ACCOMPAGNEMENT VERS UNE MISE EN CONFORMITÉ RGPD

Contactez notre responsable RGPD au +33 (0)9 72 88 39 59 (appel gratuit)

L’essentiel pour une mise en conformité RGPD


L’offre L3S s’appuie sur 3 étapes qui permettront à votre entreprise d’aller à l’essentiel pour une mise en conformité face aux exigences du RGPD.

Pour rappel, le Règlement Général sur la Protection des Données entre en application à partir du 25 mai 2018. À partir de cette date, la CNIL (l’autorité en charge de l’application de cette loi en France) mettra en place des contrôles aléatoires ainsi que des contrôles faisant suite à des plaintes (pouvant être déposées en ligne en quelques minutes).

En cas de non respect du RGPD, des amendes pouvant aller jusqu’à 20 millions d’euros (ou 4% du CA, le montant le plus élevé est retenu) seront appliquées à l’entreprise. À noter que le RGPD concerne toute taille d’entreprise et tout secteur d’activité (les exigences peuvent toutefois varier selon la taille de l’entreprise et le caractère des données).

Identification des données de l’entreprise

  • Référencement des données
    Cette étape a pour objectif de référencer l’ensemble des données collectées par l’entreprise au sein d’un registre central (qui servira de support et de base de travail). Ce document fera également apparaitre la justification de la détention et du traitement de ces données.
  • Catégorisation des données
    Cette étape va permettre de classer les données en fonction de leur nature afin de déterminer s’il s’agit de données personnelles, sensibles ou anonymes. L’objectif principal est de définir le champ d’application de la RGPD (quelles données sont concernées).

%

Étude des risques liés aux données

  • Appréciation des risques
    La première phase de l’étude permet d’identifier les différents risques auxquels sont exposées les données de l’entreprise ainsi que définir l’importance de chacun (en fonction de son impact et de sa probabilité).
  • Traitement des risques
    La seconde phase permet de prendre un ensemble de décisions, devant être justifiées, pour chacun des risques précédemment identifiés (à savoir, l’une des options suivantes : acceptation, réduction, transfert ou évitement).
  • Gestion des risques
    La troisième phase permet de définir des préconisations et des processus afin de mettre en application les décisions prises concernant le traitement des risques.

%

Formation du personnel face aux données

  • Sensibilisation aux bonnes pratiques
    Cette partie va présenter aux salariés de l’entreprise, en lien avec le traitement des données, les bonnes pratiques de sécurité (ayant pour objectif d’assurer la disponibilité, l’intégrité, la confidentialité et la traçabilité des données).
  • Définition des flux de communication
    Cette dernière partie présente le rôle et la responsabilité de chaque interlocuteur face aux données. Elle définit également les processus de remontée d’informations qui devront être respectés en fonction des différents évènements susceptibles de se produire.

%

Désignation du DPO


La CNIL recommande très fortement de désigner un délégué à la protection des données afin qu’il y ait un interlocuteur officiel dans l’entreprise. À noter que sous certaines conditions, il est obligatoire pour l’entreprise d’avoir un DPO dans le cadre du RGPD.

Il est possible de mandater un DPO externe à l’entreprise, c’est pourquoi L3S propose de désigner l’un de ses experts en tant que DPO afin qu’il y ait un intermédiaire officiel entre votre entreprise et la CNIL. Cela permettra notamment à votre entreprise de bénéficier du conseil d’un professionnel de la cyber-sécurité en cas de besoin, notamment en cas de prise de contact de la CNIL ou encore pour rester en conformité avec les évolutions des exigences en matière protection des données.

Dans le cas où le DPO est interne à l’entreprise, il est obligatoire que le DPO ne soit pas en situation de conflit d’intérêts en cas de cumul de sa fonction de DPO avec une autre fonction. Par exemple, voici les fonctions susceptibles de donner lieu à un conflit d’intérêts : directeur général, secrétaire général, directeur opérationnel, directeur financier, responsable marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.