Voici les 7 étapes clés pour se préparer à la RGPD :
1) Former et sensibiliser au RGPD toutes les personnes responsables de traitements de données à caractère personnel au sein de l'entreprise. La loi désigne ces responsables comme toutes personne physique ou morale qui détermine les finalités et les moyens de ces traitements. Mais il est aussi important de répandre la "culture RGPD" à l’ensemble de l’entreprise et de sensibiliser tout le personnel à ce sujet.
2) Désigner un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) dont le rôle est de garantir le contrôle de la protection des données et de piloter la mise en conformité des traitements. Cette personne doit avoir les connaissances juridiques nécessaires et être formée aux pratiques en matière de protection des données.
3) Faire un audit de l'existant en listant tous les traitements de données à caractère personnel réalisés au sein de l'entreprise (vente en ligne, facturation, livraison...) et les données traitées (quels types de données, à qui elles appartiennent, combien de temps elles sont conservées…). Cette analyse permettra ensuite de mettre en place des solutions pour être en conformité avec le règlement : recueil et gestion des consentements, limitation de la durée de conservation, anonymisation, purge, chiffrement...
4) Définir des règles strictes pour la gestion des données et les suivre en mettant en place des processus et dispositifs d'encadrement et de contrôle des traitements afin de s'assurer qu'ils respectent le RGPD sur le long terme.
5) S'assurer que les outils utilisés protègent correctement les données personnelles traitées. Vous utilisez divers outils et technologies pour récolter, stocker et traiter les données personnelles. Si ces outils ne respectent pas les principes de protection de ces données, il est nécessaire d’en changer. Il en est de même pour les hébergeurs et sous-traitants avec lesquels vous travaillez.
6) Améliorer la lisibilité des droits des personnes dont vous possédez les données personnelles. C'est-à-dire leur exprimer de façon claire et simple et leur permettre de les appliquer de façon claire et simple également : droit à l'oubli, droit à la limitation du traitement, droit à la portabilité des données, droit d'être informé, etc.
7) Assurer la sécurité des données récoltées et stockées. Respecter et protéger les données à caractère personnel dans leur utilisation au sein de l’entreprise est une chose, mais il faut aussi s’assurer qu’elles sont en sécurité là où elles sont stockées en mettant en place des politiques, outils et procédures de sécurité. Comprendre le RGPD et le mettre en application au sein de son entreprise est un travail complexe. Pour que cette mission soit menée correctement et durablement, il est possible de se faire conseiller et accompagner par les spécialistes de chez Nomios.
A lire : Loi européenne RGPD 2018 : protection des données personnelles