Étapes clés pour une mise en conformité RGPD

Réglementation européenne, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018. Ce règlement a pour objectif de renforcer la protection des données personnelles des personnes au sein de l'Union européenne. C'est une législation qui a un impact important sur la manière dont les entreprises gèrent, traitent et protègent les différentes données personnelles. Connaître ce qu'est ce RGPD et comment mettre en place cette réglementation est capital. En effet, différentes conséquences s'imposent si l'entreprise n'est pas en conformité. Voyons ce qu'il en est.
Étapes de la mise en conformité avec RGPD
Le RGPD est un ensemble de règles et de normes juridiques qui ont été adoptées par l'UE pour régir les données personnelles des individus :
- La collecte ;
- Le traitement ;
- La conservation ;
- La protection.
Ce Règlement Général sur la Protection des Données remplace la Directive de 1995 sur la protection des données. Il a été conçu afin de répondre aux défis qui ont été posés par l'évolution rapide liée à la technologie, mais aussi l'ère numérique.
Différents principes réglementaires guident la protection des données personnelles. Cela comprend :
Le principe de transparence ;
Le principe de finalité ;
Le principe de minimisation des données ;
Le principe d'exactitude ;
Le principe de conservation ;
Le principe de sécurité ;
Le principe de responsabilité.
Les entreprises doivent informer les personnes de la manière dont les données sont collectées, traitées et utilisées de manière particulièrement transparente. Cela implique la fourniture d'informations nettes et claires, totalement compréhensibles relatives aux politiques de confidentialité et aux pratiques de traitement des données.
Les données personnelles doivent être collectées et traitées dans un but légitime et précis. Les entreprises doivent utiliser les données uniquement à des fins explicites. Elles doivent également collecter des données nécessaires dans un cadre et un objectif déclarés. Le principe de minimisation doit réduire la quantité de données récoltées afin de réduire la collecte excessive.
Ces données personnelles doivent être précises et tenues à jour. Les entreprises sont tenues de prendre des mesures qui garantissent que les données sont conservées pendant un délai précis et sont exactes.
Des mesures de sécurité appropriées doivent être mises en place afin de protéger les données contre les accès non autorisés, la perte ou la destruction. Il sera alors nécessaire d'utiliser des mesures techniques et organisationnelles.
Les entreprises doivent être en mesure de prouver leur conformité au RGPD. Pour cela, elles doivent tenir un registre des activités de traitement et nommer un délégué à la protection des données (DPO).
Différents professionnels sont en lien direct avec le RGPD. Cela concerne le responsable de traitement, le délégué à la protection des données (DPO) et les différentes personnes concernées par la collecte des données.
Afin de mettre en place la conformité au RGPD, les entreprises doivent suivre un processus spécifique. La mise en conformité RGPD consiste à prendre des mesures visant à garantir que toutes les opérations de collecte, de traitement et de conservation respectent les exigences du RGPD.
Cette mise en conformité est une procédure essentielle pour les entreprises. Elle repose sur des principes clés qui protègent les droits et libertés des individus dans le domaine des données personnelles. Cette conformité impose une approche proactive, une planification rigoureuse et une vigilance permanente afin de respecter la réglementation liée à la protection des données.
Cette conformité est un processus qui peut s'avérer très compliqué. Il est indispensable de suivre des formations (Protection des données personnelles, droit des contrats), des conseils juridiques et des ressources importantes.
Audit des pratiques existantes
L'état des lieux de conformité RGPD (ou audit) doit suivre différentes étapes. En premier lieu, il est nécessaire de « prendre une photo » des traitements de l'entreprise et de les analyser en fonction du RGPD. Cet audit va donc identifier :
Les traitements des données à caractère personnel utilisés par l'entreprise ;
Les écarts à la réglementation sur ces données (RGPD et loi dite Informatique et Libertés).
L'audit RGPD évalue la conformité d'une entreprise vis-à-vis du RGPD. Il permet d'établir une feuille de route qui liste les actions à mettre en place. C'est aussi un élément qui permet de justifier de la démarche de mise en conformité auprès des clients, des partenaires et de la CNIL.
Cet audit présente plusieurs objectifs :
Vérifier la conformité ;
Identifier et évaluer les risques ;
Améliorer les pratiques internes ;
Renforcer la confiance ;
Limiter les risques de sanctions.
Pour bien préparer un audit RGPD, il faut mobiliser une équipe dédiée. Cette équipe est composée du DPO, des responsables informatiques, des responsables juridiques, et des responsables de chaque département concerné (RH, commercial…).
La première étape consiste à planifier l'audit en définissant son périmètre. Il faudra alors prendre en compte les départements à auditer, les méthodes de collecte des informations et le calendrier. Il est possible de préparer un questionnaire d'audit par département et ainsi identifier les différents traitements de données personnelles réalisés et les modalités (outils, stockage, accès, mesures de sécurité…). Il est aussi indispensable de lister tous les documents nécessaires à l'analyse des écarts :
l Mentions d'information RGPD dans les contrats, sur le site internet ou les applications ;
l Formulaire de collecte de données, registres, procédures internes, charte informatique, attestation de formation des équipes au RGPD...
Un audit RGPD complet se réalise en plusieurs étapes.
Désignation du DPO
En premier lieu, il est indispensable de désigner un DPO. Il est au cœur de la conformité au règlement européen sur la protection des données. Il conseille et accompagne les entreprises. Avant de désigner celui-ci, il est important de vérifier qu'il dispose des compétences requises et du statut. Sa désignation est obligatoire pour les autorités et organismes publics, les entreprises dont les activités imposent un suivi régulier et systématique des personnes, et les organismes traitant des données « sensibles » à grande échelle. Le DPO est désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du RGPD).
Cartographie des données
Il s'agit de recenser toutes les données collectées par l'entreprise dans différents départements :
La nature des données (nom, adresse, données bancaires…) ;
Les origines (collecte directe ou indirecte) ;
Finalités ;
Destinataires (interne ou externe) ;
Outils utilisés ;
Support de stockage ;
Transfert hors UE ;
Durée de conservation.
Il sera ainsi possible de facilement visualiser l'ensemble des flux de données et d'analyser ceux-ci. On pourra alors analyser la gouvernance, le registre des activités, les politiques de confidentialité, les processus de consentement, la gestion des droits des personnes, la gestion de violation des données et la sécurité des données.
Élaboration des politiques internes
Mettre en place des mesures de sécurité est aussi indispensable. La sécurité est un aspect essentiel pour le RGPD. Il est donc nécessaire de mettre en place des mesures visant à la non-violation des données.
Il est aussi important d'obtenir le consentement des personnes concernées. Celles-ci doivent être informées clairement de la manière dont seront utilisées les informations récoltées.
Les politiques de confidentialité sont aussi de mise. Il est nécessaire de les mettre régulièrement à jour.
Tenir un registre des activités de traitement permet de documenter les opérations de collecte, de traitement et de conservation.
Outils utilisés dans une mise en conformité
La procédure de mise en conformité RGPD nécessite une surveillance constante et de nombreux ajustements en fonction de l'évolution de la loi et des pratiques des entreprises. Il faut avant tout réaliser une évaluation initiale, puis planifier et mettre en place. La mise en œuvre et les ajustements viendront ensuite.
Différents outils peuvent être utilisés.
Le registre des activités
Ce registre est prévu par l'article 30 du RGPD. C'est à la fois un document de recensement et d'analyse qui doit refléter la réalité du traitement des données.
Les cadres de référence de la CNIL
Pour guider les entreprises et organismes, la CNIL a élaboré des cadres qui permettent de mettre en conformité leur traitement. Le Comité Européen de la Protection des Données (CEPD) propose des lignes directrices qui clarifient les règles.
L'analyse d'impact relative à la protection des données (AIPD)
La CNIL fournit de bonnes pratiques ainsi qu'un logiciel open source pour réaliser une analyse d'impact de qualité.
De nombreux autres outils utiles
On pense, en premier lieu, à des logiciels de conformité (SAP Process Control, Metricstream…). Ceux-ci présentent de nombreux avantages, comme le suivi et la réaction rapides. Ces logiciels améliorent la gestion de conformité, mais ils présentent également des limites. Ils ne répondent en effet qu'à certaines problématiques et ne couvrent pas l'ensemble des besoins. De plus, ces logiciels ne prennent pas en compte les spécificités de chaque entreprise.
Il est donc utile de se tourner vers des outils de compliance sur mesure. Une entreprise est en constante évolution. Il peut donc s'avérer plus utile d'utiliser une application imaginée de A à Z en fonction de ses besoins. Vous pourrez ainsi améliorer la conformité, gagner en efficacité, et faciliter la collaboration.
Quelles sont les conséquences de non-conformité ?
La captation des données est aujourd'hui un enjeu stratégique pour les entreprises. Mais si vous décidez de ne pas respecter le RGPD, vous encourrez des sanctions pour non-conformité.
Les risques sont de trois ordres. Avant d'avoir affaire à des sanctions, la CNIL envoie tout simplement de simples rappels. La première vraie sanction sera d'abord financière. Si l'entreprise ne respecte pas les normes du RGPD, elle encourt une sanction financière de 20 millions d'euros ou 4 % du CA (article 83 RGPD). Des mises en demeure et injonctions peuvent également être imposées (article 58 du RGPD). Il faudra alors se mettre en conformité dans les délais imposés. Si cela n'est pas réalisé, la CNIL peut prononcer des limitations temporaires ou définitives d'un traitement de données.
Des sanctions pénales peuvent aussi survenir (articles 226-16 à 226-24 du Code pénal). Dans le cas d'une personne physique, la peine peut être de 5 ans d'emprisonnement avec une amende de 300 000 euros. Les personnes morales devront régler jusqu'à 1,5 million d'euros.
La réputation de l'entreprise est aussi en jeu. Tous les avertissements de la CNIL (surtout s'ils sont rendus publics) ont un impact médiatique particulièrement important.
Enfin, ne pas suivre les règles de conformité offre de nombreux avantages aux concurrents, qui eux respectent les normes. Un client va préférer choisir une entreprise qui respecte la loi et protège ses données. C'est aussi le cas de potentiels collaborateurs.
Conclusion
La conformité légale RGPD est essentielle pour toutes les entreprises qui traitent des données personnelles. Elle protège les droits et les libertés des individus. C'est une réglementation européenne essentielle. Il est donc très important de ne pas négliger le RGPD. Pour cela, il peut s'avérer très utile de faire appel à un expert. Il pourra être indispensable de s'adresser à une personne possédant une Formation Gestion de Crise qui possède une haute expérience pour protéger les entreprises face aux menaces. Celle-ci pourra construire une base de données d'informations respectant le RGPD, collectera des informations et mettra en place une veille.
La protection des données personnelles est importante. Le RGPD établit des principes clairs et des obligations strictes. Cela concerne toutes les entreprises traitant des données personnelles, quel que soit leur taille ou leur secteur d'activité.