les processus dans mon entreprise et je sensibilise mes collaborateurs à ces changements

Vos procédures internes doivent tenir compte des changements induits par le RGPD pour garantir à tout instant un haut niveau de protection des données personnelles.

Pensez à intégrer cette problématique de protection des données dès la mise en place d’un traitement ou la création d’une application :

• récolte de données uniquement en rapport avec la finalité du traitement
• gestion des cookies (délai de 13 mois maximum)
• durée de conservation des données
• mentions d’information et recueil du consentement de vos contacts
• sécurité et confidentialité des données.

Du côté de vos collaborateurs, vous devez les former pour que les réflexes de la protection des données soient acquis et appliqués. Par exemple, finis les fichiers Excel intégrant des listes de contacts et leurs données personnelles (nom, prénom, e-mail...). Vos collaborateurs sont naturellement acteurs de votre respect de la loi.

6 - Je respecte les droits des personnes (traitement des réclamations et des incidents)

Vous êtes dans l'obligation de permettre aux personnes d'exercer leurs droits sur leurs données personnelles :

• un droit d’accès, de rectification, d’opposition vis-à-vis de leurs données
• un droit à la portabilité de leurs données
• un retrait de leur consentement

Vous aurez un mois pour traiter et justifier de ces demandes. Pour cela, définissez des modalités d’action pour chaque réclamation et les personnes qui se chargeront de l’application de ces actions.

Vous devez aussi savoir comment réagir et quoi faire en cas d’incident (violation des données) : suivant les cas, vous devrez informer dans les 72h les contacts impactés par cette violation de données ainsi que l'autorité de contrôle (CNIL).

D'autres ressources sur le sujet