Une démarche de mise en conformité RGPD : pour qui, pourquoi et comment ?

Le , par Harmonie Peynot - RGPD.

Pour qui ?

En matière de protection des données personnelles, le “tous concernés” s’applique.

Il n’est pas nécessaire de traiter des données personnelles sensibles (données de santé, biométriques,…) ou à très grande échelle pour être concerné par la protection des données. 

Tous les organismes, publics ou privés, quelles que soient leurs missions, quelle que soit leur taille, sont concernés par les obligations liées au Règlement Général sur la Protection des données (RGPD) et la Loi Informatique et Libertés (LIL). 

Cela inclut également les associations, les fondations ou encore les PME (petite ou moyenne entreprise).

Pourquoi ?

Tout d’abord parce qu’il s’agit d’une obligation réglementaire, évidemment. 

Mais pas seulement ! Une démarche de conformité RGPD ne doit pas être vue comme une contrainte. Il s’agit d’une opportunité de garantir la bonne gestion des données qui vous sont confiées augmentant ainsi la confiance de vos bénéficiaires, clients ou salariés. C’est également l’occasion de revoir et d’optimiser vos processus internes et vos mesures de sécurité.

En parallèle, vous réduisez le risque de plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) et de sanctions. Pour mémoire, la CNIL peut émettre des sanctions, rendues publiques ou non, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’organisme.

Comment ?

Une démarche de mise en conformité RGPD nécessite un chef d’orchestre. Il s’agit du Délégué à la Protection des Données (DPO), qui peut être désigné en interne (sous réserve de disposer des compétences nécessaires et d’une absence de conflit d’intérêt) ou via un prestataire externe.

Le point de départ indispensable pour toute démarche RGPD est la création du registre des traitements. Élément fondateur et obligatoire de la documentation RGPD, il détaille les caractéristiques de chaque traitement de données réalisé et permet d’identifier les potentielles non-conformités. La première question à se poser est donc : ai-je un registre des traitements et est-il à jour ?

Puis vont se dérouler plusieurs axes de travail :

  • la formation des salariés,
  • l’analyse et la mise en conformité des traitements,
  • la contractualisation avec vos sous-traitants,
  • l’information des personnes,
  • la gestion des demandes d’exercice de droits,
  • la gestion des violations de données,

L’objectif est d’impulser une dynamique d’amélioration continue qui permettra à votre organisme de prendre les bons réflexes et de tenir à jour la documentation et les procédures nécessaires au fil de l’eau.

Vous souhaitez échanger sur vos obligations RGPD et découvrir les accompagnements proposés par l’équipe RGPD de Temesis ? Contactez-nous.