Comment se mettre en conformité avec la loi RGPD ?

La loi est claire : toutes les entreprises qui détiennent ou traitent des données personnelles de citoyens européens doivent se conformer au RGPD (Règlement Général sur la Protection des Données) qui est entré en application le 25 mai 2018. Et pour la première fois, la loi européenne introduit des sanctions en cas de non-respect de ce règlement, des sanctions particulièrement dissuasives puisque les amendes encourues peuvent atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires de l’entreprise sanctionnée. Mais la peur de la sanction ne doit pas être la seule motivation. Être en conformité avec le RGPD est aussi une réelle opportunité pour les entreprises et organisations de développer des relations durables et respectueuses avec leurs clients. Faire preuve de sérieux dans l’utilisation des données personnelles de ses clients permet aussi d’appuyer sa crédibilité et de se distinguer de la concurrence.

Pour être en conformité avec le Règlement Général sur la Protection des Données, il y a cinq grands dispositifs à mettre en place rapidement.

Les principaux dispositifs à mettre en place pour la loi RGPD :

Une politique de protection des données

Établir une politique générale de traitement et de protection des données personnelles dans le respect des principes énoncés par le RGPD et porter cette politique à la connaissance de tous.

Un délégué à la protection des données

Désigner un responsable du contrôle et de la mise en conformité des pratiques en matière de traitements des données personnelles. Cette personne doit assurer la protection de ces données.

Un registre des traitements

Établir un registre de toutes les activités de traitement de données à caractère personnel réalisées par l’entreprise elle-même et par d’éventuels sous-traitants, et tenir ce registre à jour dans le cadre du principe d’accountability (démontrabilité).

Un audit des traitements​

Faire un audit des traitements​ ​de ​données personnelles ​​effectués par l’entreprise en​ ​analysant les risques afin de mettre en place un système​ ​de​ ​protection​ ​efficace des données, et la ​conformité́ de ces traitements avec les principes du RGPD afin d’identifier d’éventuels décalages​. Cet audit mettra en lumière les solutions et procédures à appliquer pour conformerles processus de gestion des données personnelles actuelles aux nouvelles normes en vigueur.​

Une procédure de gestion des réclamations et des incidents

Mettre en place une procédure de traitement des réclamations et des demandes des personnes concernées par les données traitées (demandes d’accès aux données, de rectification, de suppression). Mettre également en place une procédure de notification dans le respect du droit d’être informé de ces personnes en cas de failles de sécurité et de violations des données personnelles.

Se faire accompagner dans sa mise en conformité par des spécialistes :

Une fois ces cinq grands dispositifs préconisés par la CNIL mis en application, le plus gros du travail de mise en conformité est fait. Mais les problématiques qui gravitent autour de la sécurité, de laconfidentialitéet de latraçabilité des données personnelles sont sensibles et à haute valeur stratégique. Dans ce contexte, il est plus que conseillé de faire appel aux compétences de spécialistes en matière de sécurité informatique et de protection des données. Les ingénieurs de Nomios peuvent auditer vos solutions et procédures de traitement ​de ​données personnelles actuelles, vous aider dans le choix de nouveaux outils et la définition de nouveaux processus, et vous accompagner dans leur mise en place. Ils peuvent aussi vous former aux grands principes de la sécurité et vous entraîner à faire face aux cyberattaques. Faites part de vos problématiques à Nomios, contactez-nous !