5 étapes claires pour passer au RGPD dans votre entreprise.

Rédigé par Emmanuel Tiberi, Consultant Systèmes d’Information.

Le RGPD tout le monde en parle, mais comment se mettre en conformité dans une PME ? Au-delà de l’aspect juridique dont nous parlons dans un autre article, nous vous proposons ici une méthode simple en 5 étapes pour passer à l’action et vous mettre en conformité.

 

1. Nommer un pilote

Derrière tout projet qui réussit, il y a un chef de projet. Pour tous les organismes publics ou pour les entreprises qui effectuent certains traitements (traitements à grande échelle, traitement de données sensibles, traitement qui nécessitent un suivi particulier et systématique des personnes concernées), il convient de nommer un DPO, Data Privacy Officer ou délégué à la protection des données. Dans les autres cas, le DPO n’est pas obligatoirement recommandé et on penchera plutôt pour un pilote formé.

 

2. Constituer une équipe

Il est important de constituer un groupe de travail autour du RGPD. Ce groupe de travail peut être constitué du DPO s’il y en a un ou du pilote de la démarche, mais aussi des Ressources Humaines, des Systèmes d’Information, du commerce, du marketing…

 

3. Réaliser un état des lieux juridique et technique

Pour commencer dans la démarche, un état des lieux s’impose. Lors de cet état des lieux ou audit flash, on va identifier les écarts de conformité d’un point de vue juridique et d’un point de vue technique sur les données et leur traitement.

 

Sur le plan juridique, les principaux points à étudier sont :

– la conformité des sites web : existe-t-il des mentions légales, y a-t-il des mentions sur les formulaires de collecte, informe t on les internautes sur l’utilisation de cookies.

– la conformité des principaux contrats : charte utilisateur informatique, charte client, etc.

– le référencement des contrats de sous-traitance concernés par la règlementation.

 

Sur le plan technique, il convient de travailler sur les données, leur stockage et leur traitement.

Dans un premier temps, vous identifiez la sécurisation (politique de sécurité) et la documentation du Système d’Information au regard des bonnes pratiques (ITIL) : sécurité du réseau, stockage interne ou cloud, gestion des sauvegardes, accès aux applications, aux lecteurs partagés, politique de mots de passe ou de désactivation des comptes, suivi des accès à distance.

 

Ensuite, c’est le traitement des données personnelles qui doit être observé et cartographié : – où sont les données personnelles (par exemple paie, commerce, vidéo surveillance et quels sont les risques associés ?

– quelles procédures sont associées à ces traitements ?

– quelles architectures soutiennent ces applications et quels sont les niveaux d’externalisation de ces applications ?

Généralement, cet état des lieux ou audit aboutit à une cartographie des flux de données personnelles. Cette cartographie peut être réalisée grâce à des entretiens avec les personnes chargées du traitement des données personnelles. Lors de ces entretiens on pourra poser des questions telles que :

– quels sont les logiciels que vous utilisez pour réaliser votre mission ?

– d’où proviennent les informations, d’un email, d’un import de fichiers, d’une extraction d’un logiciel commercial par exemple ?

– quelles informations transmettez-vous et à qui ?

Ces entretiens peuvent être complétés par des entretiens avec les collaborateurs du service IT pour identifier les bases de données et les serveurs qui soutiennent les applications et le stockage des données.

 

4. Se mettre en conformité

Pour rendre votre démarche opérationnelle, vous pouvez réaliser une feuille de route qui définit les actions à mener en fonction des failles et des non conformités et qui priorise les actions.

Votre feuille de route contiendra probablement les actions suivantes :

– mettre en œuvre un registre de traitement des données

– mettre en œuvre des procédures (privacy by design, notification des violations de données, gestion des réclamations et des plaintes, …)

– actualiser la communication aux personnes des informations relatives au traitement et au recueil de leur consentement

– mettre en place un politique de durée de conservation

– améliorer la sécurité physique et informatique des données : politique de mot de passe, chiffrement, anonymisation, isolation de certaines données, etc.)

– Encadrer contractuellement les traitements : transferts, sous-traitance, prestataires externes, …

– établir une politique de protection des données personnelles : mise à jour du règlement Intérieur, de la charte informatique, …

 

5. Intégrer la dimension RGPD dans vos futurs projets

A l’avenir, et une fois ces étapes réalisées, pensez à intégrer la démarche RGPD dans tous les projets de l’entreprise. Assurez-vous qu’il existe un processus d’amélioration continue et que vous êtes en mesure de démontrer la démarche et la mise en conformité en cas de contrôle ou de fuite de données.

Veillez également à intégrer la mise en conformité RGPD dès la première phase de vos projets ou lors des changements d’organisation et des évolutions informatiques afin que cette contrainte devienne une opportunité structurante pour votre entreprise et les équipes qui la composent.

 

 



Retrouvez tout le dynamisme de Deuzzi sur notre blog

04 72 67 03 55

En continuant à utiliser le site, vous acceptez l'utilisation des cookies. Plus d'informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer