Depuis le début de l’année 2019, plusieurs entreprises ont été sanctionnées pour non-conformité au RGPD. Vous pensez passer au travers d’une éventuelle sanction ? Faites attention, car la note peut s'avérer plus que salée pour les entreprises épinglées.

Pour vous éviter ces problèmes, les experts du réseau JPA France vous listent les 7 points clés pour vous mettre en conformité avec le RGPD en fonction de la taille et l'activité de votre entreprise

1 Désigner un DPO

Le DPO (Data Protection Officer ou Délégué à la protection des données) fera office de pilote de la conformité au RGPD au sein de votre entreprise. Il remplace l’ancien Correspondant Informatique et Libertés (CIL).

Sa désignation est obligatoire pour toute autorité publique et tout organisme public mais aussi pour toute personne physique ou morale relevant du droit public ou privé lorsque les activités de base du responsable du traitement exigent un suivi régulier et systématique à grande échelle des personnes concernées

À la manière d’un chef d’orchestre, le DPO exercera une mission d'information, de conseil et de contrôle en interne.

2 Cartographier vos traitements de données personnelles

Pour faciliter votre mise en conformité avec le RGPD, vous devez travailler à l'élaboration d'un registre des traitements de données.

Une documentation interne complète sur les traitements des données personnelles vous permettra de vous assurer que ces traitements respectent les nouvelles obligations légales.

3 Hiérarchiser les actions à mener

Vous devez alors identifier l’ensemble des actions à mener pour vous conformer aux obligations réglementaires actuelles et à venir.

Vous devez tenir un registre des activités de traitement et prioriser les actions à mener au regard des risques que font peser les traitements sur les libertés des personnes concernées.

4 Gérer les risques

Pour chaque traitement de données, vous devez effectuer une analyse d'impact sur la protection des données.

Pour ce faire, vous devez répondre à cette question essentielle : « Le traitement est-il susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ? ».

Si la réponse est non, alors ce traitement ne nécessite pas d’analyse d’impact. Si la réponse est oui, et que ce traitement n’est pas couvert par une exception excluant l’analyse d’impact, vous devez alors réaliser une Étude d’Impact sur la Vie Privée et consulter votre DPO.

5 Organiser les processus internes

Vous devez :

• Faire signer un engagement de confidentialité aux personnes ayant vocation à manipuler des données à caractère personnel.
• Rédiger une charte informatique et lui donner une force contraignante
• Préparer des modèles de courrier pour vos clients et vos sous-traitants

6 Documenter la Conformité

L’ensemble des actions menées, ainsi que les documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.

Il est par exemple désormais obligatoire de tenir un registre des violations des données. Concrètement, le responsable de traitement doit documenter toute violation de données et notifier à la CNIL toute violation de données à caractère personnel dans les 72 heures.

7 S'appuyer sur un professionnel pour votre mise en conformité

L'obligation de mise en conformité avec le RGPD a entraîné de nombreuses tentatives d'escroqueries au détriment des entreprises.

Les entrepreneurs doivent donc se montrer extrêmement vigilant face à la recrudescence des démarchages frauduleux sur ce sujet.

Pour éviter toute mauvaise surprise et ne pas mettre en danger votre entreprise, et comme la CNIL le préconise depuis l'entrée en vigueur de ce règlement, nous vous conseillons de faire appel à un professionnel reconnu pour la mise en conformité de votre société.

Les experts du réseau JPA sont en mesure de vous accompagner pour votre mise conformité au RGPD. N'hésitez pas à les contacter.