Se connecter
logiciel rgpd
  1. 1 - Communiquer en interne sur votre rôle de DPO garant du RGPD
    1. 2 - Mener un état des lieux des traitements des données dans l’entreprise
      1. 3 - Etablir un plan de bataille en priorisant les actions à mener en tant que DPO
        1. 4 - L’analyse d’impact (PIA ou AIPD)
          1. 5 - Piloter les procédures internes garantissant la protection des données
            1. 6 - Documenter la conformité pour justifier de la protection des données en continu

              Comment se mettre en conformité au RGPD ? Les 6 étapes à suivre en tant que DPO.

              RGPDSeptember 3, 2024

              Vous êtes DPO ? Ce guide est fait pour vous ! Il vous aide à synthétiser les grandes étapes de votre mission de mise en conformité au RGPD.

              Communiquer en interne sur votre rôle de DPO garant du RGPD

              La première étape de votre prise de fonction en tant que Délégué à la Protection des Données est de communiquer efficacement en interne sur votre rôle et vos responsabilités. En tant que garant du respect du RGPD, il est crucial que l'ensemble des collaborateurs de l'entreprise comprennent non seulement l'importance de la protection des données personnelles, les objectifs et les chantiers à mettre en place mais aussi le rôle central que vous jouez dans ce processus.

              Pourquoi la communication interne est-elle cruciale ?

              Le RGPD impose aux entreprises de respecter des règles strictes concernant la collecte, le traitement et la protection des données personnelles. Cependant, ces règles ne peuvent être pleinement respectées que si tous les membres de l'organisation sont conscients des enjeux et des pratiques à suivre. De plus, vous serez amenés à collaborer avec tous ceux qui sont impliqués dans des process conduisant au traitement ou à la collecte de données.

              Actions concrètes pour sensibiliser les collaborateurs :

              • Organiser des sessions d'information : Proposez des présentations régulières aux équipes pour expliquer les principes du RGPD, les risques liés aux violations de données, et les mesures que l'entreprise doit prendre. Ces sessions peuvent être adaptées aux différents services pour répondre aux spécificités de leurs activités.

              • Mettre en place des formations continues : Formez les employés aux bonnes pratiques de protection des données à travers des modules e-learning. Assurez-vous que ces formations RGPD soient accessibles à tous et qu’elles soient régulièrement mises à jour .

              • Créer des supports de communication dédiés : Développez des supports clairs et accessibles (brochures, infographies, vidéos, newsletter) pour rappeler les principes fondamentaux du RGPD et le rôle du DPO. Ces supports peuvent être diffusés via l’intranet de l’entreprise, affichés dans les locaux ou envoyés par email.

              Mener un état des lieux des traitements des données dans l’entreprise

              Cela semble assez naturel : pour assurer la conformité au RGPD, vous devez d'abord cartographier les traitements de données au sein de l'entreprise. Cette étape permet d'identifier les processus, les départements impliqués et les flux de données.

              La méthodologie :

              • Recensement des processus : Listez tous les processus opérationnels de l’entreprise. Pour chacun, identifiez s’il y a des données personnelles collectées, traitées, stockées ou partagées. Cela doit inclure toutes les données sensibles (comme les données de santé) ainsi que les données classiques (noms, adresses, numéros de téléphone, etc.).

              • Identification des départements impliqués : Une fois les processus identifiés, associez-les aux départements concernés.

              • Analyse des flux de données : Pour chaque processus, il est crucial de cartographier les flux de données : où les données sont-elles collectées, où sont-elles stockées, comment sont-elles transférées, et qui y a accès ? Cela permettra d'identifier les points sensibles où des violations de données pourraient se produire.

              Etablir un plan de bataille en priorisant les actions à mener en tant que DPO

              Une fois l'état des lieux effectué, vous devez établir un plan d'action priorisé pour assurer la conformité au RGPD. Il est donc nécessaire de prioriser vos actions analyser les risques et effectuer un suivi constant.

              Analyse des risques

              Toutes les données n’ont pas le même degré de sensibilité et toutes les opérations de traitement ne se valent pas. Pour structurer le plan d'action, il est recommandé de suivre une méthodologie claire :

              • Définir les priorités : Classez les actions selon leur urgence et leur impact sur la conformité.

              • Fixer des échéances : Attribuez des délais réalistes à chaque action pour assurer une progression constante.

              • Désigner des responsables : Assignez chaque tâche à un responsable spécifique, garantissant ainsi une répartition claire des rôles.

              Suivi et ajustement

              Le plan d'action doit être un document vivant, ajusté régulièrement en fonction des évolutions légales et des retours d'expérience. Un suivi régulier permet de vérifier l'avancement des actions, d'identifier les obstacles éventuels, et d'apporter les ajustements nécessaires pour rester en conformité avec le RGPD.

              L’analyse d’impact (PIA ou AIPD)

              L’analyse d'impact sur la protection des données (PIA ou AIPD) est un outil essentiel pour garantir que les traitements de données soient conformes au RGPD et respectueux de la vie privée.

              L'analyse d'impact concerne le traitement des données personnelles susceptibles de représenter un risque élevé pour les droits et libertés des personnes concernées.

              Comment savoir si un traitement doit faire l'objet d'une AIPD ?

              1. Le traitement figure dans la liste des traitement nécessitant une AIPD établie par la CNIL

              2. Le traitement remplit au moins deux des neufs critères de cette liste :

              • évaluation/scoring (y compris le profilage) ;

              • décision automatique avec effet légal ou similaire ;

              • surveillance systématique ;

              • collecte de données sensibles ou données à caractère hautement personnel ;

              • collecte de données personnelles à large échelle ;

              • croisement de données ;

              • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;

              • usage innovant (utilisation d’une nouvelle technologie) ;

              • exclusion du bénéfice d’un droit/contrat.

              Pour pous d'informations sur les AIPD, veuillez consulter notre article : 5 clés pour comprendre l'analyse d'impact

              Piloter les procédures internes garantissant la protection des données

              La conformité au RGPD n’est pas une opération ponctuelle mais bien un projet de long terme qui doit s’intégrer sur la durée à toutes les opérations de l’entreprise. Il sera donc nécessaire de mettre en place une série de processus internes visant à assurer la prise en compte de la protection des données en continu.

              Procédures clés

              Les principales procédures à mettre en place incluent :

              • Gestion des demandes d'exercice de droits : Assurer que les personnes concernées puissent exercer leurs droits (accès, rectification, oubli, etc.) de manière efficace et rapide.

              • Notification des violations de données : Mettre en place un processus pour identifier, documenter et notifier toute violation de données aux autorités compétentes et aux personnes concernées, dans les délais prévus par le RGPD.

              • Conservation et destruction des données : Définir des politiques claires sur la durée de conservation des données et leur destruction sécurisée une fois cette durée écoulée.

              • Audit des sous-traitants : Auditez la conformité RGPD des partenaires de votre entreprises et sensibilisez les équipes au choix des prestataires

              • Audit RGPD et revue régulière : Instaurer des contrôles réguliers pour vérifier que les procédures sont bien respectées et adaptées aux évolutions légales ou technologiques.

              Documenter la conformité pour justifier de la protection des données en continu

              Documenter toutes les actions entreprises est crucial pour démontrer que l'entreprise respecte le RGPD. En cas de contrôle, une documentation complète et à jour prouve que l’entreprise a mis en place les mesures nécessaires.

              Bonnes pratiques

              Pour une documentation efficace, il est recommandé de suivre ces bonnes pratiques :

              • Organisation : Créez une structure claire et accessible pour stocker les documents relatifs à la conformité (politiques internes, PIA, rapports de sécurité, etc.).

              • Mise à jour régulière : Assurez-vous que la documentation est régulièrement revue et mise à jour pour refléter les changements dans les pratiques de l'entreprise.

              • Centralisation des documents : Centralisez toutes les informations dans un référentiel unique, facile d'accès pour les personnes autorisées.

              Exigences légales

              Le RGPD impose des exigences spécifiques en matière de documentation. L'article 30 du règlement, par exemple, exige que les entreprises tiennent un registre des traitements. Il doit inclure des informations telles que la finalité des traitements, les catégories de données, et les mesures de sécurité mises en place.

              La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

              Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              • All rights reserved ©Witik 2024