Diagnostic RGPD : les 5 règles d’or

Mener un diagnostic RGPD est la première étape de vos efforts de mise en conformité. Ce projet permet de découvrir où se trouvent les éventuelles failles de sécurité dans votre organisation, les points de réglementation à améliorer ou à appliquer et de construire un plan d’action adapté pour votre équipe conformité.

Mais le diagnostic RGPD est également un effort à mener de façon continue. La conformité est une matière vivante : non seulement la réglementation évolue en fonction des nouveautés jurisprudentielles, par exemple, mais surtout votre entreprise change et ses besoins en matière de compliance aussi.

Voici les 5 règles d’or à suivre absolument pour mener un diagnostic RGPD dans de bonnes conditions.

Cartographier précisément les traitements de votre organisation

La première étape d’un bon audit RGPD de votre entreprise est la compréhension précise de ce qui s’y passe en termes de collecte, traitement et utilisation des données personnelles.

Celles-ci peuvent provenir de vos clients et utilisateurs, mais aussi de vos salariés, partenaires ou fournisseurs : dans chaque cas, il est important d’identifier les sources ou points d’entrée des données, la manière dont elles sont collectées, utilisées et stockées.

Votre cartographie doit faire apparaître le type de données qui sont collectées, les traitements qui leur sont appliqués, les personnes qui seront amenées à manipuler ces données et les mesures de sécurité mises en place.

Notre conseil : n’oubliez pas la fin du cycle de vie de la donnée ! Les conditions dans lesquelles les données sont stockées puis archivées et détruites sont importantes et font elles aussi l’objet d’obligations réglementaires.

Mener un diagnostic spécifique pour le consentement à la collecte des données

Un des points-clés de votre conformité est le recueil du consentement des personnes concernées pour la collecte et l’utilisation de leurs données. Attention, ce passage n’est pas toujours obligé, en fonction de la nature des données et surtout de la finalité du traitement : le consentement n’est qu’un des fondements sur lesquels le traitement des données peut s’appuyer.

Néanmoins, il est très utilisé et il est fort probable que votre organisation repose, à un moment ou à un autre, sur le consentement de vos utilisateurs pour l’utilisation de leurs données. La manière dont vous recevez l’autorisation de vos clients ou prospects qui vous confient des données est cruciale. Votre diagnostic RGPD doit s’intéresser aux informations que vous donnez à l’utilisateur à cette étape, à la manière dont le consentement est reçu et doit vérifier que vous utilisez bien les données dans le cadre et les limites de cette autorisation.

Analyser les mesures de sécurité des données dans votre organisation

Une fois les données collectées, encore faut-il les stocker et les traiter. Ces étapes doivent se faire en protégeant au maximum la vie privée des personnes concernées, en d’autres termes en sécurisant les données.

Les données doivent être protégées notamment contre les fuites de données et contre les vols de données. Des mesures techniques de protection, comme le chiffrement des données, peuvent être adoptées. Mais des outils organisationnels, comme la sensibilisation de vos équipes contre les tentatives de phishing, des politiques de mots de passe sécurisés, la limitation stricte de l’accès aux données, sont aussi des éléments centraux de votre dispositif de sécurité.

Mener un audit de votre documentation RGPD

Le système de contrôle de la protection des données en Europe repose sur des organismes publics que sont les autorités de contrôle de chacun des Etats membres, chapeautées par la Commission européenne. En France, c’est la CNIL qui a pour fonction de vérifier la bonne application du RGPD sur le territoire.

Ce contrôle passe notamment par la capacité des entreprises à produire des documents juridiques. Ceux-ci présentent à la CNIL les traitements qui sont effectués, les mesures de protection mises en place et les choix qui sont éventuellement faits par les DPO ou les personnes en charge de la conformité dans l’entreprise.

En effet, le texte ne précise pas les solutions techniques concrètes à adopter : celles-ci sont susceptibles de varier en fonction des situations et d’évoluer très rapidement à mesure que de nouvelles menaces et solutions apparaissent.

C’est pourquoi la documentation juridique est un des pans majeurs de la politique de conformité des entreprises. On retrouve notamment ici le registre des traitements, mais aussi les analyses d’impact (AIPD) ou encore l’audit des sous-traitants.

Diagnostic RGPD et droits des personnes

Un dernier aspect de votre politique RGPD à étudier est le respect du droit des personnes. Les personnes concernées, c’est-à-dire celles qui vous ont confié leurs données personnelles, disposent d’un certain nombre de droits énumérés par le RGPD.

Or, il est de votre responsabilité de permettre et même de faciliter l’exercice de ces droits. Cela passe notamment par la mise en place de canaux spécifiques permettant de répondre aux demandes des utilisateurs.

Pour rappel, les droits dont on parle concernent la modification ou rectification d’informations, mais aussi la suppression des données, ou encore l’opposition : dans ce dernier cas, la personne vous demande d’arrêter d’utiliser ses données pour un traitement ou une finalité précise, sans que cela passe toutefois par leur suppression.

Autrement dit, votre diagnostic RGPD doit vérifier dans quelle mesure une personne peut : émettre sa demande, de façon simple et facile ; être mise en contact avec les bonnes personnes pour la traiter ; et recevoir une réponse dans un délai raisonnable. Vous devez en effet être en mesure d’effectivement répondre à la demande, pour l’accepter et l’appliquer ou pour justifier votre refus.

A noter que dans certains cas, ce traitement passera par un travail conjoint avec des tiers, notamment des sous-traitants qui pourraient intervenir sur les données en question. Dans ce cas, il est du devoir de votre sous-traitant de vous assister pour permettre l’exercice des droits des personnes.

Vous l’avez compris, le RGPD est un texte important qui peut avoir des conséquences sur des aspects très variés de votre activité. Un diagnostic RGPD complet est donc un projet important en soi. Heureusement, vous pouvez vous faire aider par nos consultants experts qui sauront identifier les manquements potentiels et les points d’attention et vous aider à construire un plan d’action efficace et pertinent pour votre mise en conformité.