Etape 1 – Faire l’inventaire de tous les traitements de données de votre entreprise
Un projet de conformité au RGPD commence toujours par une évaluation approfondie, une phase de diagnostic. Il est crucial de recenser tous les traitements de données réalisés par votre entreprise et d’analyser sa pratique actuelle en matière d’utilisation des données. Ensuite, vous devrez évaluer la conformité de ces traitements aux règles du RGPD. Enfin, vous devrez établir un plan d’actions pour remédier aux écarts par rapport au RGPD.
Cette phase initiale de diagnostic se compose de quatre sous-étapes, chacune nécessitant une analyse spécifique :
La première étape consiste à examiner attentivement tous les dispositifs de collecte de données de votre entreprise. Comment collectez-vous les données auprès de vos prospects, utilisateurs ou clients ? Quels sont les dispositifs de consentement que vous avez mis en place ? Comment sont structurés vos formulaires ? Quelles données collectez-vous ? Le RGPD accorde une grande importance à la façon dont les organisations (qu’elles soient publiques ou privées) recueillent les données personnelles. Cette analyse est essentielle et ne doit pas être négligée.
Ensuite, vous devrez cartographier les lieux de stockage des données. Où sont stockées les données à caractère personnel dans vos bases de données ? Quels outils utilisez-vous ? Comment les données circulent-elles dans votre système d’information ? Pour répondre à ces questions, il est nécessaire de cartographier les données stockées dans les bases de données clients et de comprendre les flux de données.
Un troisième diagnostic doit être effectué sur l’utilisation que vous faites des données personnelles collectées et stockées sur vos clients ou utilisateurs. Il s’agit de déterminer la finalité de la collecte des données et des traitements que vous effectuez.
Parallèlement à ce troisième diagnostic, vous devrez réaliser une étude approfondie des modalités d’exploitation des données personnelles. En d’autres termes, comment utilisez-vous concrètement les données que vous collectez et stockez ? Cette analyse aboutira à l’établissement d’une cartographie des traitements.
Etape 2 – Analyser les écarts entre la pratique actuelle et le RGPD
Les analyses et les cartographies réalisées lors de la première étape permettent d’identifier les différences entre la pratique actuelle et les exigences du RGPD. Cette analyse des écarts permettra d’établir un plan d’actions pour se conformer au RGPD. Ce plan listera et hiérarchisera tous les chantiers à mettre en place au sein de votre entreprise pour atteindre la conformité. Les chantiers et les actions devront être priorisés et ordonnés en fonction du niveau de risque des traitements. Les traitements les plus risqués, tels que ceux portant sur des données sensibles, devront être prioritaires par rapport aux autres traitements.
Etape 3 – Mettre en œuvre la conformité au RGPD
Une fois que le plan d’actions est établi et la feuille de route définie, il est temps de passer à la mise en œuvre opérationnelle. Un projet de mise en conformité au RGPD comporte de nombreux chantiers. Pour une efficacité maximale, il est recommandé de désigner un responsable pour chaque chantier principal.
La réussite d’un projet de mise en conformité permet d’éviter les sanctions de la CNIL. Pour mener à bien votre projet, il est primordial de réunir des experts en matière de RGPD. Nous travaillons avec de nombreux spécialistes des problématiques liées au RGPD. Si votre entreprise n’a pas encore entamé son parcours vers la conformité au RGPD, nous vous encourageons à contacter gratuitement l’un de nos partenaires experts en RGPD. Nos experts répondront à toutes vos questions.
Faut-il nommer un Délégué à la Protection des Données (DPD) pour se conformer au RGPD ?
La désignation d’un DPD est obligatoire pour :
- Les organismes publics et les autorités publiques, y compris les administrations et les établissements publics à l’exception des tribunaux.
- Les entreprises pour lesquelles le traitement des données personnelles est essentiel et qui effectuent un traitement de données à grande échelle.
En général, il est recommandé de nommer un DPD pour mener à bien votre projet de conformité au RGPD. Cela démontre votre sérieux et votre efficacité. Pour en savoir plus sur ce sujet, nous vous invitons à consulter notre article : “Le DPD : Est-ce obligatoire ? Comment trouver le vôtre ? Externe ou interne ?”.
