Beaucoup de PME sont paralysées par le RGPD car elles ne savent pas par où commencer.
Quand on commence à se mettre conformité avec le RGPD, on a souvent du mal à savoir ce qu’il faut faire.
Le premier réflexe c’est de se précipiter pour mettre à jour son organisation informatique
Alors que le RGPD c’est bien plus que ça.
Le risque c’est aussi de se perdre dans les ramifications du RGPD : juridique, marketing et informatique.
Surtout quand on n’est pas un spécialiste de tous ses sujets techniques.
Il est temps de prendre la vie privée au sérieux. Avec la récente promulgation du règlement général sur la protection des données (RGPD), la vie privée est devenue l’une des plus importantes responsabilités des entreprises. Si vous êtes propriétaire d’une entreprise, ce guide devrait vous aider à dissiper toute confusion. Le RGPD c’est le règlement européen qui détermine depuis 2018 ce qu’il est possible de faire ou non par rapport aux données personnelles.
Ne pas respecter le RGPD peut coûter cher : On a vu que la France était l’un des pays qui donne le plus d’amende en Europe. Du grand groupe à la TPE. On parle d’amendes pouvant aller jusqu’à 4% du CA ou 20M€. C’est un vrai risque financier.
C’est aussi s’exposer à un risque de réputation.
La question qui se pose : qu’est-ce que je dois faire pour être conforme au RGPD ? Comment appliquer le rgpd ?
C’est l’objet de cet article, nous allons voir :
- Quelles sont les 6 priorités pour commencer à être conforme
- Comment limiter son niveau de risque
- Comprendre mes obligations au titre du rgpd et ce que je dois changer
Cet article contribuera, nous l’espérons, à informer les entreprises des obligations qui leur incombent au regard du nouveau règlement général européen sur la protection des données (RGPD)
Cette action sur le RGPD, sera par la même occasion, l’opportunité de faire progresser d’un cran le niveau de sécurité informatique de votre entreprise.
6 étapes pour devenir conforme par rapport au RGPD :
Etape 1 : Lister vos données personnelles
Votre premier réflexe devrait être d’identifier toutes les données personnelles.
Les données personnelles désignent les personnes physiques (les individus)
On retrouve souvent des données personnelles dans ses fichiers clients, prospects ou salariés.
Vous pouvez aussi regarder dans vos fichiers Excel, dans vos mails ou dans vos logiciels.
Les données personnelles les plus flagrantes sont les données « directes » comme le nom, prénom
Mais le RGPD mobilise aussi les données personnelles indirectes comme un numéro de téléphone, un code client, une plaque d’immatriculation, etc. Tout ce qui est rattachable à un individu.
Commencez par identifier les données personnelles que vous stockez. Puis incluez aussi les les données personnelles que vous pouvez consulter.
Prenez en compte les données « papier » : Les données personnelles peuvent être stockées dans vos documents papiers et sur vos systèmes informatiques. Si vous avez une armoire avec les fiches de paies par exemple, elle est concernée par le RGPD.
Ca y-est ? C’est fait ?
Une fois que vous avez une liste exhaustive des types de données personnelles que l’on peut trouver dans votre entreprise vous pouvez passer à l’étape suivante.
Etape 2 : Identifier tous les partenaires et logiciels avec lesquels vous travaillez
La deuxième étape va être d’identifier les partenaires avec qui vous collaborez.
Rares sont les entreprises qui travaillent seules.
Nous collaborons tous avec des services d’entreprises tierces. Comme des fournisseurs de logiciels ou des sous-traitants.
Vous allez donc faire une liste des tiers avec lesquels vous faites affaire ;
Commencez par lister des logiciels que vous utilisez
- Liste des logiciels et applications
Astuce : On s’intéresse aux tiers qui peuvent manipuler à des données personnelles. Par exemple Microsoft en vous fournissant sur votre PC le logiciel Excel ne traite aucune donnée. En revanche Hubspot en vous fournissant un logiciel de gestion commerciale est concerné par votre audit rgpd.
Continuez en référençant les partenaires avec lesquels vous travaillez :
- Les sous-traitants
- Les partenaires RH : cabinets de recrutement, agence d’intérim, mutuelle, médecine du travail, etc
- Les partenaires informatiques : agence web, fournisseur du photocopieur, réseaux sociaux, opérateur téléphonique, logiciel de mailing, etc
- Les entreprises susceptibles d’être en contact avec vos données personnelles comme la société de nettoyage qui passe dans vos locaux
- Le cabinet comptable
- …
Astuce : Je vous recommande de centraliser les contrats ou bons de commandes, ce sera un moyen de regarder ensemble si les contrats contiennent des clauses qui vous protègent
Etape 3 : Regroupez-les en traitements
Maintenant que vous disposez d’une liste solide de données personnelles et de l’emplacement de ces données, vous pouvez commencer à les organiser sous forme de traitements.
On cherche à les rassembler sous forme de blocs logiques : C’est ce qu’on appelle des traitements de données personnelles.
Comme par exemple :
- Le traitement des fiches de paie et déclarations sociales
- Le recrutement
- La tenue d’un fichier client aux fins de fidéliser la clientèle
- La vidéosurveillance
- … etc
Vous pouvez arriver très facilement à une dizaine de traitements.
La meilleure chose à faire est de bien identifier les finalités pour lesquelles vous faites ses traitements. Par exemple, un site de e-commerce est susceptible de vous contacter par email pour vous tenir informer de l’avancement de votre commande (finalité principale). Puis il peut vous adresser sa newsletter pour vous faire revenir sur le site (finalité secondaire).
Etape 4 : Créer un document de synthèse (le registre de traitement)
Le registre de traitements de données personnelles, c’est le meilleur moyen de justifier de votre implication.
Le RGPD requiert de documenter votre travail d’analyse de vos données personnelles.
Le registre permet de montrer votre capacité à avoir une vision d’ensemble sur les données que vous manipulez.
C’est aussi un moyen de pouvoir revenir dessus dans quelques mois pour faire évoluer votre démarche RGPD.
En général le registre de données personnelles est composé :
- Une liste des traitements
- Une fiche par traitement
Analyse des traitements de données personnelles
Chaque traitement va ensuite nécessiter de plonger dans la manière dont il est réalisé :
- Quelles sont les personnes qui interviennent dans le traitement des données ?
- les catégories de données traitées,
- ce que vous faites de ces données,
- qui accède aux données,
- à qui elles sont communiquées,
- la durée de conservation des données,
- les mesures de sécurité existantes
Etape 5 : Avoir conscience de vos obligations pour respecter le rgpd
Le RGPD précise désormais un certain nombre d’obligations et de droits
Voici les principales obligations ;
- Obligation d’information des personnes concernées (art 12 à 14)
- Mettre en place procédures permettant l’exercice des droits des personnes concernées (art 15 à 21)
- Respecter les principes de protection des données dès la conception et protection des données par défaut (art 25)
- Obligation d’effectuer des analyses d’impact relatives à la protection des données (art 35 et 36)
- Obligation de réaliser des audits auprès de tout sous-traitant (art 25-3)
- Obligation de contractualiser la relation entre le responsable de traitement et le sous-traitant (art 25)
- Obligation de notification des failles de sécurité à l’organisme de contrôle et aux personnes concernées le cas échéant (art 33 et 34)
Des obligations supplémentaires s’appliquent quand vous êtes sous-traitant.
Etape 6 : Planifier les changements nécessaires pour mieux gérer vos données personnelles
Si vous avez suivi les 5 premières étapes, vous devez commencer à avoir une vision d’ensemble de vos données personnelles.
Vous avez peut-être même commencé à identifier des leviers d’actions ou des questions plus précises :
Appliquer les durées de conservation : c’est illégal de conserver les données personnelles à l’infini. A chaque type de donnée correspond une date maximale de conservation. A titre d’exemple les images de vidéosurveillance peuvent être enregistrées jusqu’à 30 jours maximum. A l’échéance, il faudra supprimer la vidéo. Vous devez prendre position sur la durée de conservation de chacune de vos données.
Vigilance sur les données sensibles : Certaines données nécessitent une attention particulière. Cela concerne une dizaine de catégories de données telles que les informations relatives à la santé ou aux condamnations pénales. Vous devez avoir une certaine forme de légitimité à détenir ses données et le RGPD vous demande un certain nombre de prises de précautions particulières.
Mettre à jour vos sites internet et formulaires :
Un certain nombre de contraintes de sécurité et d’information s’appliquent désormais aux sites internes. Il faut renforcer l’information aux internautes grâces aux mentions légales et aux politiques de confidentialité. Aussi il faut recueillir le consentement des utilisateurs lorsqu’ils font certaines actions. C’est pour cela qu’on l’on voit désormais des bannières pour accepter les cookies ou donner son consentement avant d’envoyer un formulaire de contact. Il faut aussi augmenter le niveau de sécurité des sites grâce à des bonnes pratiques comme la mise en place d’un certificat de sécurité HTTPS. D’autres obligations rgpd s’appliquent pour les sites e-commerce.
Avoir une procédure en cas de faille de sécurité :
Personne n’est à l’abri d’une faille de sécurité : ce peut être la perte d’un ordinateur dans le TGV, le piratage par un hacker, un vol de données par un salarié. Le RGPD demande un formalisme strict dans le traitement des failles de sécurité. Cela passe par la notification à la CNIL dans les heures qui suivent ce qui impose d’avoir une bonne méthodologie. Vous êtes aussi susceptible de devoir informer directement les personnes dont les données ont pu être compromises pendant la faille.
Respecter le droit des personnes :
Les utilisateurs ont un des droits qu’ils doivent pouvoir exercer
- Droit d’accès
- Droit d’opposition
- Droit de rectification
- Droit à l’oubli
- Droit à la portabilité
- Droit au refus de décisions automatisées
- Droit à la limitation du traitement des données
Former vos salariés qui manipulent des données personnelles :
Pour que votre conformité RGPD soit pertinente dans le temps, il convient d’identifier les salariés qui interviennent sur des données personnelles et les classer par niveau d’impact. Vous pouvez avoir les commerciaux qui utilisent le CRM, l’équipe administrative, l’équipe informatique, etc
En fonction du risque et pour être crédibles par rapport à ceux qui pourraient devoir traiter des demandes clients, il faut prévoir une formation pour leur permettre d’avoir la culture sur ce sujet RGPD.
Se préparer en cas de contrôle RGPD : En France, c’est la CNIL (Commission Nationale Informatique et Liberté) qui est habilitée à mener un contrôle rgpd.
Conclusion : Le RGPD est finalement un travail continu.
On se rend compte que les traitements risque d’évoluer au fil du développement de votre entreprise et de l’évolution des technologiques que vous utilisez.
Il est fortement recommandé de faire appel à un professionnel pour vous aider dans cette démarche.
Se mettre en conformité par rapport au RGPD peut sembler être une mission fastidieuse si vous ne l’avez jamais fait auparavant Il y a beaucoup d’informations à suivre et il est possible de se perdre dans les méandres.
Vous ne devez pas être frustré par l’importance de la tâche qui vous attend. Une fois que vous avez choisi d’être conforme vous pourrez vous faire épauler par certains spécialistes.
Faire appel à un cabinet de conseil RGPD
Comme vous le savez déjà et comme vous pouvez le voir, le respect de la conformité au RGPD est d’une grande importance. Pourtant, il est assez difficile de le respecter puisqu’il y a de nombreuses conditions à remplir et des normes à respecter. Il s’agit déjà là de quelques raisons de faire appel aux services d’un cabinet de conseil rgpd. Ce dernier est un expert en droit concernant la protection des données personnelles. En effet, les professionnels qui proposent leurs services dans ces bureaux disposent d’une grande connaissance dans ce domaine.
Cela signifie qu’ils peuvent garantir la réussite de ce travail, à savoir aider votre entreprise à être conforme au RGPD. Cela réduit, d’une manière considérable, les risques de sanction. Dans ce cas, le cabinet de conseil RGPD vous accompagne de très près pour votre mise en conformité. Grâce à un expert, même les obligations les plus difficiles à mettre en œuvre ne vous feront plus peur.
Quelques conseils pour trouver votre cabinet conseil RGPD
Choisir un cabinet de conseil RGPD peut être assez délicat. Cependant, il vous suffit de considérer quelques points pour trouver le bon. Ce que vous devez faire en premier est de bien définir vos besoins et vos objectifs. Cela signifie connaître les aspects du rgpd dont vous avez besoin d’aide et les procédures que vous souhaitez mettre en place. Lorsque vous avez défini vos besoins, alors, il vous faut trouver le cabinet qui propose les services correspondants à vos exigences.
Assurez-vous également de choisir un cabinet proposant un tarif flexible afin de bien s’adapter au budget de votre entreprise. N’hésitez pas à garder votre attention sur leur portfolio. Vous pouvez aussi leur demander des exemples en demandant des solutions conformes au RGPD. Certains professionnels n’hésitent pas à vous donner des références pour que vous puissiez demander directement à leurs anciens clients.
Le prix de l’appel à un cabinet de conseil rgpd
En fait, le prix repose essentiellement sur les prestations réalisées que le cabinet RGPD doit réaliser. Vous devez savoir que plus les données traitées sont sensibles, plus le tarif est élevé. Tel que nous l’avons déjà évoqué plus haut, pensez à comparer plusieurs offres avant de faire votre choix.
N’oubliez surtout pas que votre conformité rgpd dépend du cabinet que vous allez engager. Alors, attention au piège du prix abordable pour des services médiocres. Maintenant, il ne vous reste plus qu’à trouver vos experts.
