Cet article est issu d’un webinaire que vous pouvez retrouver ici.
Avant d’évoquer les étapes clés pour se mettre en conformité face au RGPD, abordons les sanctions en cas de manquement.
La CNIL (Commission nationale de l’informatique et libertés) est en France l’organe qui contrôle les entreprises et sanctionne en cas de manquement. On constate maintenant que la CNIL a mis fin à sa période d’accompagnement des entreprises et est dans une dynamique de sanction.
Les sanctions prononcées peuvent être de deux types :
- Sanction pécuniaire : entre 2 et 4% du Chiffre d’affaire ou bien 10 ou 20 millions d’euros
- Sanction réputationnelle : la CNIL peut décider de rendre la décision de sanction publique. Ainsi l’atteinte à l’image de l’entreprise est forte envers les collaborateurs, partenaires, clients…
A titre d’exemple voici quelques sanctions récentes :
- Carrefour : Manquement relatif à la conservation des données ; manquement relatif à l’exercice des droits ; manquement relatif à l’information des personnes 2 250 000€
- Nestor : non consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD, notamment en matière d’information et de respect des droits des personnes 20 000€
- Credential stuffing : un responsable de traitement et son sous-traitant condamnés pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants 150 000€ + 75 000€
Les 7 étapes de la mise en conformité
1. Désigner un DPO/Référent RGPD
En fonction de votre activité vérifiez si la désignation d’un Délégué à la protection des données (DPO) est obligatoire.
Même si un DPO n’est pas obligatoire, il est fortement recommandé de désigner un référent/pilote, qui sera en charge du projet RGPD dans l’entreprise.
2. Centraliser la documentation existante
Commencez par consulter les fichiers des déclarations réalisées auprès de la CNIL via le lien suivant : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018
Cela permet d’avoir une première ébauche des activités effectuées par votre entreprise.
Collectez les documents d’informations existants (politique de confidentialité, CGV, CGU, mentions légales…)
Construisez votre organigramme de la société afin de pouvoir lister les services et les interactions entre ces derniers.
3. Construire son registre des traitements
Construisez votre registre des traitements sur la base de la documentation rassemblée, les déclarations internes (les entretiens avec des représentants des différents services) et sur la base d’une cartographie applicative en identifiant les outils utilisés par les services.
4. Audit des traitements de l’organisation
Deux types d’audits sont à réaliser :
- Audits des traitements : L’analyse de licéité, est-ce que les finalités respectent les principes du RGPD (licéité, minimisation, durée de conservation…)
- Audit de l’organisme : gestion des droits des personnes concernées, gestion des sous-traitants, sécurité du système d’information…
5. Correction des écarts de conformité
Pensez à élaborer un plan d’action :
- Tenue d’un registre des activités de traitements et mise à jour de ce dernier
- Rédaction et mise en place des mentions d’informations obligatoires sur les formulaires
- Mise à niveau des mesures de sécurité
- Sensibilisation du personnel
Les deux prochaines étapes ne sont pas chronologiques, elles peuvent être réalisées en parallèles des étapes précédentes.
6. Mise en place de procédure de gouvernance
Le DPO doit être associé à toutes les problématiques de données personnelles et en amont de tout nouveaux projets touchant aux données personnelles.
Il est important de former le personnel en contact avec les personnes concernées, notamment pour l’information des personnes concernées.
La mise en place des procédures obligatoires :
- Procédure de gestion des exercices de droits
- Procédure interne de protection des données
- Procédures en cas de violation de données personnelles
- Procédure d’information des personnes
- Procédure de gestion des analyses d’impact
- Procédure en cas de contrôle CNIL
- Procédure de sélection des sous-traitants
Être conforme au RGPD n’est pas une image à un instant T, il convient de maintenir la conformité dans le temps en mettant notamment en place des audits réguliers sur les procédures obligatoires.
7. Vivre sa conformité
Il est également impératif d’effectuer régulièrement des veilles réglementaires et de former le personnel sur les enjeux de la protection des données.
Afin de centraliser la documentation et les processus, il est fortement recommandé d’utiliser un logiciel de gouvernance RGPD.