Faire soi-même, un DPO ou un outil
Pour garantir la bonne conformité RGPD de votre organisation, il est nécessaire de choisir une personne qui s’en occupera pleinement. Un responsable de la conformité doit avoir des compétences informatiques, juridiques et organisationnelles. Votre responsable devra faire preuve de pédagogie, de communication et de rigueur.
Vous pouvez déléguer votre mise en conformité à un DPO externe sous contrat. Chez Privanciel, nous avons notre propre DPO (Laure-Isabelle Ligaudan). Vous pouvez la contacter pour toute demande de mise en conformité.
Le rôle d’un DPO est de suivre une donnée dans chacune des étapes qu’elle parcourt. La donnée doit être sécurisée, peu importe dans quels services elle se trouve et peu importe à quelle étape la donnée se trouve dans votre organisation.
Dans tous les cas, qu'on soit DPO ou responsable du système d’informations, un outil est fortement apprécié pour mettre en conformité votre organisation.
Un bon DPO à des connaissances organisationnelles, informatiques et juridiques en même temps. Votre responsable informatique peut être désigné DPO. Il est préférable que votre responsable informatique ait suivi une formation qui approuve ses compétences sur le sujet.
Cependant avoir Privanciel quand on est parachuté DPO est un plus pour avoir un cadre et aller dans le bon sens.
La mission du DPO est de sécuriser chaque traitement de données et de vérifier sa mise en conformité. Dans un traitement de données nous pourrons retrouver le consentement, la finalité, la durée du traitement ainsi que la durée de conservation des données.
Un logiciel permet d’automatiser une certaine partie du travail et d'être sûr de ne rien oublier dans le cadre du RGPD. Un outil performant permet de facilement mettre à jour son registre et d’oublier vos anciennes feuilles Excel.
Votre registre doit être à jour en temps réel.
De plus, un audit est une bonne façon de voir où vous en êtes dans votre mise en conformité avec le règlement européen. L’audit des traitements est obligatoire chaque année. Cette prise d’informations est un atout non-négligeable pour commencer votre mise en conformité.
Un logiciel fait tout pour que la gestion de votre projet RGPD soit simple, bien sûr cela ne remplacera pas un véritable DPO avec des compétences juridiques indéniable.
Un DPO avec un outil comme Privanciel gagne cependant beaucoup de temps à faire sa mise en conformité et à la gérer dans le temps.
Le logiciel va se concentrer sur un plan d’actions avec des mesures de sécurité définies selon les risques.
Chez Privanciel, nous évaluons les risques en fonction de vos traitements. Nous prenons en compte l’aspect juridique et nous le transformons pour que la gestion d’un projet RGPD soit simple pour chaque organisation.
Pour rendre une organisation conforme, vous aurez peut-être besoin de parler au personnel de l’entreprise. Privanciel permet d’inviter des membres de l’entreprise dans le logiciel afin de collaborer ensemble. En effet, qui peut mieux décrire son métier que la personne qui exécute le métier ?
Connaître son système d’informations et pouvoir le cartographier
Pour être conforme au règlement général sur la protection des données, il est nécessaire de bien analyser les informations collectées par votre entreprise et comment celle-ci gère le droit des personnes ainsi que le consentement par exemple.
Le consentement est un droit de chaque personne. Dans le cadre du RGPD, le recueil du consentement par l’entreprise est une étape indispensable dans votre démarche RGPD.
Le consentement est une des bases légales prévues par le règlement général à la protection des données, cela impose que le consentement soit libre, spécifique, éclairé, univoque et documenté. Le responsable de traitement doit être en mesure de démontrer la validité de cette base légale. Votre entreprise doit donc s'assurer de recueillir le consentement de chacun de ses clients.
Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas d’un contrat.
En effet, le règlement général à la protection des données ne s'arrête pas à une simple politique de cookie exemplaire. Pour protéger correctement les données personnelles, vous devez mettre en place un plan d’action, une suite d'étapes qui va définir quels sont les risques dans votre entreprise pour ensuite définir des mesures de sécurité appropriées pour votre entreprise en cas de contrôle de la CNIL.
Tenir un registre est non seulement obligatoire, mais vous aide fortement à cartographier vos traitements de données personnelles. C’est une étape cruciale dans votre démarche. Vous devez inspecter tous les services de votre organisation, tous les sous-traitants, chaque contrat avec un prestataire peut éventuellement être source de risque.
Pour pouvoir mettre en place une liste de tâches dédiées à la conformité détaillée pour votre organisation et pour être en conformité. Vous devez créer votre registre. Vous vous appuierez sur ce registre pour établir votre plan d’action.
Dans ce registre figurent vos traitements de données personnelles, la finalité de votre collecte, les informations de droit à la personne, le consentement des personnes concernées, la durée de conservation de vos données, votre politique de mesure de sécurité. Votre registre doit faire face au contrôle de la CNIL, celle-ci peut vous mettre en demeure si votre registre ne décrit pas clairement votre gestion de données.
La finalité d’un traitement de données est obligatoire, vous devez définir pourquoi votre entreprise collecte une donnée. Cela fixe également un périmètre et une limite a vos traitements. Bien définir la finalité d’un traitement, c’est s’assurer de ne pas faire un hors sujet.
Construire un plan d’actions efficace à partir du registre
Une fois votre registre effectué par votre responsable informatique, votre DPO ou bien votre outil dédié à la conformité RGPD. Vous devez mettre en avant un plan d’actions pour faire face aux éventuels risques sur le traitement des données personnelles.
En effet, vous devez mettre en place une stratégie, des actions et une liste de tâches pour mettre en conformité votre organisation. En fonction des traitements de données personnelles sur votre registre, vous devez déduire un certain nombre de risques. Vous devez ensuite associer des mesures de sécurité à ces risques et prouver vos mesures de sécurité avec des documents.
Dans votre gestion de votre projet RGPD, vous devez prévoir des tâches pour sécuriser certaines données personnelles sur votre système d’informations par exemple, mais vous devez également prévoir des tâches de communication pour que toute votre entreprise soit bien au courant des processus à utiliser.
La formation des personnes travaillant avec vous et la sensibilisation des prestataires est, en effet, très importante. Vous devez inculquer à vos collaborateurs une formation de base sur les données personnelles, pour par exemple recueillir le consentement avant de demander une information.
La CNIL peut à tout moment effectuer une mise en demeure si elle estime que vous n'êtes pas en accord avec la loi. Vous devrez alors faire face à une sanction. Il est alors indispensable de bien documenter tout votre travail. La CNIL regarde vos traitements de données personnelles, et quelles mesures vous mettez en place pour faire face à d'éventuels risques. Pouvoir prouver les mesures de sécurité mises en place est donc indispensable pour pouvoir survivre à un contrôle de la CNIL.
Les sanctions distribuées par la CNIL peuvent fortement varier selon l’infraction constatée. Cela peut être un simple rappel à l’ordre, limiter temporairement ou définitivement un traitement, ordonner de satisfaire les demandes d’exercices des droits et enfin prononcer une amende administrative.
Des sanctions qui peuvent s’avérer lourdes financièrement pour une organisation. Cependant la CNIL est un très bon référentiel d’informations et de bonne pratique pour mettre en conformité RGPD son organisation.
Pouvoir respecter l’exercice des droits
L’exercice des droits comprend le droit d’accès (droit à l’information), le droit de rectification, droit d’opposition, droit d’effacement, droit à la portabilité et le droit à la limitation.
Selon la CNIL, en 2018, environ 75 % des plaintes reçues concernent l’exercice pratique des droits.
En effet, pour être conforme RGPD, c’est aussi pouvoir répondre à l’exercice des droits d’une personne concernée.
Une personne à des droits concernant le traitement de ses données , les personnes concernées peuvent donc doivent avoir accès sur demande à des informations telles que :
- Coordonnées du responsable de traitement
- Pourquoi les informations sont t'elles collectées, la raison de la collecte ?
- Le consentement est-il géré ?
- Personne et personnel qui ont accès aux données.
- La durée de conservation des données
- Où sont transférées les données, dans quels services ?
- Comment est réalisée la protection des données ?
- La finalité d’un traitement
Vos clients et usagers doivent être informés sur demande et d’une façon totalement transparente de la gestion de leurs données. Toutes les entreprises doivent répondre à ces demandes d’informations.
La confidentialité est un atout majeur du règlement européen. C’est pourquoi chaque donnée doit avoir une raison de collecte, chaque donnée doit être protégé, sécurisée, de façon juridique, technique et organisationnelle, au niveau des prestataires sous contrat, mais également au sein même de votre entreprise, la formation de vos collaborateurs est très importante.
La protection d’information est l’essence même du règlement européen. Les clients de votre entreprise seront rassurés sur le traitement de leurs données et sur les bonnes pratiques RGPD.
Construire une analyse d’impact (PIA/EIVP)
Dans certains cas, un traitement de données nécessite une analyse d’impact. Cette analyse d’impact a pour but de décrire avec exactitude l’impact de votre traitement sur les personnes concernées. Toujours avec les notions de consentement, conservation et confidentialité des données, l’analyse d’impact examine le risque sur la vie privée.
Une analyse d’impact est obligatoire dans un certain nombre de cas. (croisement de données, personnes vulnérables, usage innovant, exclusion du bénéfice d’un droit/contrat…)
Cela aide.
Une sanction est prévue jusqu'à 2% du chiffre d'affaires annuel mondial si la CNIL estime que vous manquez à votre devoir.
L’analyse d’impact est une des étapes à réaliser dans votre projet RGPD. Cela offre une assurance de plus pour les personnes concernées que leurs données personnelles sont bien conformes au RGPD.
Selon les cas, votre analyse d’impact doit être transmise à la CNIL. La CNIL peut également la demander en cas de contrôle.
Gérer les violations des données personnelles
Le règlement général sur la protection des données impose aux responsables de traitement de documenter en interne les violations de données personnelles. Si cette violation représente un risque pour les droits et libertés des personnes concernées vous devez notifier cette violation de données personnelles à la CNIL.
Une violation intervient quand vous avez mis en œuvre un traitement de données personnelles et que celui-ci fait l’objet d’une perte de disponibilité, de confidentialité de manière accidentelle ou illicite.
Quand cela arrive, vous avez 72 heures pour notifier cette violation à la CNIL. Vous devez décrire la date et heure de la violation, les circonstances et les impacts potentiels.
Si votre organisation est conforme RGPD, vous ne devez pas vous inquiéter, vous pourrez facilement répondre et documenter sur demande de la CNIL. Celle-ci va vous demander la nature de la violation, les conséquences, les mesures prises ou que vous envisagez de prendre pour ne pas que ça se reproduise, les catégories de personnes concernées, etc..
Vous devez également notifier les personnes concernées si le risque est élevé.
Pourquoi faire un audit RGPD ?
Un audit RGPD , de façon interne ou externe doit être réalisé pour connaître votre état d’avancement en ce qui concerne la protection des données personnelles.
Un audit RGPD est le minimum à faire pour se rendre compte de ce qu’il reste à faire dans votre mise en conformité et également des tâches qui restent à accomplir pour éviter diverses sanctions de la part de l’autorité de contrôle. Vous devez prouver à la CNIL que vous allez faire des actions pour sécuriser vos données personnelles.
Cela vous permettra de savoir où vous en êtes au niveau du consentement, de la gestion des personnes concernées, de connaître la liste exacte des prestataires sous contrat qui manipule des données personnelles.
Les entreprises se doivent de respecter le consentement et la confidentialité des clients.
Le RGPD offre un cadre idéal pour faire le point sur la gouvernance de vos données ainsi que sur votre politique de sécurité au sein même de votre entreprise.