RGPD : 6 étapes de mise en conformité pour les PME

Le nouveau Règlement Européen pour la Protection des Données (RGPD) s’applique depuis le 25 mai 2018. Les entreprises doivent se mettre en conformité pour éviter les sanctions. Dirigeant de PME, l’application du RGPD vous angoisse ? Voici 6 étapes clés pour organiser votre mise en conformité et gagner un temps précieux.

1. Désigner un responsable RGPD

Pour piloter la gouvernance des données personnelles de votre structure, vous devez designer une personne qui se charge d’organiser tous les actions à mener. Véritable « chef d’orchestre »de la protection des données traitées par l’entreprise, il est l’élément pivot pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. Ses principales missions sont:

• de diffuser en interne de l’information sur les contenus des nouvelles obligations;
• de sensibiliser les décideurs sur l’impact de ces nouvelles règles à tous les niveaux;
• de réaliser l’inventaire des traitements de données de l’entreprise;
• de concevoir des actions de sensibilisation pour les salariés;
• de piloter la conformité en continu.

Dans certains cas, le nouveau règlement européen impose même l’obligation de designer un DPO (délégué à la protection des données ou Data Protection Officer). C’est les cas pour les organismes publics par exemple. Mais votre entreprise doit le faire aussi si son activité de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » (afférentes à la santé, à la religion etc.) ou relatives à des condamnations pénales et à des infractions.

Si vous avez déjà nommé un correspondant informatique et libertés (Cil), vous pouvez faire monter ce dernier en compétences. D’autres options : recruter une personne dédiée ou externaliser cette fonction auprès de prestataires spécialisés.

Enfin, même si votre organisation n’est pas formellement dans l’obligation de désigner un DPO, il est fortement recommandé de désigner un responsable pour ce chantier structurant, disposant de relais internes et chargé de s’assurer de la mise en conformité au RGPD (les étapes suivantes).

2. Cartographier le traitement des données personnelles

La seconde étape consiste à mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez. A cette fin, il faut passer en revue l’ensemble des traitements de données personnelles, informatisées ou non (archives papier), issus des différentes activités de votre entreprise : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et prospects etc. Il s’agit en fait d’identifier tous les processus concernés par le RGPD afin d’avoir une vision d’ensemble sur vos traitements de données.

Ce travail préliminaire servira à élaborer un registre des traitements des données qui pourra être demandé à tout moment par l’autorité nationale pour la protection des données, la Commission nationale de l’informatique et des libertés (Cnil) en France. Ce registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, dans celui-ci vous devez créer une fiche pour chaque activité recensée, en précisant :

• la finalité de l’action (par exemple, la fidélisation client);
• les données utilisées (exemple pour la paie : nom, prénom, NIR, salaire etc.);
• qui a accès aux données (les différents services / salariés de l’entreprise);
• la durée de conservation des données du point de vue opérationnel et en archive.

3. Établir un plan d’action

Sur la base de ce registre des traitements, un plan d’actions doit être mis œuvre. Votre entreprise doit identifier les actions à mener pour vous conformer aux obligations actuelles et à venir et profiter de ce nouveau règlement pour améliorer les pratiques en interne. Elle doit notamment :

• engager des travaux informatiques pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement;
• revoir les modalités d’exercice des droits des individus concernés, du recueil du consentement ou de mettre en œuvre le « droit à l’oubli »;
• redéfinir les droits d’accès : s’assurer que seules les personnes habilitées ont accès aux données dont elles ont besoin;
• minimiser la collecte de données, automatiser l’archivage au bout d’une certaine durée dans toutes les applications et ne pas conserver des données au-delà de qui est nécessaire.

Toutes ces actions doivent être priorisées au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Ce travail peut souvent entraîner une révision en profondeur de la politique de confidentialité de l’entreprise.

Par ailleurs, la conformité concerne aussi les sous-traitants et les partenaires de l’entreprise, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne s’ils gèrent des données de citoyens européens.

4. Mener une étude d’impact

Une des premières actions à mettre en œuvre si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées c’est de mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA pour Privacy Impact Assessment). Il s’agit également d’une action venant en complément de la cartographie des données : après avoir recensé tous vos traitements de données personnelles, vous calculez ensuite leur niveau de conformité en les soumettant à une étude d’impacts.

5. Définir le cadre de gouvernance et les processus

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Il s’agit donc d’inscrire votre plan d’actions dans la durée. Pour cela, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité des données que vous traitez tout au long du processus, de la collecte à sa suppression. Quelques questions à vous poser dans ce sens :

• Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (le principe « privacy by design » du RGPD) ?
• Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ?
• Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?

Ce cadre de gouvernance implique également la mise en place de procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles. Il faut définir les acteurs et les modalités pour chaque processus.

6. Sensibiliser les collaborateurs à la protection des données

La notion de respect de la vie privée doit être partagée par tous les salariés de l’entreprise. Une partie très importante de la préparation au RGPD est la sensibilisation de vos salariés. Ils travaillent tous au quotidien avec des données potentiellement sensibles. Il faut donc leur rappeler que même un simple fichier Excel contenant des contacts constitue un traitement de données personnelles. Ils doivent pouvoir prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

Pour garantir un haut niveau de protection des données personnelles en permanence il convient donc de construire un plan de formation aux nouvelles obligations introduites par le RGPD pour tous vos collaborateurs. Un plan de communication définissant notamment comment la remontée d’information sera organisée devrait également être établi.