Comment être sûr que votre entreprise répond aux normes RGPD ?

Le règlement général sur la protection des données (RGPD) est une nouvelle règlementation européenne qui consiste à protéger les données à caractère personnel des personnes concernées. Les entreprises et leurs sous-traitants doivent se conformer à ce nouveau règlement. Une violaton des droits et libertés des personnes est passible de sanctions imposées par la CNIL. Comment savoir si son entreprise est bien en conformité au RGPD ? Voici tout ce qu’il faut savoir sur le rgpd en entreprise.

La tenue d’un registre entreprise de traitement de données

Le responsable du traitement est dans l’obligation de tenir un registre des traitements pour avoir une vue d’ensemble sur les données personnelles collectées et traitées. C’est un document qui permet d’avoir une vision claire et élaborée sur la sécurité des données.

Les actions pour le respect de la vie privée des personnes seront alors mises en œuvre, avec un bilan complet et détaillé de toutes les procédures. Le registre doit comporter :

  • Les responsables de traitement, les prestataires et les sous-traitants ;
  • Les finalités des traitements de données : prospection, sondage à grande-échelle ;
  • La nature des données ;
  • L’origine et la destination ainsi que la durée de conservation des données.

 

La désignation d’un DPO : Le délégué à la protection des données

Pour vous aider dans votre démarche de mise en conformité, cette entreprise vous sera d’une aide précieuse.

Le responsable de traitement doit nommer un délégué à la protection des données (DPO) ou data protection officer en anglais. Ce dernier a pour rôle de piloter et de superviser toute la démarche de mise en conformité au rgpd en entreprise.

 

Les missions du DPO

Le data protection officer doit informer les personnes des démarches de conformité au règlement du rgpd entreprise. Il effectue également une évaluation et une recommandation de l’étude d’impact. C’est l’intermédiaire entre l’entreprise et l’autorité de contrôle.

 

Les obligations du DPO

Le DPO doit être informé de chaque étape pour étudier les traitements. C’est à lui qu’incombe la tache de sensibiliser les dirigeants avec un suivi de la mise en conformité dans le temps.

 

La mise en place d’un plan d’action

La collecte, le stockage et l’effacement des données doivent se faire selon les normes en vigueur : avec le consentement de la personne concernée, dans le respect de la vie privée. Le droit à l’oubli et le droit à la portabilité sont aussi bien à respecter.

Toutes les parties prenantes doivent alors être avisées pour réduire les risques et assurer la sécurité des données conservées.

 

L’analyse d’impact et la gestion des risques

Une analyse d’impact relative à la protection des données est obligatoire. L’analyse consiste à définir les causes d’un risque et déterminer les points de non-conformité au rgpd en entreprise.

Les mesures techniques et les conditions organisationnelles adéquates sont également à mettre en œuvre pour que les traitements soient effectués dans le respect des droits des personnes physiques. Les analyses sont aussi réalisées pour écarter les risques.

Une bonne analyse d’impact va faciliter la mise en place de procédures internes en adéquation. Toutes les équipes doivent bénéficier d’une formation spécifique.

 

La documentation : Preuve de la mise en conformité

Pour démontrer la conformité, le responsable de traitement doit disposer de preuve documentaire, c’est le principe d’accountability. Ces documents sont :

  • Les traitements de données : le registre de traitement, l’analyse d’impact, le transfert de données hors UE ;
  • Les informations collectées : les mentions d’information, les modèles de recueil de consentement, les procédures pour le respect des droits des personnes ;
  • Les contrats : avec les sous-traitants, les procédures en cas de violation des traitements de données.

Pour garantir une conformité réussie, l’audit RGPD est la solution idéale : audit CNIL, audit de conformité, audit sous-traitant ou encore audit de site web.