Bien démarrer en 5 étapes

1. Connaitre Vos droits et vos devoirs

Les droits et devoirs sont portés par votre DPO ! Véritable chef d’orchestre du RGPD, il est l’interlocuteur principal de la CNIL.

2. Réaliser un diagnostic

Avant de se lancer dans un projet de mise en conformité RGPD, il est important de connaître son niveau de maturité.

3. mettre en place l'organisation

La conformité au RGPD s’inscrit dans le cadre d’une démarche structurée au sein des entreprises et se traduit par une organisation ad-hoc permettant de s’assurer d’être en parfaite adéquation par rapport à la réglementation.

4. Mettre en place les outils

Se munir d'outils et standardiser le travail permet de faciliter la gestion des données personnelles.

5. Sensibiliser l'équipe

L'implication des équipes est un élément indispensable à la réussite d'un projet RGPD.

1. Connaitre Vos droits et devoirs

Le DPO est le chef d’orchestre du RGPD. Il doit s’assurer que l’organisme l’ayant désigné est conforme aux règlementations en matière de protection de données personnelles (RGPD). A cet effet, il se doit d'assurer les différentes actions synthétisées ci-après :

  • Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;
  • Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;
  • Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35;
  • Coopérer avec l'autorité de contrôle;
  • Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. réaliser un diagnostic

Avant d’entamer son projet de mise en conformité au RGPD, il est recommandé de réaliser un diagnostic de sa situation afin d'avoir une idée sur son niveau de maturité.

Nous mettons à votre disposition un questionnaire d’auto-évaluation qui vous permet, en quelques minutes, d’avoir une première idée de votre niveau de maturité par rapport au RGPD. Ce questionnaire cible les thématiques critiques à traiter en urgence pour bien commencer son parcours dans l’univers de la protection des données personnelles.

A l’issue de cette auto-évaluation, nous vous proposons notre guide de conformité, qui, en fonction de votre score, vous indiquera le meilleur chemin à emprunter.

Accéder à l’auto-évaluation

3. Mettre en place l'organisation

Pour se conformer au RGPD, une organisation et un planning de mise en conformité doivent être réalisés. Mettre en place l’organisation consiste à identifier les principales étapes de la mise en conformité, de les hiérarchiser par ordre d’importance et de les planifier dans le temps.
Notre équipe Cybersécurité & Règlementaire vous assistera dans la mise en œuvre d’une organisation de mise en conformité adaptée à votre entreprise.

4. Mettre en place les outils

Les outils de pilotage permettent de standardiser les méthodes de travail et de garantir un niveau d’efficacité des processus. Ces outils présentent un réel avantage quant à la gestion des données personnelles et des registres de traitements. Industrialiser les traitements et les processus RGPD permet de mieux les gérer et diminue fortement les risques d’oubli et de perte.

5. Sensibiliser l'équipe

La mise en conformité au RGPD apporte des changements dans les méthodes de travail. L’appropriation de ces changements doit passer par la sensibilisation du personnel pour valoriser les caractères productifs et positifs du RGPD.

La sensibilisation de l’ensemble du personnel permet de favoriser l’implication dans la démarche de protection des données personnelles et de conformité au RGPD. Un plan de formation et/ou de sensibilisation aux différentes thématiques liées au respect de la vie privée est à mettre en place pour accompagner le personnel dans toute la démarche de compréhension, de mise en place et de conduite du changement par rapport au RGPD.

Points clés pour assurer sa conformité dans le temps

Impliquer la direction

La Direction doit être le sponsor de votre mise en conformité ainsi que de son maintien dans la durée. Son implication est indispensable pour réussir le projet de conformité au RGPD et éviter les impacts directs (amende) ou indirects (image de marque) que pourrait engendrer la non-conformité aux aspects règlementaires.

Désigner un DPO

La nomination d’un DPO n’est pas obligatoire dans tous les cas, mais l’absence de cette fonction dans une entreprise demeure un risque à moyen terme d’être « hors la loi ». La fonction DPO permet d'avoir un référent RGPD et de maintenir la conformité.

Veiller à son niveau de sécurité

Le RGPD exige de garantir un niveau de sécurité adapté au risque numérique. Il est ainsi nécessaire d’apprécier et traiter les risques sur les personnes, de mettre en place les mesures techniques ou organisationnelles appropriées et de garantir la confidentialité, l’intégrité, la disponibilité et la résilience.

Maîtriser la chaine de sous-traitance

Le RGPD apporte la notion de partage/transfert de responsabilité de tout ou d'une partie des traitements de données à caractère personnel. Encore faut-il s'assurer des mesures prises par vos sous-traitants.

Gérer les consentements

Il est nécessaire de mettre en place un dispositif permettant au responsable de traitement d'être en mesure de prouver que la personne concernée a donné son consentement.

Assurer la licéité, le consentement et la minimisation lors de la collecte

Le responsable du traitement doit être en mesure de citer quelles données personnelles sont collectées, dans quel objectif et de démontrer que la personne concernée a donné son consentement.

Se préparer à son contrôle CNIL

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Le contrôle CNIL, c'est quoi ?

La CNIL se réserve le droit d’intervenir à n’importe quel moment pour contrôler le respect des données personnelles dans un organisme. Le contrôle CNIL peut prendre différentes formes :  

L’audition sur convocation

Par courrier, les représentants de l’entreprise ou de l’organisme doivent se présenter, à une date donnée, dans les locaux de la Commission et répondre aux questions des agents de contrôle.

 

Le contrôle en ligne

Les agents de la CNIL effectuent des vérifications, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. 

Le contrôle sur place

Une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données à caractère personnel. 


Le contrôle sur pièces

Les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant.

Points de vigilance

Communiquer

Un manque de communication dans l'entreprise peut engendrer des erreurs et des incohérences lors du contrôle CNIL. Pour éviter ce risque, il est important de communiquer avec les collaborateurs afin de partager la même vision. 

Maîtriser sa documentation

Maîtriser sa documentation est la clé d'un contrôle réussi. Veille à ce que tous les documents indispensables au contrôle sont disponibles dans leur dernière version et qu'ils sont accessibles par les personnes habilitées.

Assurer la Sécurité de l'information

Avoir un bon niveau de sécurité informatique diminue le risque de « violation des données » lors d'une cyberattaque. Assurer une veille en sécurité est nécessaire pour être toujours prêt à contrer les attaques.

être prêt le jour J

Il est nécessaire de se préparer à son contrôle via des jeux de rôle, des audits à blanc afin d’être au mieux préparé, et surtout être un facilitateur : L’article 51 de la loi du 6 janvier 1978 modifiée punit d’un an d’emprisonnement et de 15 000 € d’amende, l’entrave à l’action de la CNIL.

AVOIR SENSIBILISé RéGULIèREMENT LE PERSONNEL AU RGPD

Les agent de la CNIL peuvent s’entretenir avec tout le personnel pour apprécier la conformité des traitements de données à caractère personnel.

AVOIR MIS VOS SITES INTERNET EN CONFORMITé AVEC LE RGPD (ET AUTRE CORPUS DE RèGLES SELON VOTRE ACTIVITé)

Les agents de la CNIL effectuent des contrôles en ligne de vos sites internet, mobiles, etc. Afin de vérifier si d’une part vous êtes conforme au Règlement mais également en terme de sécurité des données que les internautes vous ont confiés.

avoir la capacité de démontrer une gestion des consentements accessible et claire d’utilisation

Se préparer à un contrôle veut également dire être en mesure de pouvoir communiquer aux agents de la CNIL tous documents nécessaires à l’accomplissement de leur mission.

avoir proposé un accès simple aux droits des personnes concernées

Les agents de la CNIL effectuent des contrôle en ligne et il est important de mettre en place un lien simple, accessible dans un format standard sur toutes les pages idéalement vers votre politique de confidentialité de cookies si c’est le cas.

Pouvoir démontrer vos PIA si vous en avez

La démarche d’un PIA est obligatoire dans certains cas de figure. Si c’est le cas dans votre organisation, vous devrez être en mesure de décliner votre dossier PIA.

Démontrer une gestion des sous-traitants

Les contrôleurs de la CNIL peuvent demander d’accéder à une copie des contrats de vos sous-traitant afin de vérifier si la sécurité des traitement de données personnelles réponds aux exigences de sécurité techniques ou règlementaires.

Avoir son registre à jour

Vous l’aurez compris, afin de mettre en place les mesures techniques et organisationnelles en fonction de vos traitements conformes à la règlementation, vous devez les avoir préalablement identifiées. Le Responsable du traitement est garant du respect des obligations prévues par la réglementation en vigueur, dont la tenue d’un registre.

Pouvoir démontrer un cycle de vie des données respectant les durées de conservation légales

Il est exigé que les données à caractère personnel soient collectées pour des finalités déterminées, explicites et légitimes. Une fois l’objectif de la collecte des données à caractère personnel atteint, la conservation de ces données n’est plus justifiée. Elles doivent en conséquence être supprimées ou anonymisées.

Présenter tous les processus de gouvernance RGPD dans votre entreprise.

Vous devez être en mesure de démontrer les conditions dans lesquelles sont mis en œuvre les traitements de données à caractère personnel tant organisationnelles que techniques.

êtes-vous prêt à un contrôle de la CNIL ?
Testez votre niveau grâce à notre questionnaire d'auto-évaluation

Avant de commencer votre auto-évaluation,
comment jugez vous votre niveau de maturité sur une échelle de 1 à 10 ?
(1: niveau de maturité bas; 10 : très élevé)
1
 2
 3
 4
 5
 6
 7
 8
 9
 10
La direction et vos collaborateurs sont-ils sensibilisés/impliqués dans la démarche de protection de données personnelles ?
Non
 Oui
Avez-vous identifié et documenté l’ensemble des données personnelles traitées par les différentes entités du groupe (cartographie) ?
Non
 Oui
Un DPO a-t-il été désigné ?
Non
 Oui
Pour chaque sous-traitant, un registre des traitements est-il maintenu à jour ?
Non
 Oui
Pour s’assurer de la licéité des traitements, la gestion du consentement est-elle développée ?
Non
 Oui
Les mentions; informations concises, transparentes et compréhensibles au moment où les données sont collectées, sont-elles aisément accessibles aux personnes concernées ?
Non
 Oui
En plus du droit d’accès ou de rectification des DCP des personnes concernées, gérez-vous le droit à l’oubli, le droit à la limitation du traitement et le droit à la portabilité ?
Non
 Oui
Les traitements de Données à Caractère Personnel (DCP) sont-ils soumis au DPO avec les résultats du Privacy Impact Assessment (PIA) ?
Non
 Oui
Le niveau de sécurité des DCP est-il surveillé en permanence afin de détecter les violations et déclencher les notifications ?
Non
 Oui
Pour des transferts de DCP à l’international des mesures organisationnelles et techniques sont-elles encadrées et contrôlées par des garanties, des clauses ou des règles ?
Non
 Oui
Pouvez-vous démontrer que vos sous-traitants sont conformes au RGPD ?
Non
 Oui
Recevez les résultats en renseignant votre email
Votre message a bien été envoyé.

Pour aller plus loin...

Prenez contact avec nos experts

Votre message a bien été envoyé.
Erreur
Madame Monsieur

Je souhaite recevoir des informations sur le RGPD et la protection des données (un mail par mois maximum)

Si vous souhaitez exercer vos droits d’accès à vos données, envoyez une demande avec la preuve de votre identité à Noveane par email à dpo@noveane.com