Le RGPD, entré en vigueur en mai 2018, modifie profondément la manière de collecter, exploiter et stocker des données personnelles : nom, prénom, e-mail, numéro de téléphone, adresse, photos, empreintes digitales, adresse IP....
Il encadre strictement l’utilisation des données personnelles des personnes, les cookies des sites Internet, le profilage et le scoring, ainsi que le transfert des données hors de l’UE.

Voici les étapes définies par la CNIL pous vous mettre en conformité.

Rgpd actions pour etre conforme 670

1- Nommer un DPO (Délégué à la protection des données)

Je désigne un DPO pour être conforme au RGPD

La désignation d’un délégué à la protection des données est obligatoire si vous répondez à l’une de ces deux conditions :

  • vous êtes un organisme public,
  • vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.

Les principales missions du DPO sont les suivantes :

  • informer en interne sur le contenu des nouvelles obligations
  • sensibiliser les décideurs sur l’impact de ces nouvelles règles
  • réaliser l’inventaire des traitements de données de votre organisation
  • créer et animer des opérations de sensibilisation
  • piloter en continu la conformité.

Même si vous ne répondez pas à l’un des deux critères ci-dessus, il est conseillé de nommer une personne de votre entreprise qui veillera à la mise en conformité de vos traitements au RGPD.

2 - Recenser les traitements de données dans votre entreprise

Je recense les traitements de données pour être conforme au RGPD

Vous devez tenir un registre de traitement des données personnelles.

Pour cela, cartographiez :

  • la liste des traitements, triés par objectif principal (et non par outil utilisé) et les natures de données traitées
  • à qui et où les données sont transmises (en fournissant l’origine et la destination des données, ce qui permet notamment d’identifier les éventuels transferts de données hors de l’Union Européenne)
  • les sous-traitants opérant sur chaque traitement (où et combien de temps sont stockées vos données).

Vous devrez pouvoir justifier de ce registre à tout moment auprès des autorités compétentes. Attention, en cas de non présentation de registre, le montant des amendes peut être très élevé : jusqu'à 4% de votre chiffre d'affaires.

--> Téléchargez un modèle de registre au format Excel est sur le site de la CNIL.

3 - Prioriser vos actions de mise en conformité

Je priorise mes actions pour être conforme au RGPD

Sur la base de la cartographie réalisée à l’étape précédente, faites la liste des actions dont vous avez besoin pour vous mettre en conformité avec la loi. Priorisez-les en tenant compte des risques qu’ont vos traitements de données sur les libertés et droits des personnes.

Ce sur quoi vous devez agir en priorité  :

  • vous ne devez collecter et traiter que les données strictement nécessaires à l'atteinte de vos objectifs
  • vous devez identifier la base juridique de votre traitement (exemples : consentement de la personne, intérêt légitime, contrat, obligation légale…)
  • vous devez informer clairement et sans ambiguëté les personnes concernées (dans quel but et combien de temps seront utilisées leurs données...)
  • vous devez adapter toutes vos mentions d’information (contrats, mentions légales, mentions associées à vos formulaires en ligne…) pour les rendre conformes au RGPD
  • si vous faites appel à  des sous-traitants (hébergeurs, solutions cloud, prestataire réalisant des campagnes de référencement payant pour votre compte...), vous devez vérifier qu’ils remplissent également leurs obligations vis-à-vis du RGPD.
    Vérifiez que dans les contrats qui vous lient à eux, il existe des clauses listant leurs obligations en matière de confidentialité, de sécurité et de protection des données personnelles traitées.
    A savoir : toutes les données gérées par les applications Net Hélium sont hébergées en France.
  • vous devez créer ou réviser les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) et vous assurer que les contacts de votre base puissent y accéder facilement
  • vous devez vérifier, voire augmenter, les mesures de protection des données de votre base pour limiter le risque de piratage
  • si besoin, réalisez des opérations afin d'actualiser la gestion des données personnelles de vos contacts (actualisation du consentement, "opt-inisation"...).

4 - Gérer les risques

Je gère les risques pour être conforme au RGPD

Si des traitements de données que vous effectuez représentent un risque élevé pour les droits et libertés des personnes, vous devez mener une étude d’impact sur la protection des données.

Très peu d'entreprises étant concernées, cliquez ici pour en savoir plus.

5 - Organiser les processus dans votre entreprise et sensibiliser vos collaborateurs à ces changements

Je sensibilise mes collaborateurs au RGPD

Le RGPD impacte également vos procédures internes qui doivent elles aussi bénéficier d'un fort niveau de protection des données personnelles.

Dès la mise en place d’un traitement ou la création d’une application, vous devez désormais penser à intégrer cette problématique de protection des données :

  • récolte de données seulement en rapport avec la finalité du traitement
  • gestion des cookies (délai de 13 mois maximum)
  • durée de conservation des données
  • mentions d’information et recueil du consentement de vos contacts
  • sécurité et confidentialité des données.

En ce qui concerne vos collaborateurs, vous devez les former afin qu'ils apprennent et appliquent les réflexes de la protection des données. Ils sont naturellement acteurs de votre respect de la loi. Par exemple, finis les fichiers Excel intégrant des listes de contacts et leurs données personnelles (nom, prénom, e-mail...).  

6 - Respecter les droits des personnes (traitement des réclamations et des incidents)

Je gère les incidents et les réclamations pour être conforme au RGPD

Vous devez permettre aux personnes d'exercer leurs droits sur leurs données personnelles :

  • un droit d’accès, de rectification, d’opposition vis-à-vis de leurs données
  • un droit à la portabilité de leurs données
  • un retrait de leur consentement

Vous disposez d'un mois pour traiter et justifier de ces demandes. A cette fin, définissez des modalités d’action pour chaque réclamation et désigner les personnes en charge d'appliquer ces actions.

Vous devez également savoir comment réagir et quoi faire en cas d’incident (violation des données)  : suivant les cas, vous devez informer dans les 72h les contacts impactés par cette violation de données.

La gamme Hélium Connect vous aide à vous mettre en conformité avec le RGPD.
Elle vous permettra de réconcilier facilement la collecte via votre site et vos formulaires, la gestion de vos contacts clients et prospects et vos actions de push (e-mails ou SMS) en vous assurant une traçabilité complète et une parfaite adaptation à votre segmentation.

Pour en savoir plus, contactez-nous !

 

D'autres ressources sur le sujet

 

Vous souhaitez en savoir plus ?

Discutons du RGPD dans votre entreprise

    Prenez

contact

Restons connectés

Recevez les derniers articles publiés et les bonnes pratiques liées au RGPD.