Partager l'article :

Dans les parties précédentes de notre dossier dédié au Règlement Général sur la Protection des Données personnelles, nous avons tenté de répondre aux questions suivantes :

Maintenant que vous avez connaissance de toutes ces informations, il ne vous reste plus qu’à franchir une étape importante : vous mettre en ordre avec le RGPD.

Une feuille de route pour respecter RGPD

Pour vous aider dans votre démarche, voici les grandes lignes d’un plan d’action à mettre en application dans votre entreprise :

1. La licéité des traitements actuels

Listez et vérifiez la licéité des traitements actuels de données personnelles. Dans la foulée, profitez-en pour “nettoyer les placards” en détruisant les documents qui ne devraient pas être conservés (ex : les certificats médicaux après que la vérification soit faite, les adresses e-mails récoltées sans consentement…).

2. Les contrats avec les sous-traitants

Vérifiez les contrats établis avec vos sous-traitants en ce qui concerne les aspects en lien avec le traitement de données personnelles. Par exemple, les agences web, freelances ou sociétés de marketing off/online.

3. La sécurité des données

Assurez-vous que le stockage (et les sauvegardes) des données personnelles est bien sécurisé, et ce, que ce soit en Europe ou après de société garantissant contractuellement les mêmes droits qu’en Europe. Cryptez les données sensibles et les mots de passe. Pseudonymisez certaines données via des identifiants.

4. Le registre des traitements

Point important du RGPD, vous devez tenir un registre des traitements effectués. En bref, ce registre est une sorte de journal permanent qui liste tous les traitements et qui reprend, pour chacun les informations suivantes :

  • Les types de données traitées
  • La finalité déterminée et légitime
  • Les types de personnes concernées par le traitement
  • Le lieu de stockage des données
  • La durée de conservation de celles-ci
  • Les noms des personnes internes et externes (sous-traitants) qui ont accès aux données
  • Les mesures de protection techniques et organisationnelles

En cas de traitement à haut risque (nouvelles technologies, traitement automatique et systématique, traitement à grande échelle de données sensibles, surveillance à grande échelle), il est nécessaire d’effectuer en plus une analyse d’impact relative à la protection des données (AIPD).

Cette analyse AIPD consiste à :

  • Évaluer la nécessité et de la proportionnalité des traitements en fonction des finalités
  • Établir une appréciation des risques pour les droits et libertés des personnes concernées
  • Envisager des mesures pour faire face à ces risques

5. L’information et la récolte le consentement

Pour tous les traitements non rendus nécessaires par une obligation légale, pour l’exécution d’un contrat ou pour des fins d’intérêts légitimes, vous devez informer les individus afin de récolter leur consentement éclairé et spécifique. En pratique, cela concerne essentiellement les données traitées à des fins marketing.

Plus concrètement, il vous faudra surtout :

  1. Vérifier tous les formulaires de récolte de données personnelles afin que ceux-ci soient agrémentés de termes clairs et simples visant à informer les personnes au sujet des finalités de la récolte des données. Par ailleurs, il faut éviter les consentements implicites. Cela veut dire que les cases ne peuvent être pré-cochées et doivent être distinctes de l’acceptation des CGV
  2. Lister les systèmes de cookies employés
  3. Contrôler et adapter le texte du bandeau “Cookies” ainsi que son activation lors de la visite des internautes
  4. Tenir un registre horodaté inventoriant les consentements recueillis
  5. Rédiger une “Charte vie privée” dans un langage accessible à tous
  6. Vérifier le respect du principe d’opt-in (consentement préalable explicite) et d’opt-out (processus de désinscription aussi facile que celui d’inscription) à votre newsletter

6. L’organisation interne à l’entreprise

Le Règlement Général sur la Protection des Données concerne toutes les personnes qui composent votre entreprise, ou du moins toutes celles qui ont accès à des données personnelles.

De ce fait, un travail au niveau de votre organisation interne s’impose.
Celui-ci a pour objectifs de :

  • Conscientiser (et former) le personnel
  • Adapter le Règlement de travail
  • Gérer les risques (prévention, détection, réaction)
  • Prévoir les différentes procédures de réponses aux personnes (consultation, destruction de données, portabilité de données), et de communication en cas d’incident
  • Tenir un journal interne des incidents de sécurité
  • Et, si l’activité de base est le profilage ou en cas d’utilisation d’outils d’observation (caméras de surveillance, géolocalisation…), désigner un DPO (Data Protection Officer). Ce dernier est une sorte de “commissaire” aux données (interne ou externe à l’entreprise)

Smartdata plutôt que Bigdata

Ainsi, comme vous l’aurez remarqué, pour être en ordre avec le GDPR il ne suffit pas d’installer un logiciel informatique et encore moins de commander la rédaction d’un document par un juriste.

En y regardant de plus près, on remarque que le RGPR engendre même une sorte de changement de paradigme qui pourrait être synthétisé par le slogan “Smartdata”plutôt que Bigdata “. Fini l’époque où la stratégie consistait à soutirer des données en masse, puis à les utiliser à tout-va. Place à la qualité et à une approche vertueuse grâce à laquelle le client sera demandeur à ce que nous traitions, de façon limitée, des données le concernant.

Coaching de RETIS dans les démarches de mise en conformité au RGPD

Vous vous en doutez, cet article n’a repris que les points les plus importants, et ce, sans pouvoir aborder les différents cas particuliers. Pour répondre à vos besoins d’accompagnement dans la mise en conformité de votre entreprise avec le RGPD, le cabinet-conseil Retis est à votre disposition pour examiner votre situation.

Indépendant, TPE, PME ou grand groupe, vous êtes certainement concerné par ce nouveau règlement de protection des données personnelles. Cependant, le GDPR peut avoir un impact bien différent en fonction de votre activité et les mesures à prendre peuvent être radicalement différentes en fonction des profils d’activité.

Ainsi, les conseils donnés à un e-commerçant ne sont pas les mêmes que ceux apportés à un détective privé, à une start-up qui développe une nouvelle application mobile liée au bien-être ou encore à une entreprise de services aux entreprises.

En plus de nos modules de formation, chez Retis, nous pouvons également effectuer un coaching, en accompagnant l’entreprise aux différentes phases de déploiement du plan de mise en conformité.

1e partie précédente du dossier : Faut-il se mettre en ordre avec le RGPD ?

 

Vous souhaitez y voir encore plus clair ?

Nous vous recommandons de suivre nos formations pratiques, en groupe de 8 personnes maximum, organisées régulièrement à Bruxelles et à Liège

Partager l'article :