GDPR : 5 étapes concrètes pour se mettre en conformité

Vous avez tout entendu ou presque sur la GDPR. Vous l’aurez compris, son but est de protéger les données personnelles des citoyens de l’Union Européenne. Il peut s’agir d’un nom, d’une adresse e-mail, d’une photo, d’un numéro d’assurance sociale, de préférence d’achat, etc. Les entreprises et les établissements publics du monde entier sont concernés du moment qu’ils traitent avec des citoyens de l’UE.

La loi sera applicable dès le 25 mai 2018 sous peine d’amende pouvant atteindre jusqu’à 4% du chiffre d’affaires ou jusqu’à 20 millions d’Euros. Mais, concrètement, que devez-vous faire pour respecter cette nouvelle loi ?

Voici la réponse en 5 points.

1 | Désigner un responsable de la protection des données

La loi exige une telle nomination pour certains établissements seulement. Pour tous les autres, il reste très avantageux de nommer un délégué à la protection des données.
Cette personne devra connaitre la législation sur le bout des doigts, être capable de sensibiliser les collaborateurs à la protection des données et surtout de contrôler en permanence que l’entreprise applique ces nouvelles exigences légales.

2 | Identifier toutes les données personnelles en possession de l’entreprise

Posez-vous les questions suivantes : « Quelles sont les données que l’entreprise collecte ? Sont-elles des données personnelles ? Qui a accès à ces données ? Transitent-elles par des tiers ? Où sont-elles stockées ? Comment sont-elles traitées (y compris par les tiers) ? ». Consignez toutes ces informations dans un document.

Fonctionnez par service. Les ressources humaines détiennent souvent les données des collaborateurs. Le marketing et la vente possèdent les données des clients ou prospects. La production, dans certains cas, peut également disposer de données personnelles de clients (prestation financière, activité médicale, éditeur de logiciel, etc.).

3 | Mettre en place des procédures pour répondre à chaque obligation

Documentez et mettez en place des procédures pour répondre à chacune des exigences de la GDPR.

Consentement : Créer un message pour demander de manière très explicite et compréhensible le consentement des personnes pour l’utilisation de leurs données à des fin commerciales (exemple de message). Envoyer ce message et conserver la preuve du consentement.
Droit d’accès : Décrire la marche à suivre pour extraire la liste de toutes les données relatives à une personne, lui donner accès à ses données et expliquer comment elles sont traitées.
Portabilité des données : S’assurer lors d’un audit par exemple que toutes les données personnelles sont stockées dans un format électronique usuel et facilement lisible pour permettre leur transmission.
Droit d’opposition : Mettre en place un contrôle sur les communications pour s’assurer que les personnes puissent en tout temps s’opposer à l’utilisation de leurs données à des fins commerciales (lien de désinscription sur les e-mails, choix des communications sur le compte client, etc.).
Droit à l’oubli : Définir les étapes à suivre lorsqu’une personne demande l’effacement de ses données et comment prouver qu’elles ont bien été supprimées ou anonymisées. Par exemple, conserver d’un côté le nom des personnes avec une clé chiffrée et stocker ailleurs les données personnelles associées à la clé.

4 |  Identifier les risques, les moyens de protection et les plans d’action

Identifiez les risques auxquels les données personnelles peuvent être soumises : accès non autorisé en interne, perte de données, hacking externe, etc.

Puis, dressez l’inventaire des mesures de protection en place ou à mettre en place : Rédigez une documentation sur les droits d’accès aux logiciels ; Réalisez des contrôles de la bonne attribution de ces droits ; Implémentez des outils de protection standards (anti-virus , firewall…) ; Vérifiez qu’ils fonctionnent bien par le biais de contrôles réguliers, etc.

Créez également des plans d’urgence. En cas de fuite de données personnelles par exemple, l’autorité de contrôle doit être obligatoirement avertie de l’incident dans les 72 heures.

5 | Sensibiliser les collaborateurs 

80% des incidents associés à la sécurité de l’information sont liés à une erreur ou une intervention humaine.

Formez les collaborateurs en organisant des séances d’information sur ces nouvelles exigences : Quels sont les droits des personnes dont l’entreprise détient des données personnelles ? Quels sont les risques si les exigences ne sont pas respectées ? Que faut-il faire pour les éviter ?

Selon l’importance que la GDPR revêt dans votre entreprise, vous pouvez aussi faire signer une charte de sécurité de l’information ; transmettre un QCM pour vous assurer que les collaborateurs aient bien compris comment agir ; mettre en place des contrôles réguliers pour garantir la bonne application des procédures, etc.

Certes, la GDPR représente une contrainte supplémentaire pour votre entreprise mais elle peut être source d’opportunités. Elle vous permettra de remettre en question l’existant, de rationaliser les façons de travailler, de réduire les risques liés aux données, de rassurer vos clients ou encore de renforcer l’esprit d’équipe.

Publié le 27 avril 2018

Partager cet article