Bien démarrer en 5 étapes

1. Connaitre Vos droits et devoirs

Le DPO est le chef d’orchestre du RGPD. Il doit s’assurer que l’organisme l’ayant désigné est conforme aux règlementations en matière de protection de données personnelles (RGPD). A cet effet, il se doit d'assurer les différentes actions synthétisées ci-après :

  • Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;
  • Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;
  • Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35;
  • Coopérer avec l'autorité de contrôle;
  • Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. réaliser un diagnostic

Avant d’entamer son projet de mise en conformité au RGPD, il est recommandé de réaliser un diagnostic de sa situation afin d'avoir une idée sur son niveau de maturité.

Nous mettons à votre disposition un questionnaire d’auto-évaluation qui vous permet, en quelques minutes, d’avoir une première idée de votre niveau de maturité par rapport au RGPD. Ce questionnaire cible les thématiques critiques à traiter en urgence pour bien commencer son parcours dans l’univers de la protection des données personnelles.

A l’issue de cette auto-évaluation, nous vous proposons notre guide de conformité, qui, en fonction de votre score, vous indiquera le meilleur chemin à emprunter.

Accéder à l’auto-évaluation

3. Mettre en place l'organisation

Pour se conformer au RGPD, une organisation et un planning de mise en conformité doivent être réalisés. Mettre en place l’organisation consiste à identifier les principales étapes de la mise en conformité, de les hiérarchiser par ordre d’importance et de les planifier dans le temps.
Notre équipe Cybersécurité & Règlementaire vous assistera dans la mise en œuvre d’une organisation de mise en conformité adaptée à votre entreprise.

4. Mettre en place les outils

Les outils de pilotage permettent de standardiser les méthodes de travail et de garantir un niveau d’efficacité des processus. Ces outils présentent un réel avantage quant à la gestion des données personnelles et des registres de traitements. Industrialiser les traitements et les processus RGPD permet de mieux les gérer et diminue fortement les risques d’oubli et de perte.

5. Sensibiliser l'équipe

La mise en conformité au RGPD apporte des changements dans les méthodes de travail. L’appropriation de ces changements doit passer par la sensibilisation du personnel pour valoriser les caractères productifs et positifs du RGPD.

La sensibilisation de l’ensemble du personnel permet de favoriser l’implication dans la démarche de protection des données personnelles et de conformité au RGPD. Un plan de formation et/ou de sensibilisation aux différentes thématiques liées au respect de la vie privée est à mettre en place pour accompagner le personnel dans toute la démarche de compréhension, de mise en place et de conduite du changement par rapport au RGPD.

Points clés pour assurer sa conformité dans le temps


Impliquer la direction

La Direction doit être le sponsor de votre mise en conformité ainsi que de son maintien dans la durée. Son implication est indispensable pour réussir le projet de conformité au RGPD et éviter les impacts directs (amende) ou indirects (image de marque) que pourrait engendrer la non-conformité aux aspects règlementaires.

Désigner un DPO

La nomination d’un DPO n’est pas obligatoire dans tous les cas, mais l’absence de cette fonction dans une entreprise demeure un risque à moyen terme d’être « hors la loi ». La fonction DPO permet d'avoir un référent RGPD et de maintenir la conformité.

Veiller à son niveau de sécurité

Le RGPD exige de garantir un niveau de sécurité adapté au risque numérique. Il est ainsi nécessaire d’apprécier et traiter les risques sur les personnes, de mettre en place les mesures techniques ou organisationnelles appropriées et de garantir la confidentialité, l’intégrité, la disponibilité et la résilience.

Maîtriser la chaine de sous-traitance

Le RGPD apporte la notion de partage/transfert de responsabilité de tout ou d'une partie des traitements de données à caractère personnel. Encore faut-il s'assurer des mesures prises par vos sous-traitants.

Gérer les consentements

Il est nécessaire de mettre en place un dispositif permettant au responsable de traitement d'être en mesure de prouver que la personne concernée a donné son consentement.

Assurer la licéité, le consentement et la minimisation lors de la collecte

Le responsable du traitement doit être en mesure de citer quelles données personnelles sont collectées, dans quel objectif et de démontrer que la personne concernée a donné son consentement.

Se préparer à son contrôle CNIL

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

êtes-vous prêt à un contrôle de la CNIL ?
Testez votre niveau grâce à notre questionnaire d'auto-évaluation

Avant de commencer votre auto-évaluation,
comment jugez vous votre niveau de maturité sur une échelle de 1 à 10 ?
(1: niveau de maturité bas; 10 : très élevé)
1
2
3
4
5
6
7
8
9
10
La direction et vos collaborateurs sont-ils sensibilisés/impliqués dans la démarche de protection de données personnelles ?
Non
Oui
Avez-vous identifié et documenté l’ensemble des données personnelles traitées par les différentes entités du groupe (cartographie) ?
Non
Oui
Un DPO a-t-il été désigné ?
Non
Oui
Pour chaque sous-traitant, un registre des traitements est-il maintenu à jour ?
Non
Oui
Pour s’assurer de la licéité des traitements, la gestion du consentement est-elle développée ?
Non
Oui
Les mentions; informations concises, transparentes et compréhensibles au moment où les données sont collectées, sont-elles aisément accessibles aux personnes concernées ?
Non
Oui
En plus du droit d’accès ou de rectification des DCP des personnes concernées, gérez-vous le droit à l’oubli, le droit à la limitation du traitement et le droit à la portabilité ?
Non
Oui
Les traitements de Données à Caractère Personnel (DCP) sont-ils soumis au DPO avec les résultats du Privacy Impact Assessment (PIA) ?
Non
Oui
Le niveau de sécurité des DCP est-il surveillé en permanence afin de détecter les violations et déclencher les notifications ?
Non
Oui
Pour des transferts de DCP à l’international des mesures organisationnelles et techniques sont-elles encadrées et contrôlées par des garanties, des clauses ou des règles ?
Non
Oui
Pouvez-vous démontrer que vos sous-traitants sont conformes au RGPD ?
Non
Oui
Recevez les résultats en renseignant votre email
Votre message a bien été envoyé.

Pour aller plus loin...

Prenez contact avec nos experts

Votre message a bien été envoyé.
Erreur
Madame Monsieur

Je souhaite recevoir des informations sur le RGPD et la protection des données (un mail par mois maximum)

Si vous souhaitez exercer vos droits d’accès à vos données, envoyez une demande avec la preuve de votre identité à Noveane par email à dpo@noveane.com