7 étapes clés pour mettre en conformité RGPD votre entreprise

· Par Équipe DCO · 2 min de lecture

7 étapes clés pour mettre en conformité RGPD votre entreprise

Les 7 étapes de la mise en conformité

1. Désigner un DPO/Référent RGPD 

En fonction de votre activité vérifiez si la désignation d’un Délégué à la protection des données (DPO) est obligatoire. 

Même si un DPO n’est pas obligatoire, il est fortement recommandé de désigner un référent/pilote, qui sera en charge du projet RGPD dans l’entreprise.

2. Centraliser la documentation existante 

Commencez par consulter les fichiers des déclarations réalisées auprès de la CNIL via le lien suivant : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018 

Cela permet d’avoir une première ébauche des activités effectuées par votre entreprise. 

Collectez les documents d’informations existants (politique de confidentialité, CGV, CGU, mentions légales…)

Construisez votre organigramme de la société afin de pouvoir lister les services et les interactions entre ces derniers. 

3. Construire son registre des traitements 

Construisez votre registre des traitements sur la base de la documentation rassemblée, les déclarations internes (les entretiens avec des représentants des différents services) et sur la base d’une cartographie applicative en identifiant les outils utilisés par les services. 

4. Audit des traitements de l’organisation

Deux types d’audits sont à réaliser :

  • Audits des traitements : L’analyse de licéité, est-ce que les finalités respectent les principes du RGPD (licéité, minimisation, durée de conservation…) 
  • Audit de l’organisme : gestion des droits des personnes concernées, gestion des sous-traitants, sécurité du système d’information… 

5. Correction des écarts de conformité

Pensez à élaborer un plan d’action : 

  • Tenue d’un registre des activités de traitements et mise à jour de ce dernier 
  • Rédaction et mise en place des mentions d’informations obligatoires sur les formulaires 
  • Mise à niveau des mesures de sécurité
  • Sensibilisation du personnel

Les deux prochaines étapes ne sont pas chronologiques, elles peuvent être réalisées en parallèles des étapes précédentes. 

6. Mise en place de procédure de gouvernance 

Le DPO doit être associé à toutes les problématiques de données personnelles et en amont de tout nouveaux projets touchant aux données personnelles.

Il est important de former le personnel en contact avec les personnes concernées, notamment pour l’information des personnes concernées.

La mise en place des procédures obligatoires : 

  • Procédure de gestion des exercices de droits 
  • Procédure interne de protection des données 
  • Procédures en cas de violation de données personnelles 
  • Procédure d’information des personnes 
  • Procédure de gestion des analyses d’impact
  • Procédure en cas de contrôle CNIL 
  • Procédure de sélection des sous-traitants 

Être conforme au RGPD n’est pas une image à un instant T, il convient de maintenir la conformité dans le temps en mettant notamment en place des audits réguliers sur les procédures obligatoires. 

7. Vivre sa conformité 

Il est également impératif d’effectuer régulièrement des veilles réglementaires et de former le personnel sur les enjeux de la protection des données. 

Afin de centraliser la documentation et les processus, il est fortement recommandé d’utiliser un logiciel de gouvernance RGPD.