Les étapes clés de la mise en conformité RGPD

By admin_snaac 2 février 2019

Depuis le 25 mars 2018 et l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), les responsabilités des entreprises quant au traitement des données personnelles qu’elles récoltent sont multipliées. Les entreprises ont désormais l’obligation de se mettre en conformité avec le RGPD, sous peine de lourdes sanctions. Voici les 6 grandes étapes clés pour s’assurer de la conformité de son entreprise.

Le RGPD, définition

Avant d’énoncer les étapes de la mise en conformité RGPD pour une entreprise, il nous semble utile de rappeler ce qu’est le nouveau règlement européen. Pour faire face à l’essor d’internet et au Big Data, ainsi qu’à l’obsolescence des législations nationales, la Commission européenne a proposé une réforme globale de ces lois dès janvier 2012.
Ce nouveau règlement européen, RGPD, a donc trois buts principaux :
- Proposer une uniformisation de la réglementation européenne sur la protection des données ;
- Responsabiliser les entreprises en développant le contrôle en interne ;
- Renforcer le droit des personnes quant à leurs données personnelles.


Pour en savoir plus sur le RGPD et ses différentes mesures, consultez notre livre blanc sur la protection des données personnelles.

Quelles entreprises sont concernées par la mise en conformité RGPD ?

Toutes les entreprises privées ou publiques, et ce quelle que soit leur taille, sont désormais dans l’obligation de se mettre en conformité avec le nouveau règlement dès lors qu’elles récoltent les données personnelles de citoyens européens. Ainsi, une entreprise implantée aux États-Unis, mais traitant les données personnelles de clients européens sera également concernée par le RGPD.

Le RGPD concerne donc tout autant une petite PME qu’un organisme de santé publique comme un hôpital. À partir du moment où une entreprise collecte des données personnelles, elle est concernée par le RGPD.

Quelles sanctions en cas de non-conformité ?

La mise en conformité RGPD est obligatoire depuis le 25 mai 2018, et son non-respect peut vous coûter cher ! Après un avertissement et une injonction de la CNIL, l’autorité de contrôle du RGPD en France, deux types de sanctions administratives sont prévues pour les entreprises présentant une violation du nouveau règlement.

Ces sanctions ont tout d’abord un rôle dissuasif, mais leurs montants sont extrêmement élevés :
- Un montant de 2 % du chiffre d’affaires mondial ou une amende de 10 millions d’euros peuvent être appliqués lors d’un dysfonctionnement constaté, comme la non-tenue d’un registre de traitement.
- En cas d’infractions plus graves, ou de non-respect du RGPD, par exemple le fait de ne pas demander le consentement d’une personne avant la collecte et le traitement de ses données personnelles, les montants sont encore plus élevés. Un montant correspondant à 4 % du CA ou une amende de 20 millions d’euros peuvent être exigés.

Les étapes clés de la mise en conformité RGPD

Si l’entrée en vigueur du RGPD a supprimé de nombreuses formalités auprès de la CNIL, les entreprises doivent désormais assurer la protection des données personnelles qu’elles récoltent. Voici les 6 étapes à suivre pour être en conformité RGPD.

1. Désigner un pilote : le DPO
La désignation d’un Data Protection Officer (ou DPD Délégué à la Protection des Données en français), est obligatoire.

Véritable délégué à la protection des données, le DPO doit s’assurer du respect du nouveau règlement et sert d’intermédiaire privilégié avec les autorités de contrôle.

Il est également chargé d’informer et de conseiller le responsable et de réaliser un inventaire des traitements de données de l’entreprise.

Il est alors de votre devoir d’accorder au DPO des moyens humains et financiers nécessaires à la bonne réalisation de ses missions.

2. Cartographier les traitements de données personnelles
Il est important, et obligatoire, de recenser précisément les différents traitements de données personnelles que votre entreprise met en œuvre, afin de constituer un registre.

Ce registre, ou documentation interne doit recenser les informations suivantes :
< - Les différents traitements de données personnelles,
- Le type de données récoltées et traitées,
- Les objectifs de ces traitements de données,
- Les acteurs responsables de la collecte et du traitement, y compris les sous-traitants
- L’origine et la destination des données, ainsi que les transferts de données en dehors de l’Union européenne.


Il est également important de relever le caractère à risque de certaines informations, comme celles relatives à la santé ainsi que le temps de conservation de chaque donnée.

3. Prioriser ses actions
En fonction des résultats obtenus suite à la cartographie précédente, vous devez identifier quelles actions doivent être menées en priorité pour être en conformité RGPD. Vous devez notamment vous assurer que :
- Uniquement les données nécessaires à vos objectifs sont récoltées. Nul besoin de données relatives aux opinions politiques pour une relation client par exemple.
- Les mentions informant la collecte et le traitement des données soient à jour.
- Vos sous-traitants appliquent les nouvelles règles et que vos contrats disposent d’une clause de confidentialité et de sécurité des données personnelles.
- Les personnes concernées par la collecte et le traitement des données personnelles peuvent faire jouer leur droit de retrait, d’accès ou de rectification de ces données.

4. Gérer les risques
Dans certains cas, comme dans le milieu de la santé ou de la finance, le traitement des données personnelles représente un risque pour les droits et libertés des personnes.

Il est alors nécessaire d’établir une analyse d’impact sur la protection des données (DPIA, Data Protection Impact Assessment) pour s’assurer que l’entreprise réalise un traitement conforme au RGPD.

Plusieurs critères déterminent si votre traitement est susceptible d’engendrer des risques, et nécessite donc une analyse d’impact :
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
- Exclusion du bénéfice d’un droit, d’un service ou contrat.


5. Organiser un processus en interne
Pour sécuriser en permanence les données récoltées, il est important de mettre leur protection au cœur du fonctionnement de l’entreprise ou de l’organisme. Ainsi, vos équipes et collaborateurs doivent être formés, et les réclamations des utilisateurs quant à l’exercice de leurs droits d’accès ou de rectification des données doivent pouvoir être traitées à tout moment.

Votre entreprise et vos collaborateurs doivent savoir comment réagir en cas de menace, et prévoir une notification à l’autorité de contrôle (la CNIL) ainsi qu’aux personnes concernées dans les 72 h suivant l’incident.

6. Réaliser une documentation
Dernière étape indispensable pour être en conformité RGPD, constituer une documentation actualisée régulièrement afin de prouver que vos traitements de données sont conformes au règlement.

Cette documentation devra comporter les éléments suivants :
- Vos registres de traitement,
- Vos analyses d’impact,
- Si nécessaire, l’encadrement des transferts de données en dehors de l’UE,
- Les mentions d’information
- Les modèles de recueil du consentement des personnes concernées par le traitement des données personnelles,
- Les procédures mises en place pour traiter des droits des personnes,
- Vos contrats avec des sous-traitants,
- Les procédures mises en place en interne en cas de violations de données.

Cette documentation est la preuve que votre entreprise respecte le nouveau règlement européen, et donc que vous êtes en conformité totale avec le RGPD.

Pour aller plus loin, consultez notre Livre blanc sur la protection des données personnelles.