Cet article se base sur un webinaire que vous pouvez retrouver ici.
Avant d’aborder les étapes clés pour se conformer au RGPD, nous allons parler des sanctions en cas de non-respect.
La CNIL (Commission nationale de l’informatique et des libertés) est l’organisme qui contrôle les entreprises en France et qui inflige des sanctions en cas de manquement. Nous constatons maintenant que la période d’accompagnement des entreprises par la CNIL est terminée et que celle-ci est dans une dynamique de sanction.
Les sanctions prononcées peuvent être de deux types :
- Sanction financière : entre 2 et 4% du chiffre d’affaires ou bien 10 ou 20 millions d’euros
- Sanction réputationnelle : la CNIL peut décider de rendre publique la décision de sanction. Ainsi, l’atteinte à l’image de l’entreprise est importante vis-à-vis des collaborateurs, des partenaires, des clients, etc.
À titre d’exemple, voici quelques sanctions récentes :
- Carrefour : Non-respect de la conservation des données, non-respect de l’exercice des droits, non-respect de l’information des personnes – 2 250 000€
- Nestor : Non-consentement des prospects et non-respect de plusieurs obligations du RGPD, notamment en matière d’information et de respect des droits des personnes – 20 000€
- Credential stuffing : Un responsable de traitement et son sous-traitant condamnés pour ne pas avoir pris de mesures suffisantes face à des attaques d’usurpation d’identité – 150 000€ + 75 000€
Les 7 étapes de la mise en conformité
1. Nommer un DPO/Référent RGPD
Selon votre activité, vérifiez si la désignation d’un Délégué à la protection des données (DPO) est obligatoire. Même si ce n’est pas le cas, il est vivement recommandé de nommer un référent/pilote chargé du projet RGPD au sein de votre entreprise.
2. Centraliser la documentation existante
Commencez par consulter les fichiers des déclarations effectuées auprès de la CNIL en utilisant le lien suivant : Les formalités préalables accomplies auprès de la CNIL avant le 25 mai 2018. Cela vous permettra d’avoir une première idée des activités réalisées par votre entreprise.
Rassemblez les documents d’information existants tels que la politique de confidentialité, les conditions générales de vente (CGV), les conditions générales d’utilisation (CGU), les mentions légales, etc.
Établissez l’organigramme de votre société afin de répertorier les différents services et les interactions entre eux.
3. Construire son registre des traitements
Élaborez votre registre des traitements en utilisant la documentation rassemblée, les déclarations internes (entretiens avec les représentants des différents services) et une cartographie des applications en identifiant les outils utilisés par les services.
4. Audit des traitements de l’organisation
Deux types d’audits doivent être réalisés :
- Audit des traitements : Analysez la licéité des finalités, c’est-à-dire si elles respectent les principes du RGPD (licéité, minimisation, durée de conservation, etc.).
- Audit de l’organisme : Évaluez la gestion des droits des personnes concernées, la gestion des sous-traitants, la sécurité du système d’information, etc.
5. Correction des non-conformités
Élaborez un plan d’action qui comprend :
- Tenue et mise à jour d’un registre des activités de traitement
- Rédaction et mise en place des mentions d’informations obligatoires sur les formulaires
- Mise à niveau des mesures de sécurité
- Sensibilisation du personnel
Les deux prochaines étapes ne sont pas chronologiques et peuvent être réalisées parallèlement aux étapes précédentes.
6. Mise en place de procédures de gouvernance
Le DPO doit être associé à toutes les problématiques liées aux données personnelles et intervenir en amont de tous les nouveaux projets impliquant des données personnelles.
Il est important de former le personnel en contact avec les personnes concernées, notamment pour les informer.
Mettez en place les procédures obligatoires :
- Procédure de gestion des exercices des droits
- Procédure interne de protection des données
- Procédures en cas de violation de données personnelles
- Procédure d’information des personnes
- Procédure de gestion des analyses d’impact
- Procédure en cas de contrôle de la CNIL
- Procédure de sélection des sous-traitants
La conformité au RGPD n’est pas un état fixe, il est nécessaire de maintenir la conformité dans le temps en réalisant notamment des audits réguliers sur les procédures obligatoires.
7. Vivre sa conformité
Il est également essentiel de rester informé des évolutions réglementaires et de former régulièrement le personnel sur les enjeux de la protection des données.
Pour centraliser la documentation et les processus, l’utilisation d’un logiciel de gouvernance RGPD est fortement recommandée.
Si vous avez des difficultés à gérer votre conformité ou si vous souhaitez en savoir plus sur la mission RGPD, ne perdez plus de temps, c’est très simple !