RGPD et entreprises : les 5 points clefs pour bien se préparer !

RGPD et entreprises : les 5 points clefs pour bien se préparer !

le

Dans moins d’un an, en mai 2018, toutes les entreprises collectant, exploitant ou stockant des données personnelles devront respecter de nouvelles règles. Revue de méthode pour réussir ce grand chantier avec Marine Brogli de DPO Consulting.

La nouveau Règlement Général européen pour la protection des Données Personnelles, le RGPD, applicable à partir de mai 2018. A cette date, les entreprises devront avoir des pratiques conformes à ce nouveau cadre, sous peine de très lourdes sanctions. Sur quels aspects doivent-elles travailler en priorité ?

Cartographier les traitements de données personnelles

« Il faut avant tout faire un inventaire exhaustif de l’ensemble des traitements effectués par l’entreprise » explique Marine Brogli, présidente de DPO Consulting, cabinet de conseil spécialiste des questions de données personnelles. Objectif : identifier les processus à risques et hiérarchiser les traitements à ajuster. « C’est un travail long et fastidieux qui nécessite de consulter tous les départements et d’analyser leurs usages en matière de collecte et de traitement de données », complète Marine Brogli.

Créer un registre

Sur la base de cette cartographie, il sera ensuite possible de créer un registre des traitements. Les entreprises de plus de 250 salariés auront en effet l’obligation de tenir ce registre recensant l’ensemble des traitements effectués dans le cadre de leur activité. Les entreprises qui sont également concernées : celles qui traitent des données sensibles ou susceptible de présenter un risque pour les personnes concernées, ou encore qui font du suivi comportemental à grande échelle, ou encore dont le cœur d’activité nécessite des traitements récurrents. Ce registre devra être tenu à jour méticuleusement et rester consultable à tout moment par la CNIL. Elément important, pour chaque donnée collectée devront être précisément indiqués : la finalité, les personnes destinataires, les catégories de personnes concernées, les durées de conservation et les mesures prises pour limiter les risques.

Définir un plan d’actions

Etape suivante : définir un plan d’actions visant à mettre en conformité les traitements de données personnelles de l’entreprise. « Selon les entreprises, nous prévoyons entre 80 et 150 actions à mener pour se mettre en conformité », évalue Marine Brogli. La plupart de ces actions consisteront en des ajustements opérationnels ou technologiques. Le temps étant compté, il est bien évidemment recommandé de prioriser ces ajustements et de les organiser selon un calendrier précis. Point de départ impératif : le traitement des données sensibles ou critiques, pour lesquelles l’entreprise pourra notamment utiliser le cryptage ou l’anonymisation, comme préconisé par le RGPD.

Mettre en place une task force

« Afin d’implémenter le plan d’actions, nous recommandons de constituer une task force transversale chargée de mener à bien ce projet au sein de l’entreprise », explique Marine Brogli. Elle pourra comporter des représentants de la direction juridique, de l’IT, de la cybersécurité mais aussi des métiers principaux de l’entreprise. « L’impact du traitement des données sur le business est très important », souligne Marine Brogli. C’est pourquoi, pour être efficaces, les mesures doivent être pensées en fonction des contraintes opérationnelles de chacun des métiers.

Sensibiliser et former ses équipes

La data étant désormais omniprésente dans de très nombreuses entreprises, tous les échelons doivent se sentir concernés par cette réforme. C’est pourquoi, des RH au marketing, l’ensemble des équipes traitant des données personnelles doit être formé. C’est une étape clef pour s’assurer de la mise en place de nouvelles pratiques conformes aux exigences du RGPD. « L’implication de la direction sera notamment clef pour donner l’impulsion, changer les mentalités et faire prendre conscience de l’importance du nouveau cadre », explique Marine Brogli.

Newsletter

Restez informé de l’actualité de votre secteur en choisissant parmi nos newsletters thématiques.