LE GUIDE DU RGPD

BIENVENUE dans l’univers de la protection des données personnelles

Si vous lisez ces quelques lignes, vous êtes certainement responsabilisés par votre organisation sur la mise en conformité à la réglementation en matière de données à caractère personnel et de protection de la vie privée. Ce site est à votre disposition pour vous guider dans votre démarche.

Les 5 étapes clés Auto-évaluation Accéder au livre blanc

Bien démarrer en 5 étapes

Connaitre Vos droits et devoirs


Le DPO est le chef d’orchestre du RGPD. Il doit s’assurer que l’organisme l’ayant désigné est conforme aux règlementations en matière de protection de données personnelles (RGPD). A cet effet, il se doit d'assurer les différentes actions synthétisées ci-après :
  • Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;
  • Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant.
  • Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35.
  • Coopérer avec l'autorité de contrôle; Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

Réaliser un diagnostic


Avant d’entamer son projet de mise en conformité au RGPD, il est recommandé de réaliser un diagnostic de sa situation afin d'avoir une idée sur son niveau de maturité.
Nous mettons à votre disposition un questionnaire d’auto-évaluation qui vous permet, en quelques minutes, d’avoir une première idée de votre niveau de maturité par rapport au RGPD. Ce questionnaire cible les thématiques critiques à traiter en urgence pour bien commencer son parcours dans l’univers de la protection des données personnelles.
A l’issue de cette auto-évaluation, nous vous proposons notre guide de conformité, qui, en fonction de votre score, vous indiquera le meilleur chemin à emprunter.

Accéder à l’auto-évaluation

Mettre en place l'organisation


Pour se conformer au RGPD, une organisation et un planning de mise en conformité doivent être réalisés. Mettre en place l’organisation consiste à identifier les principales étapes de la mise en conformité, de les hiérarchiser par ordre d’importance et de les planifier dans le temps. Notre équipe Cybersécurité & Règlementaire vous assistera dans la mise en œuvre d’une organisation de mise en conformité adaptée à votre entreprise.

Mettre en place les outils


Les outils de pilotage permettent de standardiser les méthodes de travail et de garantir un niveau d’efficacité des processus. Ces outils présentent un réel avantage quant à la gestion des données personnelles et des registres de traitements. Industrialiser les traitements et les processus RGPD permet de mieux les gérer et diminue fortement les risques d’oubli et de perte.

Sensibiliser l'équipe


La mise en conformité au RGPD apporte des changements dans les méthodes de travail. L’appropriation de ces changements doit passer par la sensibilisation du personnel pour valoriser les caractères productifs et positifs du RGPD.
La sensibilisation de l’ensemble du personnel permet de favoriser l’implication dans la démarche de protection des données personnelles et de conformité au RGPD. Un plan de formation et/ou de sensibilisation aux différentes thématiques liées au respect de la vie privée est à mettre en place pour accompagner le personnel dans toute la démarche de compréhension, de mise en place et de conduite du changement par rapport au RGPD.

Points clés pour assurer sa conformité dans le temps

Impliquer la direction

La Direction doit être le sponsor de votre mise en conformité ainsi que de son maintien dans la durée. Son implication est indispensable pour réussir le projet de conformité au RGPD et éviter les impacts directs (amende) ou indirects (image de marque) que pourrait engendrer la non-conformité aux aspects règlementaires.

Désigner un DPO

La nomination d’un DPO n’est pas obligatoire dans tous les cas, mais l’absence de cette fonction dans une entreprise demeure un risque à moyen terme d’être « hors la loi ». La fonction DPO permet d'avoir un référent RGPD et de maintenir la conformité.

Veiller à son niveau de sécurité

Le RGPD exige de garantir un niveau de sécurité adapté au risque numérique. Il est ainsi nécessaire d’apprécier et traiter les risques sur les personnes, de mettre en place les mesures techniques ou organisationnelles appropriées et de garantir la confidentialité, l’intégrité, la disponibilité et la résilience.

Maîtriser la chaine de sous-traitance

Le RGPD apporte la notion de partage/transfert de responsabilité de tout ou d'une partie des traitements de données à caractère personnel. Encore faut-il s'assurer des mesures prises par vos sous-traitants.

Gérer les consentements

Il est nécessaire de mettre en place un dispositif permettant au responsable de traitement d'être en mesure de prouver que la personne concernée a donné son consentement.

Assurer la licéité, le consentement et la minimisation lors de la collecte

Le responsable du traitement doit être en mesure de citer quelles données personnelles sont collectées, dans quel objectif et de démontrer que la personne concernée a donné son consentement.

Se préparer à son contrôle CNIL

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Accéder au livre blanc

Le contrôle CNIL, c'est quoi ?

La CNIL se réserve le droit d’intervenir à n’importe quel moment pour contrôler le respect des données personnelles dans un organisme. Le contrôle CNIL peut prendre différentes formes :

L’audition sur convocation

Par courrier, les représentants de l’entreprise ou de l’organisme doivent se présenter, à une date donnée, dans les locaux de la Commission et répondre aux questions des agents de contrôle.

 

Le contrôle en ligne

Les agents de la CNIL effectuent des vérifications, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers. 

Le contrôle sur place

Une délégation de la CNIL se rend directement au sein des locaux d’un responsable de traitement ou d’un sous-traitant afin de mener des investigations portant sur des traitements de données à caractère personnel. 


Le contrôle sur pièces

Les agents de la CNIL adressent un courrier accompagné d’un questionnaire destiné à évaluer la conformité des traitements mis en œuvre par un responsable de traitement ou un sous-traitant.

POINTS DE VIGILANCE

COMMUNIQUER

Un manque de communication dans l'entreprise peut engendrer des erreurs et des incohérences lors du contrôle CNIL. Pour éviter ce risque, il est important de communiquer avec les collaborateurs afin de partager la même vision.

Maîtriser sa documentation

Maîtriser sa documentation est la clé d'un contrôle réussi. Veille à ce que tous les documents indispensables au contrôle sont disponibles dans leur dernière version et qu'ils sont accessibles par les personnes habilitées.

Assurer la Sécurité de l'information

Avoir un bon niveau de sécurité informatique diminue le risque de « violation des données » lors d'une cyberattaque. Assurer une veille en sécurité est nécessaire pour être toujours prêt à contrer les attaques.

être prêt le jour J

Il est nécessaire de se préparer à son contrôle via des jeux de rôle, des audits à blanc afin d’être au mieux préparé, et surtout être un facilitateur : L’article 51 de la loi du 6 janvier 1978 modifiée punit d’un an d’emprisonnement et de 15 000 € d’amende, l’entrave à l’action de la CNIL.

êtes-vous prêt à un contrôle de la CNIL ?
Testez votre niveau grâce à notre questionnaire d'auto-évaluation

Avant de commencer votre auto-évaluation,
comment jugez vous votre niveau de maturité sur une échelle de 1 à 10 ?
(1: niveau de maturité bas; 10 : très élevé)
1
 2
 3
 4
 5
 6
 7
 8
 9
 10
La direction et vos collaborateurs sont-ils sensibilisés/impliqués dans la démarche de protection de données personnelles ?
Non
 Oui
Avez-vous identifié et documenté l’ensemble des données personnelles traitées par les différentes entités du groupe (cartographie) ?
Non
 Oui
Un DPO a-t-il été désigné ?
Non
 Oui
Pour chaque sous-traitant, un registre des traitements est-il maintenu à jour ?
Non
 Oui
Pour s’assurer de la licéité des traitements, la gestion du consentement est-elle développée ?
Non
 Oui
Les mentions; informations concises, transparentes et compréhensibles au moment où les données sont collectées, sont-elles aisément accessibles aux personnes concernées ?
Non
 Oui
En plus du droit d’accès ou de rectification des DCP des personnes concernées, gérez-vous le droit à l’oubli, le droit à la limitation du traitement et le droit à la portabilité ?
Non
 Oui
Les traitements de Données à Caractère Personnel (DCP) sont-ils soumis au DPO avec les résultats du Privacy Impact Assessment (PIA) ?
Non
 Oui
Le niveau de sécurité des DCP est-il surveillé en permanence afin de détecter les violations et déclencher les notifications ?
Non
 Oui
Pour des transferts de DCP à l’international des mesures organisationnelles et techniques sont-elles encadrées et contrôlées par des garanties, des clauses ou des règles ?
Non
 Oui
Pouvez-vous démontrer que vos sous-traitants sont conformes au RGPD ?
Non
 Oui
Recevez les résultats en renseignant votre email
Votre message a bien été envoyé.

Pour aller plus loin...

Prenez contact avec nos experts

Votre message a bien été envoyé.
Erreur
Madame Monsieur

Je souhaite recevoir des informations sur le RGPD et la protection des données (un mail par mois maximum)

Si vous souhaitez exercer vos droits d’accès à vos données, envoyez une demande avec la preuve de votre identité à Noveane par email à dpo@noveane.com