Comment se mettre en conformité RGPD ? Les différentes étapes

Publié le 12 octobre 2021



Retrouvez les étapes clés pour assurer votre conformité RGPD.
Au delà d’une contrainte technique ou juridique, c’est avant tout l’occasion de s’assurer de la protection des données à caractère personnel au sein de votre organisation.



Qu’est ce que la conformité RGPD ?

Comment se mettre en conformité RGPD ? Les différentes étapes

Il est important de comprendre que la conformité RGPD correspond à un processus assimilé à une démarche d’amélioration continue de la qualité et non à un état. Ainsi la mise en conformité RGPD poursuit 3 objectifs :

  • Protéger les personnes physiques face à l’utilisation de leurs données à caractère personnel susceptibles de les identifier de manière directe ou indirecte
  • Renforcer la confiance et l’éthique dans le traitement des données à caractère personnel
  • Responsabiliser les entreprises, administrations … face au traitement des données à caractère personnel

 

Afin d’assurer la protection optimale de ces données, les entités ont donc l’obligation de mettre en œuvre toutes les mesures nécessaires pour pallier les risques. Ces mesures doivent être démontrables en tout temps lors :

  • d’incident de sécurité,
  • de plainte,
  • ou de contrôle de la CNIL.




Les étapes clés pour se mettre en conformité RGPD

1- Désigner un référent RGPD (DPO)

Désigner un pilote RGPD au sein de votre organisation est un point fort. Il exerce à la fois la mission d’information, de conseil et de contrôle en interne.

Important, certains organismes sont dans l’obligation de désigner un DPO ou DPD en français (Délégué de la Protection des données). Il s’agit :

  • des organismes publics (sauf exceptions),
  • des entreprises, associations … qui traitent des données sensibles et/ou à grande échelle,
  • des entreprises, associations … dont l’activité de base consistent en des opérations de traitement qui du fait de leur nature, portée ou/et finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées (exemple suivi et analyse du comportement)

 

Il peut être désigné en interne, ou de manière indépendante en faisant appel à un DPO externe.

2 – Cartographier les données à caractère personnel

La cartographie correspond au recensement précis du traitement des données à caractère personnel de l’entreprise. C’est un point de départ essentiel pour avoir une vue d’ensemble sur le traitement des données et permettre une meilleure accessibilité et une meilleure compréhension.

De manière concrète la cartographie passe par la création d’un registre de traitement des données.

3 – Documenter le traitement des données

Afin de prouver votre conformité au règlement, il est indispensable de la documenter de manière détaillée. Ainsi les entités doivent construire et mettre à disposition en cas de contrôle ce qu’on appelle un registre de traitement des données.

Ce dernier devra compiler toutes les données et justifier :

  • La finalité du traitement
  • La base légale
  • Le recueil de consentement
  • Le type de données recueillies
  • Leur durée de conservation
  • Le ou les acteurs du traitement
  • Les conditions du traitement
  • L’information des personnes
  • Les sécurités
  • Les transferts

 

La cartographie et le registre de traitement des données vont notamment permettre de trier les données afin de conserver uniquement celles strictement nécessaires pour l’entreprise. C’est le principe de minimisation des données.

4 – Prioriser les actions de mise en conformité

Une fois que vous avez identifié les différents traitements, vous devrez pour chacun d’entre eux mettre en œuvre des actions de mise en conformité. A ce niveau-là, une priorisation est indispensable pour agir au regard des risques qui pèsent sur eux.

Par exemple, certains traitements sont susceptibles d’engendrer des risques élevés. Dans ce cas, il est nécessaire de mettre en place une AIPD : Analyse d’impact relatif à la protection des données. L’objectif est de proposer des solutions de sécurisation techniques adaptées.

5 – La gouvernance : former et informer vos collaborateurs

La mise en conformité d’une organisation ne concerne pas uniquement les dirigeants. Pour assurer une protection optimale des données à caractère personnel, nous préconisons la mise en place de procédures internes. Cela passe notamment par la sensibilisation et la remontée d’information auprès de vos collaborateurs par le biais :

  • de formations
  • d’actions de communication.

Besoin de conseils pour votre mise en conformité RGPD ?
Faites appel à un professionnel comme AP3R !