🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays 🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays 🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays 🎙⏯ RGPD, AI Act, NIS2, Tutoriels & Démos : S'inscrire aux prochains webinaires et voir les replays
Appelez-nous au +(33)4 28 70 91 81
Se connecter

7 étapes clés pour mettre en conformité RGPD votre entreprise

Accueil RGPD 7 étapes clés pour mettre en conformité RGPD votre entreprise
📌 Cet article est issu d’un webinaire que vous pouvez retrouver ici.

Avant d’évoquer les étapes clés pour se mettre en conformité face au RGPD, abordons les sanctions en cas de manquement

La CNIL (Commission nationale de l’informatique et libertés) est en France l’organe qui contrôle les entreprises et sanctionne en cas de manquement. On constate maintenant que la CNIL a mis fin à sa période d’accompagnement des entreprises et est dans une dynamique de sanction.

Les sanctions prononcées peuvent être de deux types :

  • Sanction pécuniaire : entre 2 et 4 % du chiffre d’affaires ou bien 10 ou 20 millions d’euros
  • Sanction réputationnelle : la CNIL peut décider de rendre la décision de sanction publique. Ainsi, l’atteinte à l’image de l’entreprise est forte envers les collaborateurs, partenaires, clients…

Exemples de sanctions récentes :

  • Carrefour : manquement relatif à la conservation des données ; manquement relatif à l’exercice des droits ; manquement relatif à l’information des personnes – 2 250 000 €
  • Nestor : non-consentement des prospects et plusieurs manquements au RGPD – 20 000 €
  • Credential stuffing : un responsable de traitement et son sous-traitant condamnés pour ne pas avoir pris de mesures satisfaisantes – 150 000 € + 75 000 €

Les 7 étapes de la mise en conformité

1. Désigner un DPO / Référent RGPD

En fonction de votre activité, vérifiez si la désignation d’un Délégué à la protection des données (DPO) est obligatoire. Même si un DPO n’est pas obligatoire, il est fortement recommandé de désigner un référent/pilote, qui sera en charge du projet RGPD dans l’entreprise.

2. Centraliser la documentation existante

Commencez par consulter les fichiers des déclarations réalisées auprès de la CNIL via le lien suivant : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018.

Cela permet d’avoir une première ébauche des activités effectuées par votre entreprise. Collectez également les documents d’informations existants (politique de confidentialité, CGV, CGU, mentions légales…). Construisez votre organigramme de la société afin de pouvoir lister les services et les interactions entre ces derniers.

3. Construire son registre des traitements

Construisez votre registre des traitements sur la base de la documentation rassemblée, des déclarations internes (les entretiens avec des représentants des différents services) et sur la base d’une cartographie applicative en identifiant les outils utilisés par les services.

4. Audit des traitements de l’organisation

Deux types d’audits sont à réaliser :

  • Audit des traitements : l’analyse de licéité, est-ce que les finalités respectent les principes du RGPD (licéité, minimisation, durée de conservation…)
  • Audit de l’organisme : gestion des droits des personnes concernées, gestion des sous-traitants, sécurité du système d’information…

5. Correction des écarts de conformité

Élaborez un plan d’action :

  • Tenue d’un registre des activités de traitements et mise à jour de ce dernier
  • Rédaction et mise en place des mentions d’informations obligatoires sur les formulaires
  • Mise à niveau des mesures de sécurité
  • Sensibilisation du personnel

Les deux prochaines étapes ne sont pas chronologiques, elles peuvent être réalisées en parallèle des étapes précédentes.

6. Mise en place de procédure de gouvernance

Le DPO doit être associé à toutes les problématiques de données personnelles et en amont de tout nouveau projet touchant aux données personnelles.

Il est important de former le personnel en contact avec les personnes concernées, notamment pour l’information des personnes concernées.

La mise en place des procédures obligatoires :

  • Procédure de gestion des exercices de droits
  • Procédure interne de protection des données
  • Procédure en cas de violation de données personnelles
  • Procédure d’information des personnes
  • Procédure de gestion des analyses d’impact
  • Procédure en cas de contrôle CNIL
  • Procédure de sélection des sous-traitants

Être conforme au RGPD n’est pas une image à un instant T, il convient de maintenir la conformité dans le temps en mettant notamment en place des audits réguliers sur les procédures obligatoires.

7. Vivre sa conformité

Il est également impératif d’effectuer régulièrement des veilles réglementaires et de former le personnel sur les enjeux de la protection des données.

Afin de centraliser la documentation et les processus, il est fortement recommandé d’utiliser un logiciel de gouvernance RGPD.

👉 Demander une démo

D'autres articles
sur le même sujet