Comment être conforme au RGPD ?

conformité rgpd

Beaucoup de PME sont paralysées par le RGPD car elles ne savent pas par où commencer.

Quand on commence à se mettre conformité avec le RGPD, on a souvent du mal à savoir ce qu’il faut faire.

Le premier réflexe c’est de se précipiter pour mettre à jour son organisation informatique

Alors que le RGPD c’est bien plus que ça.

Le risque c’est aussi de se perdre dans les ramifications du RGPD : juridique, marketing et informatique.

Surtout quand on n’est pas un spécialiste de tous ses sujets techniques.

Il est temps de prendre la vie privée au sérieux. Avec la récente promulgation du règlement général sur la protection des données (RGPD), la vie privée est devenue l’une des plus importantes responsabilités des entreprises. Si vous êtes propriétaire d’une entreprise, ce guide devrait vous aider à dissiper toute confusion. Le RGPD c’est le règlement européen qui détermine depuis 2018 ce qu’il est possible de faire ou non par rapport aux données personnelles.

Ne pas respecter le RGPD peut coûter cher : On a vu que la France était l’un des pays qui donne le plus d’amende en Europe. Du grand groupe à la TPE. On parle d’amendes pouvant aller jusqu’à 4% du CA ou 20M€. C’est un vrai risque financier.

C’est aussi s’exposer à un risque de réputation.

La question qui se pose : qu’est-ce que je dois faire pour être conforme au RGPD ? Comment appliquer le rgpd ?

C’est l’objet de cet article, nous allons voir :

  • Quelles sont les 6 priorités pour commencer à être conforme
  • Comment limiter son niveau de risque
  • Comprendre mes obligations au titre du rgpd et ce que je dois changer

Cet article contribuera, nous l’espérons, à informer les entreprises des obligations qui leur incombent au regard du nouveau règlement général européen sur la protection des données (RGPD)

Cette action sur le RGPD, sera par la même occasion, l’opportunité de faire progresser d’un cran le niveau de sécurité informatique de votre entreprise.

6 étapes pour devenir conforme par rapport au RGPD :

Etape 1 : Lister vos données personnelles

Votre premier réflexe devrait être d’identifier toutes les données personnelles.

Les données personnelles désignent les personnes physiques (les individus)

thomas blanc rgpd


On retrouve souvent des données personnelles dans ses fichiers clients, prospects ou salariés.

Vous pouvez aussi regarder dans vos fichiers Excel, dans vos mails ou dans vos logiciels.

Les données personnelles les plus flagrantes sont les données « directes » comme le nom, prénom

Mais le RGPD mobilise aussi les données personnelles indirectes comme un numéro de téléphone, un code client, une plaque d’immatriculation, etc. Tout ce qui est rattachable à un individu.

Commencez par identifier les données personnelles que vous stockez. Puis incluez aussi les les données personnelles que vous pouvez consulter.

Prenez en compte les données « papier » : Les données personnelles peuvent être stockées dans vos documents papiers et sur vos systèmes informatiques. Si vous avez une armoire avec les fiches de paies par exemple, elle est concernée par le RGPD.

Ca y-est ? C’est fait ?

Une fois que vous avez une liste exhaustive des types de données personnelles que l’on peut trouver dans votre entreprise vous pouvez passer à l’étape suivante.

Etape 2 : Identifier tous les partenaires et logiciels avec lesquels vous travaillez

La deuxième étape va être d’identifier les partenaires avec qui vous collaborez.

Rares sont les entreprises qui travaillent seules.

Nous collaborons tous avec des services d’entreprises tierces. Comme des fournisseurs de logiciels ou des sous-traitants.

Vous allez donc faire une liste des tiers avec lesquels vous faites affaire ;

Commencez par lister des logiciels que vous utilisez

  • Liste des logiciels et applications

Astuce : On s’intéresse aux tiers qui peuvent manipuler à des données personnelles. Par exemple Microsoft en vous fournissant sur votre PC le logiciel Excel ne traite aucune donnée. En revanche Hubspot en vous fournissant un logiciel de gestion commerciale est concerné par votre audit rgpd.

Continuez en référençant les partenaires avec lesquels vous travaillez :

  • Les sous-traitants
  • Les partenaires RH : cabinets de recrutement, agence d’intérim, mutuelle, médecine du travail, etc
  • Les partenaires informatiques : agence web, fournisseur du photocopieur, réseaux sociaux, opérateur téléphonique, logiciel de mailing, etc
  • Les entreprises susceptibles d’être en contact avec vos données personnelles comme la société de nettoyage qui passe dans vos locaux
  • Le cabinet comptable

Astuce : Je vous recommande de centraliser les contrats ou bons de commandes, ce sera un moyen de regarder ensemble si les contrats contiennent des clauses qui vous protègent

Etape 3 : Regroupez-les en traitements

Maintenant que vous disposez d’une liste solide de données personnelles et de l’emplacement de ces données, vous pouvez commencer à les organiser sous forme de traitements.

On cherche à les rassembler sous forme de blocs logiques : C’est ce qu’on appelle des traitements de données personnelles.

Comme par exemple :

  • Le traitement des fiches de paie et déclarations sociales
  • Le recrutement
  • La tenue d’un fichier client aux fins de fidéliser la clientèle
  • La vidéosurveillance
  • … etc

Vous pouvez arriver très facilement à une dizaine de traitements.

La meilleure chose à faire est de bien identifier les finalités pour lesquelles vous faites ses traitements. Par exemple, un site de e-commerce est susceptible de vous contacter par email pour vous tenir informer de l’avancement de votre commande (finalité principale). Puis il peut vous adresser sa newsletter pour vous faire revenir sur le site (finalité secondaire).

Etape 4 : Créer un document de synthèse (le registre de traitement)

Le registre de traitements de données personnelles, c’est le meilleur moyen de justifier de votre implication.

Le RGPD requiert de documenter votre travail d’analyse de vos données personnelles.

Le registre permet de montrer votre capacité à avoir une vision d’ensemble sur les données que vous manipulez.

C’est aussi un moyen de pouvoir revenir dessus dans quelques mois pour faire évoluer votre démarche RGPD.

En général le registre de données personnelles est composé :

  • Une liste des traitements
  • Une fiche par traitement

Analyse des traitements de données personnelles

Chaque traitement va ensuite nécessiter de plonger dans la manière dont il est réalisé :

  • Quelles sont les personnes qui interviennent dans le traitement des données ?
  • les catégories de données traitées,
  • ce que vous faites de ces données,
  • qui accède aux données,
  • à qui elles sont communiquées,
  • la durée de conservation des données,
  • les mesures de sécurité existantes

Etape 5 : Avoir conscience de vos obligations pour respecter le rgpd

Le RGPD précise désormais un certain nombre d’obligations et de droits

Voici les principales obligations ;

  1. Obligation d’information des personnes concernées (art 12 à 14)
  2. Mettre en place procédures permettant l’exercice des droits des personnes concernées (art 15 à 21)
  3. Respecter les principes de protection des données dès la conception et protection des données par défaut (art 25)
  4. Obligation d’effectuer des analyses d’impact relatives à la protection des données (art 35 et 36)
  5. Obligation de réaliser des audits auprès de tout sous-traitant (art 25-3)
  6. Obligation de contractualiser la relation entre le responsable de traitement et le sous-traitant (art 25)
  7. Obligation de notification des failles de sécurité à l’organisme de contrôle et aux personnes concernées le cas échéant (art 33 et 34)

Des obligations supplémentaires s’appliquent quand vous êtes sous-traitant.

Etape 6 : Planifier les changements nécessaires pour mieux gérer vos données personnelles

Si vous avez suivi les 5 premières étapes, vous devez commencer à avoir une vision d’ensemble de vos données personnelles.

Vous avez peut-être même commencé à identifier des leviers d’actions ou des questions plus précises :

Appliquer les durées de conservation : c’est illégal de conserver les données personnelles à l’infini. A chaque type de donnée correspond une date maximale de conservation. A titre d’exemple les images de vidéosurveillance peuvent être enregistrées jusqu’à 30 jours maximum. A l’échéance, il faudra supprimer la vidéo. Vous devez prendre position sur la durée de conservation de chacune de vos données.

Vigilance sur les données sensibles : Certaines données nécessitent une attention particulière. Cela concerne une dizaine de catégories de données telles que les informations relatives à la santé ou aux condamnations pénales. Vous devez avoir une certaine forme de légitimité à détenir ses données et le RGPD vous demande un certain nombre de prises de précautions particulières.

Mettre à jour vos sites internet et formulaires :

Un certain nombre de contraintes de sécurité et d’information s’appliquent désormais aux sites internes. Il faut renforcer l’information aux internautes grâces aux mentions légales et aux politiques de confidentialité. Aussi il faut recueillir le consentement des utilisateurs lorsqu’ils font certaines actions. C’est pour cela qu’on l’on voit désormais des bannières pour accepter les cookies ou donner son consentement avant d’envoyer un formulaire de contact. Il faut aussi augmenter le niveau de sécurité des sites grâce à des bonnes pratiques comme la mise en place d’un certificat de sécurité HTTPS. D’autres obligations rgpd s’appliquent pour les sites e-commerce.

Avoir une procédure en cas de faille de sécurité :

Personne n’est à l’abri d’une faille de sécurité : ce peut être la perte d’un ordinateur dans le TGV, le piratage par un hacker, un vol de données par un salarié. Le RGPD demande un formalisme strict dans le traitement des failles de sécurité. Cela passe par la notification à la CNIL dans les heures qui suivent ce qui impose d’avoir une bonne méthodologie. Vous êtes aussi susceptible de devoir informer directement les personnes dont les données ont pu être compromises pendant la faille.

Respecter le droit des personnes :

Les utilisateurs ont un des droits qu’ils doivent pouvoir exercer

  • Droit d’accès
  • Droit d’opposition
  • Droit de rectification
  • Droit à l’oubli
  • Droit à la portabilité
  • Droit au refus de décisions automatisées
  • Droit à la limitation du traitement des données

Former vos salariés qui manipulent des données personnelles :

Pour que votre conformité RGPD soit pertinente dans le temps, il convient d’identifier les salariés qui interviennent sur des données personnelles et les classer par niveau d’impact. Vous pouvez avoir les commerciaux qui utilisent le CRM, l’équipe administrative, l’équipe informatique, etc

En fonction du risque et pour être crédibles par rapport à ceux qui pourraient devoir traiter des demandes clients, il faut prévoir une formation pour leur permettre d’avoir la culture sur ce sujet RGPD.

Se préparer en cas de contrôle RGPD : En France, c’est la CNIL (Commission Nationale Informatique et Liberté) qui est habilitée à mener un contrôle rgpd.

Conclusion : Le RGPD est finalement un travail continu.

On se rend compte que les traitements risque d’évoluer au fil du développement de votre entreprise et de l’évolution des technologiques que vous utilisez.

Il est fortement recommandé de faire appel à un professionnel pour vous aider dans cette démarche.

Se mettre en conformité par rapport au RGPD peut sembler être une mission fastidieuse si vous ne l’avez jamais fait auparavant Il y a beaucoup d’informations à suivre et il est possible de se perdre dans les méandres.

Vous ne devez pas être frustré par l’importance de la tâche qui vous attend. Une fois que vous avez choisi d’être conforme vous pourrez vous faire épauler par certains spécialistes.

Comme vous l’avez peut-être compris à la lecture de cet article, en travaillant avec méthode il est possible d’être conforme au RGPD et d’apporter de la valeur pour vos

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.