3 expertises
Notre accompagnement à la conformité RGPD s'appuie sur
Conseiller
Opérationnels et pragmatiques nous vous recommandons un plan d’actions, effectué à partir d’un audit des données personnelles collectées, de l’analyse des écarts de conformité et des risques encourus.
Accompagner
En qualité de DPO externalisés, nous vous accompagnons dans la mise en œuvre des actions correctives et la documentation nécessaire à prouver votre conformité RGPD, avec notamment la rédaction du registre des activités de traitement et si nécessaire, celui de sous-traitant.
Former
Sensibiliser vos collaborateurs à la protection des données personnelles afin qu’ils l’intègrent dans leur quotidien, est essentiel pour maintenir la conformité au RGPD de votre organisation.
01
Conseiller
Afin d’être conforme aux obligations du responsable de traitement et de respecter les droits des personnes, qu’il s’agisse de clients, collaborateurs, fournisseurs ou partenaires, il convient de répondre pour chaque traitement à des questions telles que /
• Le RGPD est-il applicable au traitement ?
• La conformité est-elle documentée ?
• Le principe de collecte loyale et proportionné est-il bien respecté ?
• La durée de conservation et les modalités d’archivage ont-elles été définies ?
• Une politique de sécurité et de confidentialité des données a-t-elle été établie ?
• Est-ce que des données sensibles sont collectées ?
• Existe-t-il des transferts de données dans des pays situés hors de l’Union Européenne ?
• Existe-t-il des procédures pour respecter les droits des personnes ?
• Est-il nécessaire de réaliser une étude d’impact ?
• Faut-il désigner un data protection officer délégué à la protection des données (DPO) ?
Pour répondre à ces questions et prouver que vous avez bien intégré le RGPD dans votre fonctionnement au quotidien, il convient de mettre en place une démarche structurée et documentée.
Nous vous accompagnons dans ce process. La première étape s’appuie sur un audit interne, une revue de conformité. qui permet d’identifier les risques de sécurité des données personnelles traitées et se compose de 4 parties :
• Identification des flux des données personnelles collectées et traitées
• Cartographie des traitements de données personnelles
• Cartographie des risques de faille de sécurité des données personnelles
• Stratégie et recommandations d’un plan d’action visant à réduire les risques encourus et à être en conformité au RGPD
02
Accompagner
La création des registres /
Le principe de responsabilité, d’ « accountability » du RGPD, implique la mise en place de différents registres. Nous vous accompagnons dans leur mise en place et le cas échéant dans leur rédaction puis leur tenue.
• Registre des activités de traitement, principal document imposé par le RGPD, il permet de recenser les traitements de données et de disposer d’une vue d’ensemble de l’exploitation les données personnelles
• Registre des consentements, il trace l’ensemble des consentements donnés et retirés par traitement
• Registre des demandes, il regroupe à la fois les demandes des personnes, et les réponses qui leur ont été faites (demandes d'accès, de rectification, d’effacement, d’opposition et de portabilité des données personnelles)
• Registre des formations, il permet d’attester quels collaborateurs ont suivi la sensibilisation aux données personnelles
• Registre des sous-traitants, il concerne l’organisme qui réalise des traitements pour le compte du dit donneur d’ordre (responsable du traitement)
• Registre des incidents, il consigne tous les incidents liés aux données personnelles (accès non autorisé, faille de sécurité) déclarés ou non à la CNIL
• Registre des notifications à la CNIL, journal des événements qui nécessitent une notification à la CNIL
La mise en conformité de la communication interne et externe /
Il s’agit de démontrer sa conformité au RGPD dès sa communication et dans ses procédures.
• Revue de la communication. Analyse et correctifs des communications existantes : physiques, papier et numériques, en particulier le site internet et les cookies
• Mise en place de procédures internes telles que les réponses à l’exercice des droits des personnes, les bonnes pratiques des Ressources Humaines en matière de recrutement, de gestion de la paie, l’assurance du respect des données personnelles dans les services Commercial-Marketing , en lien direct avec les clients, fournisseurs, partenaires et enfin les procédures internes de sécurité, regroupant toutes les procédures nécessaires à la sauvegarde physique, juridique et logicielle au sein de l’entreprise.
Selon l’organisation et les risques identifiés, d’autres procédures peuvent être nécessaires.
03
Former
Intégrer les principes de la protection des données personnelles pour une mise en conformité au RGPD, nécessite une réelle transformation de l’entreprise dans ses procédures, voire dans son organisation. Il s’agit d’instaurer une véritable culture de la protection des données personnelles au bénéfice des clients, et donc en amont de l’ensemble des collaborateurs.
Comme dans toute transformation, son succès passe en premier lieu par une bonne compréhension pour être adoptée. Le RGPD prévoit des phases de formation régulières, allant de la sensibilisation pour tous, à des modules d’approfondissement adaptés aux métiers et aux fonctions des collaborateurs concernés dans leur quotidien.