Comment se mettre en conformité RGPD ? Les 4 étapes indispensables

Mai 17, 2022
4.9/5 - (24 votes)

Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, la responsabilité des organismes est renforcée. En effet, tous les organismes doivent assurer une protection optimale des données qu’elles recueillent et doivent également pouvoir le démontrer en documentant leur conformité.

Voici les points clés à prendre en compte pour une parfaite conformité RGPD :

Etape 1 : Désigner un DPO (DPD en français)

Afin de pouvoir piloter la gouvernance des données personnelles de votre entreprise, il est important de désigner une personne qui aura la mission de gérer cet aspect-là. Le DPO peut être interne ou externe à l’entreprise mais son rôle reste le même à savoir :

  • Coopérer avec les autorités de contrôle et être le point de contact pour toutes les questions
  • Conseiller l’entreprise sur la réalisation d’études d’impact concernant la protection des données
  • Contrôler le respect du règlement en matière de protection des données
  • Informer et conseiller le responsable de traitement

En règle générale, la désignation d’un DPO est obligatoire si vous êtes :

  • Un organisme public
  • Une entreprise où vous devez réaliser un suivi régulier et systématique de personnes à grande échelle
  • Une entreprise où vous devez traiter des données « sensibles » à grande échelle

Dans les autres cas, la désignation d’un DPO n’est pas obligatoire mais fortement recommandée afin d’assurer la mise en conformité du règlement européen.

Etape 2 : Cartographier vos traitements de données personnelles

L’élaboration d’un registre des traitements est important car il permet de faire le point sur les données collectées par l’entreprise, d’avoir une vision d’ensemble sur vos traitements de données.

Il est donc primordial d’identifier les activités principales ou des données personnelles sont collectées (gestion des badges, gestion de la paye, recrutement,…). Pour chaque activité, vous devez préciser :

  • L’objectif poursuivi (ex : fidélisation des clients)
  • Les catégories de données que vous utilisez (ex : nom, prénom, adresse email)
  • Qui a accès aux données (ex : service informatique)
  • La durée de conservation des données (ex : 1 an)

Etape 3 : Gérer les risques

Une fois la cartographie des traitements réalisée, il est important d’identifier si des données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Si c’est le cas, une Analyse d’Impact relative à la Protection des Données (AIPD ou DPIA en anglais) doit être menée pour chaque traitement.

Etape 4 : Documenter

La documentation est également indispensable pour prouver votre conformité par rapport au règlement européen. Qui plus est, cette documentation doit bien évidemment être réexaminée et actualisée régulièrement pour s’assurer que tout est en ordre. Votre dossier devra donc comporter certains éléments comme :

  • Le registre de traitement
  • Les AIPD
  • L’encadrement des transferts de données hors de l’Union Européenne
  • Les procédures internes en cas de violation de données
  • Les contrats avec les sous-traitants