Depuis le 25 mai 2018, les entreprises qui utilisent les données personnelles des internautes résidant sur le territoire de l’Union européenne sont obligées de se conformer à une législation visant à protéger lesdites données. Il s’agit du Règlement Général sur la Protection de Données personnelles (RGPD) qui encadre la collecte et le traitement des données personnelles recueillies par les entreprises concernées, toutes tailles confondues. Voici les étapes à respecter pour une mise en conformité RGPD efficace.
La désignation d’un pilote DPO
Le délégué à la protection des données (Data Protection Officer, DPO) est l’autorité désignée pour s’assurer de la bonne gestion des informations personnelles recueillies par l’entreprise. Il exerce une mission d’information, de conseil et de contrôle en interne. Le DPO vise la transparence et préconise diverses solutions à son entreprise pour mettre en place un programme de mise en conformité RGPD de son site web.
Il recommande généralement l’utilisation de solutions logicielles sur-mesure permettant de personnaliser rapidement et facilement les politiques de confidentialité, les politiques de cookies, les bannières de consentement aux cookies, tout ceci en fonction des utilisateurs du site internet de la société. Ces solutions assurent le respect scrupuleux du droit des internautes, tout en instaurant entre l’entreprise et ses clients une relation de confiance grâce à une transparence de l’information.
La cartographie des traitements de données personnelles
Il s’agit d’établir un registre des traitements de données pour pouvoir mesurer l’impact du RGPD sur vos activités. Il est donc nécessaire de :
- déterminer les diverses catégories de données personnelles traitées,
- identifier les acteurs internes ou externes qui s’occupent du traitement des informations,
- déterminer les objectifs poursuivis en effectuant chaque traitement,
- définir le flux montrant l’origine et la destination des données.
La définition des actions à mener en priorité
Après le tri des informations que vous détenez, il faut identifier les activités à exécuter en priorité pour se conformer aux exigences du règlement européen RGPD.
La priorisation se fait en prenant en compte la gravité du risque que chaque traitement effectué fait peser sur les droits et les libertés des personnes concernées.
La gestion des risques liés aux données personnelles
Pour chaque traitement présentant des risques élevés pour les droits et les libertés des personnes concernées, vous êtes tenu d’effectuer une analyse d’impact relative à la protection des données (AIPD).
L’organisation des processus dans l’entreprise
Le DPO doit veiller à ce que la conception d’une application ou d’un site web prenne forcément en compte la protection des données personnelles (cookies, mentions d’informations, durée de conservation des informations, recueil du consentement…).
Par ailleurs, l’organisation des processus implique la mise à disposition des moyens financiers et technologiques permettant d’anticiper la violation des données. La cellule de gestion doit pouvoir traiter convenablement les réclamations et les demandes des personnes concernées en ce qui concerne l’exercice de leurs droits.
La formation du personnel de l’entreprise
Sous la supervision du DPO, un plan de communication auprès des collaborateurs doit être élaboré pour sensibiliser ces derniers sur les rôles qui leur incombent dans le processus de mise en conformité RGPD.
La documentation pour la mise en conformité RGPD
Les actions et documents réalisés à chaque étape doivent être accessibles pour un examen continu et une actualisation régulière. La documentation doit principalement comporter :
- Le registre des traitements,
- Les analyses d’impact relatives à la protection des données,
- L’encadrement des transferts de données hors de l’Union européenne,
- Les procédures instaurées pour l’exercice des droits,
- Les mentions d’information,
- Les modèles de recueil du consentement des personnes,
- Les procédures internes en cas de violation des données.
La mise en conformité RGPD de votre entreprise peut se faire facilement en suivant quelques étapes simples. Pour renforcer son efficacité, n’hésitez surtout pas à utiliser les dernières solutions logicielles RGPD adaptées à votre structure.