RGPD – Que faire pour être en conformité ?

La mise en conformité avec le RGPD nécessite un certain travail au sein de toute structure collectant des données personnelles. Tout le monde est concerné ! Des associations aux entreprises du CAC 40 en passant par les TPE ou PME. Par où commencer ?

 

Etape 1 : nommer un délégué à la protection des données

Comme pour tout projet, la mise en conformité demande un minimum d’organisation.
Il est donc fortement recommandé de nommer une personne qui pourra piloter le projet au sein de la structure : le Délégué à la Protection des Données (DPD).

Cette personne aura pour mission de faire l’inventaire de tous les fichiers existants qu’il s’agisse de fichiers commerciaux mais également de fichiers RH, comptables …

 

Etape 2 : constituer un registre

La première mission du DPD pour entrer dans la démarche, et répondre ainsi aux nouvelles obligations, est de mettre en place une cartographie. Il doit constituer un registre regroupant les fichiers présents votre établissement. Un modèle de registre est proposé par la CNIL : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles.

La cartographie va permettre d’identifier où sont collectées et stockées les données. Toute organisation doit tenir une documentation interne complète sur le traitement de ces données en fonction de leur finalité. Elle doit répondre aux questions suivantes :

  • Qui : qui est le responsable du traitement et qui sont les sous-traitants ?
  • Quoi : quelles sont les données traitées et leur sensibilité ?
  • Pourquoi : pourquoi l’organisme collecte-t-il ces données ?
  • Où : où ces données sont-elles stockées ? Sont-elles transférables dans d’autres pays ?
  • Jusqu’à quand : combien de temps sont-elles conservées ?
  • Comment : quelles sont les mesures de sécurité prises pour garantir leur sécurité ?

 

Etape 3 : se conformer aux obligations actuelles et à venir

Une fois le registre effectué et tous les canaux d’alimentation des fichiers de données identifiés, il est essentiel d’identifier les actions à mettre en place afin d’être en conformité. La CNIL met en avant 6 points de vigilance :

  1. S’assurer que seules les données nécessaires à la poursuite des objectifs déterminés sont collectées et traitées
  2. Identifier la base juridique sur laquelle le traitement se fonde (consentement de l’individu, intérêt légitime, contrat, obligation légale)
  3. Réviser les mentions légales, CGV ….
  4. Vérifier que les sous-traitants répondent à leurs obligations
  5. Prévoir les modalités d’exercice des droits des individus pour lesquels les données sont collectés (droit d’accès, de rectification, droit à la portabilité, retrait du consentement …)
  6. Vérifier les mesures de sécurité

 

Etape 4 : gérer les risques

Une fois la cartographie réalisée et les moyens de collectes mis en conformité, l’heure est à la gestion des risques. Vous devrez mener pour chacun des traitements une étude d’impact sur la protection des données. On entend également parler, en anglais, de Privacy Impact Assessment ou PIA.
L’étude d’impact doit être menée sur les traitements existants et pour tout nouveau traitement.

La CNIL propose un outil pour aider les structures à réaliser leur PIA : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.

 

Etape 5 : mettre en place des processus internes

Afin de garantir la protection des données personnelles de manière durable, il est essentiel que l’organisation mette en place des processus, par exemple :

  • Que faire en cas de faille de sécurité ?
  • Comment gérer les demandes d’accès ou de rectification ?
  • Comment modifier les données collectées ?
  • Que faire en cas de changement de prestataire ?

Dès la conception d’un site web, d’une application mobile, … la protection des données personnelles doit donc dorénavant être prise en compte. Il est également essentiel de sensibiliser l’ensemble des collaborateurs sur cette problématique afin que chacun puisse mesurer l’importance du sujet.

 

Etape 6 : Documenter la conformité

Afin de pouvoir prouver sa conformité, l’organisme doit mettre en place une documentation démontrant que le traitement des données personnelles est conforme au règlement. Il devra notamment comporter les pièces suivantes (source : CNIL – https://www.cnil.fr/fr/documenter-la-conformite) :

  • Le registre des traitements
  • Les analyses d’impact sur la protection des données pour les traitements susceptibles d’engendrer des risques élevés
  • L’encadrement des transferts de données
  • Les mentions d’information des personnes dont l’organisme détient les données
  • Les modèles de recueil du consentement
  • Les procédures mises en place pour l’exercice des droits des individus
  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violation des données
  • Les preuves que les personnes concernées ont donné leur consentement

 

Auteur

Fondatrice & COO d'OSCAR Campus CRM , Florence Cann évolue depuis 20 ans dans la communication des écoles, des CFA et des universités. Elle est spécialiste du webmarketing et des stratégies CRM.

Related Posts

21Déc

Gérer sa base de données

Une base de données est environnement "vivant".Il est important de gérer sa base de données une fois les contacts collectées,... Lire la suite

interview dominique riviere
09Nov

Témoignage : Dominique Rivière, IAE Paris-Sorbonne

Pouvez-vous vous présenter ?

Je m’appelle Dominique Rivière ; j’ai effectué toute ma carrière professionnelle à l’IAE Paris-Sorbonne et y ai occupé... Lire la suite

13Juil

Mesurer l’efficacité de sa campagne de recrutement

Si mettre en place un dispositif de Gestion de la Relation Candidats est devenu un impératif dans la stratégie des... Lire la suite

26Fév

Travailler son plan d’action en fonction de chaque cible

Au même titre qu'un établissement met en place des actions de communication pour collecter des leads qualifiés, il est essentiel... Lire la suite

06Oct

Pourquoi mettre en place une stratégie CRM ?

La relation candidat peut être définie comme l’art de cultiver le lien avec ses candidats. Elle est indissociable de la... Lire la suite

09Fév

Quelles sont les attentes des jeunes en matière de recrutement ?

Voici déjà un mois que les élèves de terminale ont démarré leurs vœux de formation sur Parcoursup. Comme pour son... Lire la suite

10Sep

Le CRM, un outil indispensable pour les écoles?

Avec l'émergence des campus internationaux et l'arrivée de nouveaux programmes aux formats différents, le secteur de l'enseignement supérieur devient de... Lire la suite

10Nov

Webinaire : Comment les logiciels favorisent-ils l’expérience étudiante ?

L'expérience étudiante est l'une des clés stratégiques d'un établissement d'enseignement supérieur. Le collectif « Expérience Etudiante » vous... Lire la suite

10Jan

Pourquoi interfacer son logiciel CRM avec d’autres outils ?

Le logiciel CRM est l’outil central de la stratégie de développement des établissements d’enseignement supérieur. En effet, il regroupe toutes... Lire la suite

22Mar

CRM et ERP : deux logiciels différents et complémentaires

CRM et ERP sont devenus des logiciels indispensables au bon fonctionnement des établissements d’enseignement supérieur. Toutefois, on les confond souvent,... Lire la suite