Les étapes de mise en conformité au RGPD [Guide complet]

Etape 1 – Cartographier l’ensemble des traitements de données de votre entreprise

Un projet de mise en conformité au RGPD commence toujours par un état des lieux, par une phase de diagnostics. Vous devez commencer par recenser tous les traitements effectués par votre entreprise, par analyser la pratique actuelle de votre entreprise en matière d’utilisation des données. Dans un deuxième temps, vous évaluerez la conformité de ces traitements avec les règles du RGPD. Dans un troisième temps, vous construirez le plan d’actions qui vous permettra de palier à vos écarts vis-à-vis du RGPD.

Cette phase initiale de diagnostic se décompose en quatre sous-étapes, chaque sous-étape correspondant à un diagnostic :

• Le premier diagnostic consiste à analyser l’ensemble de vos dispositifs de collecte. Comment collectez-vous les données auprès de vos prospects, utilisateurs ou clients ? Quels sont les dispositifs de recueil des consentements mis en place ? Comment sont construits vos formulaires ? Quelles données collectez-vous ? Le RGPD accorde une grande importance à la manière dont les organisations (publiques ou privées) recueillent les données personnelles. Ce diagnostic ne doit pas être négligé – il est essentiel.
• Vous devez ensuite cartographier les lieux de stockage des données. Dans quelles bases les données à caractère personnel sont-elles stockées ? Dans quels outils ? Comment circulent-elles dans le système d’information ? Pour y répondre, il est nécessaire de procéder à une cartographie des données stockées dans les bases du SI Client et à une cartographie des flux pour comprendre la manière dont la donnée circule.
• Un troisième diagnostic doit être mené sur l’utilisation que vous faites des données personnelles que vous collectez et stockez sur vos clients ou utilisateurs. Il s’agit en définitive de qualifier la finalité de la collecte des données que vous effectuez et des traitements que vous opérez.
• En parallèle de ce troisième diagnostic, vous devez réaliser une étude précise des modalités d’exploitation de la donnée personnelle. Dit autrement : Comment, concrètement, vous utilisez les données que vous collectez et stockez ? Ce diagnostic aboutit à la production d’une cartographie des traitements.

Etape 2 – L’analyse des écarts entre la pratique actuelle et le RGPD

Les analyses et les cartographies réalisées lors de la première étape permettent d’identifier les écarts entre la pratique actuelle et les exigences du RGPD. L’analyse des écarts permet de construire un plan d’actions de mise en conformité. Ce plan d’actions liste et hiérarchise tous les chantiers à déployer au sein de l’entreprise pour réaliser la mise en conformité. Les chantiers et actions doivent être hiérarchisés et ordonnancés. C’est le niveau de risques des traitements qui ordonnent l’ordre de priorisation. Les traitements les plus risqués – par exemple ceux portant sur des données à caractère sensible –  doivent être priorisés sur les autres.

Etape 3 – La mise en œuvre de la conformité au RGPD

Une fois le plan d’actions construit et la roadmap fixée, reste l’étape de la mise en œuvre opérationnelle. Un projet de mise en conformité au RGPD contient par définition un vaste ensemble de chantiers. Nous avons vu à l’instant quel devait être le principal critère de hiérarchisation : la nature plus ou moins sensible des traitements. Dans un but d’efficacité opérationnelle, il est conseillé d’affecter chacun des chantiers principaux à un responsable.

Un projet de mise en conformité réussi permet d’échapper aux sanctions de la CNIL. La bonne conduite d’un projet de mise en conformité nécessite la réunion d’experts du sujet. Nous travaillons avec de nombreux experts des problématiques relatives au RGPD. Votre entreprise n’a pas encore accompli son chemin vers la conformité au RGPD ? Nous vous encourageons à prendre contact gratuitement auprès de l’un de nos partenaires experts en RGPD. Nos experts répondront à toutes vos questions.

Faut-il désigner un Data Protection Officer (DPO) pour réaliser la mise en conformité RGPD ?

La désignation d’un DPO est obligatoire pour :

• Les « organismes publics » et les « autorités publiques ». Cela inclut toutes les administrations et tous les établissements publics – à l’exception des tribunaux.
• Les entreprises pour lesquelles le traitement des données personnelles constitue un aspect essentiel de leur activité et qui exercent un traitement à « grande échelle » de données à caractère personnel.

Si vous êtes un organisme public ou une entreprise réalisant de manière importante des traitements sur les données personnelles, vous devez désigner un DPO. De manière générale, il est conseillé de désigner un Data Protection Officer pour mener à bien votre projet de mise en conformité au RGPD. C’est un gage de sérieux et d’efficacité. Pour en savoir plus sur ce sujet, nous vous invitons à découvrir notre article : « Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ? ».