7 minutes de lecture

En mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrait en vigueur, donnant un an aux entreprises européennes pour appliquer ses principes de renforcement de la protection des données personnelles dont elles font usage.

Depuis 2019, cette période de transition est donc terminée. Cela signifie que l’on attend désormais des sociétés d’avoir opéré leur conformité au RGPD (en anglais, GDPR Compliance), c’est-à-dire d’avoir mis en place des moyens internes pour répondre aux exigences de cette nouvelle loi. Or, beaucoup ne sont toujours pas à jour ! Cette démarche peut en effet se révéler être un vrai casse-tête pour les dirigeants d’entreprise. C’est pourquoi aujourd’hui Formalizi vous donne cinq conseils concrets et pratiques pour vous aider dans votre mise en conformité à ce nouveau règlement européen.

Vous n’avez toujours pas commencé à vous mettre en conformité ? Vous ne vous en sortez pas ? Vous créez votre entreprise, et vous vous demandez ce qu’il faut faire concrètement pour être conforme au RGPD ? Cet article est fait pour vous !

La conformité RGPD pour son entreprise en 5 étapes

1. Jetez un œil aux guides pratiques de la CNIL

Un bon point de départ est de se tourner vers le site de la CNIL. La Commission Nationale de l’Informatique et des Libertés (CNIL) est le référent incontournable en matière de RGPD puisque c’est elle qui veille au grain quant à son application sur le territoire national.

La CNIL met à disposition gratuitement de précieuses ressources ainsi que des formations sur son site, afin d’accompagner tout type d’entreprise pour se conformer aux exigences du RGPD.

Vous y trouverez notamment un guide pour ceux qui ne savent pas par où commencer, qui expose les 4 étapes obligatoires à suivre pour vous mettre en conformité.

Les 4 étapes d'une stratégies RGPD

Ne passez pas non plus à côté des vidéos, dossiers, FAQ, modèles de mentions, fiches pratiques…

Tout est régulièrement mis à jour par la CNIL. Quelques exemples :

2. Armez-vous d’outils informatiques

Autre conseil pour répondre aux exigences de la réglementation : tournez-vous vers des outils informatiques ! Il existe des solutions sur le marché adaptées à vos besoins et à votre budget, pour vous aider à renforcer votre conformité RGPD.

D’une part, vous trouverez des outils qui permettent de détecter automatiquement la présence de données sensibles au sein des flux de données. Citons, par exemple, le RGPD Text-Control de Coheris, développé pour renforcer la conformité des champs à remplir librement, parfois appelés « zones de commentaires » , dans les applications métier internes de votre entreprise.

D’autre part, des solutions existent pour vous aider dans l’étape de cartographie des données. Par exemple, la start-up lyonnaise DataGalaxy offre une plateforme SaaS adaptée aux PME et ETI, ou encore Thésée Technologies, proposant un service pour identifier toutes les pages de votre site Internet à mettre à jour dans le cadre du RGPD.

On trouve également des logiciels permettant de vous accompagner dans la rédaction de votre Registre des traitements : Data Legal Drive en est un exemple.

Enfin, ceci n’est évidemment pas une liste exhaustive, de nombreux outils adaptés à chacun apparaissent sur le marché pour vous aider dans votre mise en conformité RGPD. Renseignez-vous pour afin de trouver l’outil idéal !

3. Si nécessaire, désignez un Data Protection Officer (DPO)

Chaque entreprise doit être capable de prouver à tout moment sa conformité à la réglementation européenne. Or, nous l’avons vu précédemment, cela signifie tout un tas de mesures pour la protection des données en établissant notamment une cartographie des traitements, en rédigeant et maintenant à jour une documentation spécifique… On peut vite s’emmêler les pinceaux.

Désigner un DPO (Data Protection Officer) ou Délégué à la Protection des données peut s’avérer fort utile, puisqu’il surveillera la bonne mise en œuvre du RGPD au sein de l’entreprise.

Globalement, toute personne de l’entreprise peut être DPO à condition d’avoir un minimum de compétences juridiques et techniques en matière de protection des données personnelles, ainsi qu’une bonne connaissance de vos activités. Vous devez le désigner en ligne sur le site de la CNIL.

À savoir : si désigner un DPO est facultatif, il devient obligatoire dès lors que le traitement des données représente le cœur de votre activité ou que votre structure atteint plus de 250 salariés.

4. Faites-vous aider dans la mise en conformité RGPD de votre entreprise

Il se peut très bien que votre entreprise ne dispose pas des ressources ni des compétences nécessaires (droits du RGPD, IT…) pour répondre aux exigences du règlement européen, et il est parfois judicieux de passer par un prestataire externe.

Des solutions globales, clé en main, de mise en conformité existent. Toutes ne sont pas équivalentes et il faut être vigilant face aux arnaques.

Dans les bons élèves, on pourra citer par exemple le cabinet d’audit RGPD et de conseil DPMS, dirigé le président de l’Union des Data Protection Officer, et proposant même des solutions logicielles ; ou encore DPO Consulting, qui offre des services divers de conseil, formation et d’externalisation de la fonction de DPO.

5. Établissez une check-list afin de pouvoir rendre des comptes à tout moment

Enfin, afin d’être en mesure de prouver votre conformité RGPD à tout moment, rédigez et tenez à jour une check-list.

De nombreux sites peuvent vous donner des idées. Les 6 commandements de la CNIL sont un bon début pour vous poser les bonnes questions :

  • Ne collectez, stockez et utilisez que les données vraiment nécessaires ;
  • Soyez transparent ;
  • Pensez aux droits des personnes : un exemple est le droit à l’oubli. Vous devez pouvoir répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données ;
  • Gardez la maîtrise de vos données ;
  • Identifiez les risques : lors d’un recrutement par exemple, l’entreprise doit veiller à ce que les données collectées soient bien en lien avec le poste à pourvoir et devra prévoir de supprimer les données des candidats non retenus, sauf s’il elle obtient leur consentement, et qu’ils acceptent de demeurer dans une base de données pour une durée maximale de deux ans ;
  • Sécurisez vos données.

À savoir : tous les ans, la CNIL publie les thématiques sur lesquelles elle va accentuer ses contrôles. Cette année, il s’agit des données issues de la santé, de la géolocalisation, ainsi que des cookies et autres traceurs. De quoi inspirer et donner une ligne directrice à votre propre introspection !

Faites confiance à nos experts

Pour conclure, la clé, c’est l’or-ga-ni-sa-tion.

En prenant connaissance des conseils de la CNIL ou des professionnels de la conformité RGPD et en investissant dans des solutions logicielles et humaines spécifiques, vous pourrez mettre en place une organisation telle que le cauchemar de la mise en conformité RGPD ne soit plus qu’un lointain souvenir !

Les données personnelles sont partout, et peuvent se nicher dans n’importe quel document. Grâce à ces conseils, et si l’exploitation des données personnelles n’est pas au cœur de votre activité, vous devrez vous mettre en conformité sans y consacrer trop de temps et ni vous arracher trop de cheveux.

Vous avez besoin d’accompagnement dans la gestion administrative de votre entreprise ? N’hésitez plus et prenez rendez-vous gratuitement avec l’un de nos conseillers Formalizi. 

Commencez les démarches

Gérer mon entreprise

Peut-on démissionner sans préavis ?

Vous doutez de l’obligation de faire un préavis lors de votre départ de l’entreprise ? Cet…
Créer une entreprise

Dans quels secteurs entreprendre post-confinement ?

Pendant la période de confinement, certains d’entre vous ont peut-être vu une idée de génie…
SAS

Domiciliation commerciale pour une SAS : Quels avantages ?

Lorsqu’on crée une SAS (société par actions simplifiée), l’une des premières étapes consiste à définir…
Créer une entreprise

5 choses à savoir avant toute création d’entreprise

En matière de création d’entreprise le risque d’échec est important. En effet 50 % des…

Questions fréquentes

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est une loi qui encadre et contrôle les traitements des données personnelles des citoyens européens par les entreprises. Elle est entrée en vigueur en 2018 et fut votée pour lutter contre les dérives de plus en plus fréquentes ces dernières années.
Globalement, l’idée du RGPD est que l’entreprise ne collecte que les données strictement nécessaires à la réalisation de son activité, le tout dans un cadre sécurisé.

Qui est concerné par le RGPD ?

Le RGPD s’applique à toutes les entreprises, publiques ou privées, qui agissent dans l’Union Européenne et traitent des données personnelles (à noter que la simple collecte et le stockage de données sont une forme de traitement), et ce, même si les données sont conservées hors du territoire européen.

Le RGPD s’applique quelle que soit la taille de votre entreprise, quel que soit votre chiffre d’affaires annuel, et quelle que soit la raison pour laquelle elle utilise ces données.

Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel est une information qui permet d’identifier directement ou indirectement un individu.
Ce sont tout simplement des noms, des prénoms, des emails, des numéros de téléphone, des adresses de livraison, de facturation, mais également des photos, vidéos, fichiers audio… Elles sont dites sensibles lorsqu’elles incluent un caractère ethnique, religieux ou médical par exemple.

Quelles sont les sanctions prévues en cas de non respect du RGPD ?

Les sanctions par le Règlement sont significatives, les amendes s’élèvent de 10 à 20 millions d’euros, et dans certains cas de 2% jusqu’à 4% du chiffre d’affaires annuel mondial.