La mise en conformité au RGPD est un processus complexe nécessitant l’intervention à tout le moins d’un informaticien ainsi que d’un avocat. En effet, il s’agit d’assurer une sécurité informatique adéquate ainsi qu’une organisation des données permettant de limiter les données traitées.

Phase 1 : Mise en place de la conformité RGPD :

La première phase marque désignation d’un pilote : cette étape consiste à nommer un délégué à la protection des données qui peut être le dirigeant de l’entreprise.

Phase 2 : Organisation de la mise en conformité au RGPD

  • cartographie des traitements de données personnelles : il s’agit d’élaborer un registre des traitements permettant de faire le point sur les catégories de données personnelles (afin de déterminer s’il s’agit de données sensibles, de données relatives au recrutement, à la gestion de paye, à la formation à la gestion des clients et prospects etc…), les objectifs poursuivis, les acteurs, les flux). La cartographie reprendra a minima les éléments suivants :
  • la finalité du traitement (pourquoi est-ce que ma structure collecte des données et quelle est la limite de la collecte et du traitement ?),
  • la durée de conservation des données (elle dépend de la finalité),
  • les catégories de données (est-ce qu’il s’agit de données sensibles ?),
  • les personnes concernées par les données,
  • les destinataires des données (c’est-à-dire déterminer les personnes ayant accès aux données),
  • les mesures de sécurité appliquées au traitement,

L’organisation du traitement des données personnelles implique l’insertion d’une clause « RGPD » au sein des contrats et des conditions générales de vente. En cas de doute sur l’application du droit des données personnelles à une relation contractuelle, il convient d’insérer une clause RGPD. En effet, une adresse email professionnelle dont le format serait « nom.prénom@nomdelasociete.com » serait qualifiée de donné personnelle dès lors qu’elle contient un nom et un prénom. L’exposition au droit des données personnelles est par conséquent constante.

Il est nécessaire d’envisager la minimisation des données, c’est-à-dire de prévoir de ne collecter que les données strictement nécessaires afin de mener l’activité visée. La mise en conformité au RGPD constitue une occasion d’améliorer les pratiques internes.

  • établissement des priorités : en fonction de la sensibilité des données – qui aura été établie lors de la cartographie – les actions à mener seront priorisées, des mesures afin de procéder à l’effacement des données qui ne seraient pas strictement nécessaires seront proposées (sous réserve du délai de prescription applicable à chaque contrat), les mentions d’information des personnes concernées seront revues et si besoin des propositions de modifications seront faites, enfin des modalités d’exercice des droits d’accès, de rectification et de retrait notamment seront proposées ;

Phase 3 : La protection du responsable de traitement face au risque

  • gestion des risques : pour les données personnelles susceptibles d’engendrer des risques élevés une étude d’impact relative à la protection des données sera menée – seront ainsi effectuées une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une évaluation des risques pour les droits fondamentaux.

À retenir : bien que la protection informatique et l’amélioration du traitement des données en interne permettra de limiter les risques il convient de se préparer à toute éventualité. Les données présentant les risques les plus élevés (données concernant notamment la religion, l’adhésion syndicale etc…) feront l’objet d’un traitement particulier.

Phase 4 : Amélioration de l’organisation interne et préparation à un contrôle par la CNIL

  • organisation des processus internes : des processus internes seront proposés afin de pallier aux risques de faille de sécurité informatique de la création à la destruction de la donnée, et ce afin de faire face aux demandes de modifications des données (droit de rectification, droit d’opposition etc…) ;
  • documentation de la conformité : le responsable de traitement a la charge de la preuve de la conformité au RGPD, cela signifie qu’il doit constituer la documentation afin de faire face à un éventuel contrôle par la CNIL – cette étape est marquée par la création de deux registres des traitements permettant de recenser les traitements de données et de disposer d’une vue d’ensemble sur le traitement des données (les registres informent notamment sur les catégories de données, le temps de conservation, la sécurisation) ;
  • former les associés et collaborateurs : il convient de prévoir une charte de collecte et de traitement des données personnelles et d’assurer une formation continue du personnel de la structure. La mise en conformité du traitement des données est en perpétuelle évolution et devra faire l’objet d’un suivi régulier. A ce titre le site de la CNIL permet de suivre l’évolution de la réglementation et des bonnes pratiques.

Le cabinet peut vous fournir un modèle de registre afin de vous aider dans votre mise en conformité RGPD.