News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

Garantir la conformité au RGPD : les grandes étapes

Garantir la conformité au RGPD de votre entreprise est une obligation, quelle que soit la taille de votre structure ou votre domaine d’activité. Naturellement, des différences existent : certaines entreprises sont tenues de recruter un DPO RGPD, par exemple, tandis que pour d’autres, nommer un DPO n’est qu’une recommandation. Ensuite,...

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Garantir la conformité au RGPD de votre entreprise est une obligation, quelle que soit la taille de votre structure ou votre domaine d’activité. Naturellement, des différences existent : certaines entreprises sont tenues de recruter un DPO RGPD, par exemple, tandis que pour d’autres, nommer un DPO n’est qu’une recommandation. Ensuite, certains secteurs impliquent un traitement des données plus massif que d’autres, tandis que des organismes ont besoin de traiter des données sensibles au sens du RGPD et d’autres pas. 


Vous l’avez compris, toutes les entreprises ne sont pas égales face au RGPD. Néanmoins, toutes doivent assurer leur conformité. La CNIL, gendarme du RGPD en France, propose un parcours en 4 étapes pour vous aider dans votre mise en conformité RGPD. Nous décortiquons pour vous ces différentes étapes pour vous aider à y voir plus clair. Nous verrons aussi comment un logiciel de conformité RGPD peut vous aider à gagner du temps dans vos travaux et surtout à garantir un meilleur suivi des actions à mener. 


Le registre de traitement des données : première étape de votre conformité au RGPD


La première étape de votre mise en conformité au RGPD est d’avoir une vision claire et globale de l’ensemble des opérations sur les données personnelles effectuées par votre entreprise. L’idée est d’identifier toutes les sources de traitement des données pour pouvoir ensuite ajuster l’action de votre entreprise, améliorer la garantie du droit des personnes et garantir la sécurité de la donnée. 


Pour effectuer ce recensement, il convient de s’appuyer sur le registre de traitement des données. Ce registre CNIL faire partie des documents dont vous aurez besoin en cas de contrôle pour justifier de votre conformité au RGPD. Il vise à montrer à la CNIL que vous avez bien suivi les obligations du RGPD en matière de protection des données, mais surtout il vous permet d’avoir effectivement une vision claire de l’ensemble des opérations de traitement de votre entreprise, pour assurer votre conformité. 


Par exemple, une opération de traitement peut concerner : la récupération d’adresses emails de la part de clients souhaitant s’inscrire à une newsletter, les informations personnes de vos salariés nécessaires à la gestion de la paie, l’édition des badges de sécurité à l’entrée de vos bureaux… Toutes ces actions doivent être recensées dans le registre et étudiées par la suite : c’est ce qu’on appelle l’analyse d’impact


mise en conformité rgpd demo de la plateforme

Faire le tri : la meilleure donnée est celle qui n’est pas traitée ?


La deuxième étape de votre conformité au RGPD est de “faire le tri” dans les données collectées. Il est courant qu’une entreprise collecte des données dont elle n’a finalement pas besoin, qu’il s’agisse d’informations sur ses salariés ou sur ses clients. Le RGPD impose que tout traitement de données poursuive un objectif précis et y soit nécessaire. 


Ensuite, certaines de ces données peuvent faire partie de la catégorie des données sensibles au sens du RGPD. Ces données font l’objet d’une réglementation spécifique et il se peut que vous n’ayez pas le droit de les traiter. Par ailleurs, elles nécessitent la mise en place de procédures de sécurité et de conformité plus strictes en raison de leur caractère sensible. 


Enfin, la manière dont vous traitez les données doit répondre aux exigences du RGPD. Par exemple, seules les personnes habilitées et dont le rôle dans l’entreprise rend nécessaire l’accès à la donnée doivent pouvoir y avoir accès. De même, vous ne devez pas conserver la donnée plus longtemps que nécessaire. Ce dernier point s’apprécie en fonction de l’objectif poursuivi par l’opération de traitement.


Comme pour l’étape précédente, vous appuyer sur un registre de traitement automatisé vous permet d’avoir à tout moment un regard précis et à jour sur les traitements opérés par l’entreprise.


Assurez votre conformité au droit des personnes 


On a vu comment votre entreprise doit organiser et éventuellement modifier ses pratiques en termes de traitement des données. Votre conformité au RGPD passe aussi, tout au long de la vie de la donnée, par la mise en place de processus assurant le respect des droits des personnes sur leurs données. 


En particulier, une information claire doit accompagner chaque opération de collecte de données. C’est notamment le cas de vos outils de gestion des consentements sur votre site web. Ceux-ci autorisent votre entreprise à collecter certaines informations, via des cookies par exemple. Or ces bandeaux d’autorisation doivent comporter des éléments d’information clairs sur le type de données collectées, l’objectif poursuivi par le traitement…


Le deuxième volet du droit des personnes est l’exercice effectif de leurs différents droits sur leurs données, après leur collecte. Concrètement, il s’agit du droit d’accès à la donnée, de rectification, d’opposition, etc. Pour permettre cet exercice, la CNIL invite à mettre en place un point de contact dédié (formulaire, adresse email spécifique…) bien identifié sur votre site web et facilement accessible. Ensuite, votre entreprise doit assurer le suivi et le traitement des demandes dans un délai assez court. 


gestion des préférences conformité rgpd

La sécurité des données : condition de votre conformité au RGPD


La sécurité des données est un élément primordial de votre conformité RGPD. Cela passe par une sécurité de l’accès aux données, y compris sur un plan physique (entrée dans vos locaux par exemple). Plus généralement, l’utilisation de mots de passe suffisamment sécurisés, l’utilisation d’antivirus et de logiciels de protection à jour, y compris et notamment en télétravail, font partie des bonnes pratiques. 


C’est aussi dans cette optique que la restriction de l’accès aux données aux seules personnes pour lesquelles c’est absolument nécessaire doit être envisagée. Cette restriction limite d’autant le nombre de points d’entrée potentiels, et donc les risques. Enfin, le chiffrement des données personnelles permet de protéger la confidentialité des données même en cas de récupération par un tiers. Seules les personnes disposant de la clé de sécurité appropriée pourront alors avoir accès à l’information. 


La mise en conformité au RGPD implique donc des actions ponctuelles, qui doivent être entreprises comme préalables aux chantiers de sécurité. Au-delà de ces premières étapes, la conformité est un travail continu, qui doit infuser toutes les interactions de votre entreprise avec l’extérieur : clients, prestataires, sous-traitants… De la limitation de la collecte d’information au strict nécessaire à l’établissement de procédures dédiées pour le respect du droit des personnes et jusqu’à la sécurisation de votre système de traitement des données, les tâches du responsable à la protection des données sont multiples ! Vous avez cependant maintenant toutes les clés pour entreprendre sereinement votre mise en conformité au RGPD.