Comment se mettre en conformité RGPD ? Les différentes étapes

1- Désigner un référent RGPD (DPO)

Désigner un pilote RGPD au sein de votre organisation est un point fort. Il exerce à la fois la mission d’information, de conseil et de contrôle en interne.

Important, certains organismes sont dans l’obligation de désigner un DPO ou DPD en français (Délégué de la Protection des données). Il s’agit :

• des organismes publics (sauf exceptions),
• des entreprises, associations … qui traitent des données sensibles et/ou à grande échelle,
• des entreprises, associations … dont l’activité de base consistent en des opérations de traitement qui du fait de leur nature, portée ou/et finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées (exemple suivi et analyse du comportement)

Le DPO peut être désigné en interne, ou de manière indépendante en faisant appel à un DPO externe.

Retrouvez tous nos conseils pour la désignation de votre DPO.

2 – Cartographier les données à caractère personnel

La cartographie correspond au recensement précis du traitement des données à caractère personnel de l’entreprise. C’est un point de départ essentiel pour avoir une vue d’ensemble sur le traitement des données et permettre une meilleure accessibilité et une meilleure compréhension.

De manière concrète la cartographie passe par la création d’un registre de traitement des données.

3 – Documenter le traitement des données

Afin de prouver votre conformité au règlement, il est indispensable de la documenter de manière détaillée. Ainsi les entités doivent construire et mettre à disposition en cas de contrôle ce qu’on appelle un registre de traitement des données.

Ce dernier devra compiler toutes les données et justifier :

• La finalité du traitement
• La base légale
• Le recueil de consentement
• Le type de données recueillies
• Leur durée de conservation
• Le ou les acteurs du traitement
• Les conditions du traitement
• L’information des personnes
• Les sécurités
• Les transferts de données (hors UE ou intra UE)
• …

La cartographie et le registre de traitement des données vont notamment permettre de trier les données afin de conserver uniquement celles strictement nécessaires pour l’entreprise. C’est le principe de minimisation des données.

4 – Prioriser les actions de mise en conformité

Une fois que vous avez identifié les différents traitements, vous devrez pour chacun d’entre eux mettre en œuvre des actions de mise en conformité. A ce niveau-là, une priorisation est indispensable pour agir au regard des risques qui pèsent sur eux.

Par exemple, certains traitements sont susceptibles d’engendrer des risques élevés. Dans ce cas, il est nécessaire de mettre en place une AIPD : Analyse d’impact relatif à la protection des données. L’objectif est de proposer des solutions de sécurisation techniques adaptées.

5 – La gouvernance : former et informer vos collaborateurs

La mise en conformité d’une organisation ne concerne pas uniquement les dirigeants. Pour assurer une protection optimale des données à caractère personnel, nous préconisons la mise en place de procédures internes. Cela passe notamment par la sensibilisation et la remontée d’information auprès de vos collaborateurs par le biais :

• de formations
• d’actions de communication.

Besoin de conseils pour votre mise en conformité RGPD ?
Faites appel à un professionnel comme AP3R !