Faire appliquer le RGPD au sein d'une entreprise

Le Règlement Général sur la Protection des Données (RGPD) est une réglementation de l'Union européenne (UE) qui vise à réglementer l'usage des données personnelles des individus et à protéger ces dernières.

Pour les entreprises, la conformité au RGPD est essentielle non seulement pour éviter des amendes, mais aussi pour gagner la confiance des clients.

Voici quelques obligations pour aider les entreprises à se conformer au RGPD de manière efficace :

1. Désigner un délégué à la protection des données (DPO)

Le DPO supervise la mise en conformité en matière de protection des données de l'entreprise.

Le RGPD exige que certaines entreprises désignent un Délégué à la Protection des Données (DPO) auprès de l'autorité de contrôle compétente (la CNIL pour la France).

Pour savoir comment renseigner un DPO sur Dastra cliquez ici

A savoir :

La désignation d’un DPO est obligatoire pour :

• les entreprises qui vont traiter des données "sensibles" ou des données relatives à des condamnations pénales et infractions à grande échelle ;

• les autorités ou les organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;

• les entreprise qui vont dans le cadre de leur traitement de données personnelles réaliser un suivi régulier et systématique des personnes à grande échelle.

En dehors de ces trois cas, il est fortement recommandé de désigner un DPO.

En effet, cela permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Le DPO peut être interne ou externe à l'entreprise. Il peut également être mutualisé (notamment dans le secteur public).

Consultez notre article sur les modalités de désignation d'un DPO pour vous assurer de désigner la bonne personne.

2.Élaborer une cartographie des données de l'entreprise

• Quels sont les outils qui stockent et traitent des données personnelles ? Les données personnelles sont omniprésentes dans les CRM, les logiciels d'emailing, les boîtes mail, etc. Il est essentiel de répertorier de manière exhaustive tous les outils utilisés, qu'ils soient numériques ou non.

• Quels types de données sont présents dans ces outils ? Les données peuvent être évidentes, telles que le nom et le prénom, ou plus subtiles et indirectes, comme un numéro de téléphone, un numéro de client, une date de naissance, etc. Il est important de noter que toutes les informations permettant d'identifier directement ou indirectement une personne physique sont considérées comme des données personnelles selon l'article 4 du RGPD.

Il est également crucial de rappeler que les données à caractère personnel englobent toutes les informations relatives à une personne physique identifiée ou identifiable, que ce soit directement (par exemple : nom et prénom) ou indirectement (par exemple : numéro de sécurité sociale, adresse e-mail, enregistrement des conversations).

Il convient de noter que même dans le cadre d'une relation B2B, il existe des données à caractère personnel, car derrière chaque entreprise se trouve toujours une personne physique.

Dans ce contexte, les données personnelles peuvent être liées à l'adresse e-mail professionnelle et à l'identité de la personne physique représentant l'entreprise.

3. Analyser et évaluer les risques

Une fois les données cartographiées, il est nécessaire d’analyser les risques associés à leur traitement.

Cette analyse inclut l’évaluation de la sécurité des systèmes informatiques, des processus de traitement des données et des politiques de protection des données.

Cette étape permet d'identifier les vulnérabilités et de mettre en place des mesures pour les atténuer.

Quels éléments présentent un risque de conformité pour les personnes dont les données personnelles sont traitées ?

• Durée de conservation : Par exemple, conserver des images de vidéosurveillance au-delà d'un mois peut poser un problème.
• Collecte des données : Si vous achetez des bases de données d'emails pour des actions commerciales, le consentement des personnes peut ne pas avoir été correctement recueilli, ce qui pourrait entraîner des signalements auprès de la CNIL.
• Identification des données sensibles : Par exemple, si vous recueillez des informations sur l'orientation sexuelle d'une personne lors d'un sondage, prenez des mesures de sécurité appropriées comme un accès restreint aux résultats ou la pseudonymisation.
• Sous-traitants : Si vous utilisez des outils no-code américains non conformes au RGPD, cela peut également poser problème.

Cette liste n'est pas exhaustive. Divers risques peuvent se manifester au cours de vos activités. L'important est toujours de s'interroger sur la manière de réduire ces risques à un niveau acceptable.

Gardez à l'esprit que lorsqu'il existe un risque élevé pour les droits et libertés des personnes, il convient de réaliser une analyse d'impact, connue sous le nom de "PIA" ou "DPIA".

Le saviez-vous ? Avec Dastra, vous avez la possibilité de réalisez vos analyses d’impact sur la protection des données. Identifiez rapidement les traitements cibles et répondez facilement à l’obligation d’analyser les risques sur la vie privée.

Découvrez vite cette fonctionnalité en cliquant sur le bouton ci-dessous :

4. Construire un registre des traitements

Le registre de traitements est un document essentiel répertoriant tous les processus impliquant des données personnelles.

Ces processus comprennent diverses opérations telles que la collecte, l'enregistrement, l'utilisation, la transmission, la pseudonymisation et la destruction des données. Chaque opération sur une donnée personnelle est considérée comme un traitement.

Au sein du registre, il est nécessaire de fournir plusieurs informations pour chaque traitement :

1. La raison de la collecte des données : Chaque donnée collectée doit avoir une finalité précise, guidant ainsi son utilisation. Si une donnée n'est pas utilisée conformément à cette finalité, il est conseillé de l'éliminer de la base de données.

2. Le fondement légal de la collecte : Chaque collecte de données doit être autorisée, que ce soit par le consentement de l'individu concerné, par des obligations légales, des contrats ou encore par un intérêt légitime. Les bases légales de la collecte sont définies dans l'article 6 du RGPD.

3. La durée de conservation des données : La durée de conservation des données doit être justifiée en fonction de l'objectif du traitement. La CNIL propose un référentiel pour aider à déterminer cette durée.

4. Les personnes ayant accès aux données : Il est important d'identifier les destinataires autorisés à accéder aux données, y compris les sous-traitants. Seules les personnes compétentes doivent avoir accès aux données.

5. Les mesures de sécurité mises en place : Des mesures de sécurité doivent être mises en œuvre pour garantir la protection des données.

6. Les mesures de sécurité mises en place : Des mesures de sécurité doivent être mises en œuvre pour garantir la protection des données.

5. Réaliser et mettre à jour les politiques de confidentialité

Ce document est désormais essentiel ! Il informe vos utilisateurs, clients et partenaires sur la manière dont vous gérez leurs données personnelles et les mesures prises pour assurer leur protection.

Les politiques de confidentialité doivent être transparentes et facilement accessibles. Elles doivent expliquer clairement :

• Les motifs de la collecte des données ;
• Les spécificités des traitements effectués ;
• Les procédures pour exercer leurs droits ;
• La liste des sous-traitants, etc.

Il est important que ces politiques soient révisées et mises à jour régulièrement.

6. Implémenter des mesures techniques et organisationnelles

Le RGPD exige que des mesures techniques et organisationnelles adéquates soient mises en place pour assurer la sécurité des données personnelles. Cela peut inclure l'utilisation du chiffrement, la pseudonymisation des données, des protocoles de sécurité informatique renforcés, et des processus pour assurer la confidentialité, l'intégrité, et la disponibilité des données.

7. Sensibiliser et former le personnel

Pour une meilleure collaboration, il est crucial de former tous les employés sur les principes du RGPD et les bonnes pratiques de protection des données. Chaque salarié manipule des données personnelles dans le cadre de ses missions. Par conséquent, les services commerciaux, RH, marketing, juridiques, etc., doivent contribuer à l'effort collectif d'identification et de traitement des données. Des sessions de formation régulières peuvent aider à sensibiliser le personnel aux risques et aux responsabilités liés au traitement des données personnelles.

Voici nos meilleurs conseils pour engager vos collaborateurs :

• Identifiez les obstacles et les besoins en formation des équipes.
• Organisez des actions de formation ciblées pour différents segments de collaborateurs.
• Suivez la progression de chaque équipe.
• Rappelez régulièrement les bonnes pratiques RGPD.

8. Mettre en place des procédures de gestion des violations de données

Le RGPD impose de notifier toute violation de données à l’autorité de protection des données compétente dans les 72 heures, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes.

Il est donc indispensable de mettre en place des procédures pour détecter, signaler, et gérer les violations de données.

Avec Dastra, pilotez votre registre des violations de données et améliorez votre sécurité.

9. Faciliter l’exercice des droits des personnes

Les individus ont des droits spécifiques concernant leurs données personnelles, tels que le droit d'accès, de rectification, d'effacement, et de portabilité des données. L'un des éléments clés du RGPD est de redonner aux individus le contrôle sur leurs informations personnelles. Pour cette raison, chaque personne dispose de droits spécifiques concernant ses données personnelles :

• Droit d’accès : Permet à un utilisateur de savoir où en est le traitement de ses données.
• Droit de rectification : Permet la modification et la correction des données personnelles.
• Droit d’opposition : Permet de s’opposer à l’utilisation de ses données pour un objectif précis.
• Droit à l’effacement ou droit à l'oubli : Permet d’obtenir l’effacement de ses données.
• Droit à la limitation : Permet d’arrêter temporairement l’utilisation des données.
• Droit à la portabilité : Permet à une personne de récupérer une partie de ses données dans un format lisible pour un usage personnel ou pour les transmettre à un autre organisme.
• Droit à l’intervention humaine : Permet de demander une intervention humaine en cas de profilage.

Les entreprises doivent mettre en place des procédures pour permettre aux individus d'exercer facilement ces droits.

Pour cela, il est nécessaire d’établir des modalités pratiques (formulaire en ligne, coordonnées dédiées), un parcours interne efficace pour le traitement des demandes, et un processus de réponse compréhensible et accessible pour les personnes concernées.

Avec Dastra, automatisez la gestion des demandes d'exercice des droits !

10. Documenter la conformité

La documentation est un aspect clé du RGPD. Les entreprises doivent conserver des enregistrements de leurs activités de traitement des données, des évaluations des risques, des mesures de sécurité mises en place, et des preuves de conformité. Cette documentation peut être demandée par les autorités de protection des données.

Le choix d'un outil RGPD adapté

Se conformer au RGPD peut sembler complexe, mais en suivant ces étapes, vous pouvez en tant qu'entreprise structurer efficacement votre approche et réduire les risques de non-conformité.

La clé est de faire de la protection des données une priorité et d'intégrer la conformité au RGPD dans la culture de l'entreprise.

Et pour cela, nous vous invitons à jour l'outil RGPD adapté à vos besoins ! Contactez nos experts !