Etape 1 – Analyse complète des traitements de données de votre entreprise
Un projet de mise en conformité au RGPD débute par une évaluation rigoureuse, une phase de diagnostics. Vous devez commencer par répertorier tous les traitements effectués par votre entreprise, puis analyser les pratiques actuelles en termes d’utilisation des données. Ensuite, vous évaluerez la conformité de ces traitements avec les règles du RGPD. Enfin, vous élaborerez un plan d’actions pour corriger les éventuelles lacunes par rapport au RGPD.
Cette première phase de diagnostic se compose de quatre sous-étapes, chacune correspondant à un diagnostic spécifique :
Le premier diagnostic consiste à examiner tous les moyens de collecte des données. Comment collectez-vous les informations auprès de vos prospects, utilisateurs ou clients ? Quels dispositifs utilisez-vous pour recueillir leur consentement ? Comment sont structurés vos formulaires ? Quelles données collectez-vous ? Le RGPD accorde une grande importance à la manière dont les organisations (publiques ou privées) collectent les données personnelles. Il est donc essentiel de ne pas négliger ce diagnostic.
Ensuite, vous devez cartographier les lieux de stockage des données. Où sont stockées les données à caractère personnel dans vos bases de données ? Quels outils utilisez-vous ? Comment circulent ces données dans votre système d’information ? Pour répondre à ces questions, il est nécessaire de cartographier l’emplacement de toutes les données stockées dans le système d’information client ainsi que le flux de circulation de ces données.
Un troisième diagnostic doit être réalisé sur l’utilisation que vous faites des données personnelles collectées et stockées concernant vos clients ou utilisateurs. L’objectif est de déterminer la finalité de la collecte de ces données ainsi que les traitements qui en découlent.
En parallèle de ce troisième diagnostic, il est important d’effectuer une étude approfondie sur la manière dont les données personnelles sont utilisées concrètement. En d’autres termes, comment utilisez-vous les données que vous collectez et stockez ? Ce diagnostic aboutira à l’élaboration d’une cartographie des différents traitements.
Etape 2 – Analyse des écarts entre la pratique actuelle et le RGPD
Les analyses et cartographies réalisées lors de la première étape permettent d’identifier les différences entre les pratiques actuelles et les exigences du RGPD. L’analyse de ces écarts permet de construire un plan d’actions visant à se conformer aux règles du RGPD. Ce plan d’actions énumère et hiérarchise les différents chantiers à mettre en place au sein de l’entreprise pour assurer la conformité. Les chantiers et actions doivent être classés par ordre de priorité, en fonction du niveau de risque des traitements. Les traitements présentant le plus de risques, tels que ceux portant sur des données sensibles, doivent être traités en priorité.
Etape 3 – Mise en œuvre de la conformité au RGPD
Une fois le plan d’actions établi et la feuille de route définie, il reste à passer à l’étape de la mise en œuvre opérationnelle. Un projet de conformité au RGPD implique un ensemble de chantiers qui peuvent être vastes. Compte tenu de la nature plus ou moins sensible des traitements, il est conseillé d’attribuer à chaque chantier un responsable afin d’optimiser l’efficacité opérationnelle.
La réussite d’un projet de mise en conformité permet d’éviter les sanctions de la CNIL. Pour mener à bien ce projet, il est essentiel de réunir des experts spécialisés dans le domaine du RGPD. Nous travaillons avec de nombreux experts qui maîtrisent parfaitement les problématiques liées au RGPD. Si votre entreprise n’a pas encore entamé sa démarche de conformité au RGPD, nous vous encourageons à prendre contact gratuitement avec l’un de nos partenaires experts en RGPD. Nos experts se feront un plaisir de répondre à toutes vos questions.
Faut-il désigner un Data Protection Officer (DPO) pour mettre en œuvre la conformité au RGPD ?
La désignation d’un Data Protection Officer est obligatoire pour les organismes publics et les autorités publiques, y compris toutes les administrations et établissements publics, à l’exception des tribunaux. De plus, les entreprises qui effectuent des traitements de données personnelles de manière importante doivent également désigner un DPO.
En général, il est recommandé de nommer un Data Protection Officer pour mener à bien votre projet de mise en conformité au RGPD. Cela garantit un niveau de sérieux et d’efficacité élevé. Pour en savoir plus sur ce sujet, nous vous invitons à consulter notre article intitulé “Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ?”.
