Solutions

Tour d’horizon des principales obligations du RGPD

Date: 2020-07-08

Êtes-vous en conformité RGPD ?

Plus de deux ans après leur entrée en vigueur, de nombreuses entreprises sont en retard pour l’intégration dans leurs projets de ces nouvelles exigences. La donnée personnelle est pourtant partout et les obligations à respecter sont multiples. Registre, transparence, consentement, accountability, revue des fournisseurs, sécurité informatique… En voici un panorama.

Conformité RGPD – Qu’est-ce qu’une donnée à caractère personnel ?

Les données à caractère personnel sont un ensemble très vaste qui, prises individuellement ou combinées entre elles, permettent d’isoler une personne d’un groupe donné. Elles sont présentes dans tous vos systèmes d’information et comprennent :

  • des données courantes (nom, prénom, adresse postale ou e-mail, numéro de téléphone...) ;
  • des données ayant un impact élevé sur la vie privée (données RH, données de géolocalisation...) ;
  • des données sensibles (état de santé, opinions politiques ou religieuses, orientation sexuelle, numéro de sécurité sociale...)

Désigner un DPO pour organiser la mise en conformité RGPD

La mise en conformité RGPD concernera toutes vos directions et activités dès lors que des données personnelles sont traitées. Pour plus d’efficacité, ce chantier devra donc être coordonné par un référent. Dans certains cas, la désignation d’une fonction dédiée, le Délégué à la Protection des Données (ou Data Protection Officer), est même obligatoire. C’est le cas par exemple pour les collectivités territoriales ou pour certaines sociétés technologiques.

Recenser les traitements de données soumis au RGPD

Avez-vous réalisé un état des lieux de vos bases ? Les données à caractère personnel peuvent prendre de multiples formes, structurées (fichiers textes, bases de données) ou non (contrats, champs de commentaires libres…). Vous devez par conséquent constituer un registre décrivant les traitements de données opérés. Chaque fiche centralisera les caractéristiques principales de chacun d’eux :

  • quelles données sont traitées ?
  • dans quels objectifs ?
  • qui en est destinataire ?
  • combien de temps sont-elles conservées ? Etc.

Ce recensement vous permettra ainsi d’évaluer les risques de non-conformité RGPD. Vous serez en mesure de prioriser vos efforts sur les projets les plus sensibles.

Avec le RGPD, plus de transparence et de consentement

Vous traitez vraisemblablement les données de prospects, de clients, de fournisseurs, de collaborateurs ou de partenaires ? Plus encore qu’avant, vous allez devoir faire preuve de transparence quant à la manière dont les traitements de données sont opérés. Ceci vous amènera à créer divers supports d’information et à revoir les existants :

  • politique de confidentialité sur un site internet ;
  • mentions au bas des formulaires de collecte de données ;
  • notice d’information aux salariés...

Vous devrez aussi revoir vos parcours utilisateurs afin de recueillir leur consentement. Cela se fera de diverses manières :

  • cases cochables sur des formulaires pour autoriser les opérations de prospection ;
  • sollicitation orale d’un consentement par les conseillers clients ;
  • interface de demande de consentement pour le dépôt de cookies…

Si vous traitez des données sensibles, vous devrez aussi collecter un consentement spécifique.

Accountability, Privacy by design, les concepts phares de la conformité RGPD

Le RGPD impose désormais une conformité RGPD globale des traitements de données. Cela repose sur trois concepts phare :

  • Accountability. Restriction d’accès, limitation des champs de données et des finalités, purges automatiques... Implémentez dans vos outils les mesures adéquates en termes de protection et de sécurité des données.
  • Privacy by design. Intégrez ces mesures le plus tôt possible, dès la phase de conception de vos nouveaux projets ou à l’occasion d’évolutions structurantes de vos outils. Vous maîtriserez ainsi mieux vos coûts et votre calendrier
  • Privacy by default : Ne collectez pas de données inutiles. Restreignez les champs de collecte de vos formulaires, paramétrez correctement vos outils pour ne pas collecter plus que nécessaire.

Vos projets les plus structurants devront faire l’objet d’une **analyse d’impacts relative à la protection des données **(DPIA). Celle-ci vous permettra de déterminer plus finement les mesures à intégrer au projet.

Vérifier la conformité RGPD des fournisseurs

Votre entreprise est responsable des traitements de données opérés en interne par vos collaborateurs** mais aussi en externe par vos fournisseurs et sous- traitants**. Vous devrez donc :

  • vérifier leur maturité au RGPD ;
  • signer des avenants complémentaires pour cadrer la protection des données à caractère personnel ;
  • signer des clauses spécifiques en cas de transferts de données hors Union Européenne (tel est le cas si le sous-traitant est basé au Maroc ou transfère des données à sa maison-mère aux Etats-Unis).

Prendre en charge les droits RGPD

Les personnes dont vous traitez les données peuvent vous demander notamment :

  • de leur communiquer les données à votre disposition ;
  • de les rectifier ou les supprimer ;
  • de cesser leur traitement, par exemple en se désabonnant à des bases de newsletters ou de prospection.

La prise en charge de ces demandes doit concerner toutes les bases stockant des données. C’est pourquoi un plan de conformité RGPD nécessite d’élaborer des procédures décrivant pour chaque type de demande les étapes à suivre. Une prise en charge correcte des réclamations est indispensable pour éviter que la CNIL ne soit saisie de plaintes à l’encontre de votre société.

La sécurité informatique, pilier de la conformitéRGPD

Assurer la sécurité des bases de données est majeur, notamment celles contenant des données personnelles. Vous devrez en conséquence établir un plan prévoyant des mesures adaptées pour chaque couche informatique de votre infrastructure. La sécurité informatique est le socle de base de votre conformité RGPD. L’une de vos bases de données a été hackée ? Un salarié a envoyé par mail un fichier de données par erreur ? Les devis et factures de vos clients sont accessibles en ligne ? Toutes ces violations de données devront être notifiées à la CNIL sous 72h. Voilà qui nécessite une autre procédure couvrant la détection de la violation, la minimisation du dommage et la notification. Vous aurez peut-être aussi à informer les personnes concernées par cette violation.

Dotez-vous des outils nécessaires à votre conformité RGPD

Le RGPD est une réglementation consistante. L’intégration de ces exigences dans vos activités nécessitera un effort soutenu qui devra être porté par le référent interne avec l’aval des directions concernées. Vous pouvez vous appuyer sur de nombreuses ressources, la reconnaissance de langage naturel par exemple, et sur des outils pour automatiser certaines tâches répétitives. Voilà qui allégera la tâche tant de votre Délégué à la Protection des Données que des équipes métiers. Tout en s’assurant d’une meilleure optimisation de votre conformité RGPD

Auteur : Maxime Jaillet

Temps de lecture : 7 minutes

Prêt à extraire l'or dans vos données ?

Vous souhaitez en savoir plus sur le NLP ? Envoyez-nous un message ou inscrivez-vous gratuitement sur la plateforme Lettria pour vous lancer.

S'inscrire

S'inscrire à notre newsletter

Recevez tous les mois les actualités de Lettria.