Vous souhaitez faire un audit RGPD ? Les 4 étapes pour commencer ?

rgpd - audit - lannion - perros guirec
4 décembre 2018 team 0 Comments


rgpd - audit - lannion - perros guirec

Depuis le 25 mai 2018, le règlement européen est entré en application et vous souhaitez probablement réaliser un audit de votre organisation afin de savoir si vous êtes en conformité. Les entreprises doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité à la CNIL. Voici 4 étapes pour mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces et notre agence est à votre disposition pour vous accompagner dans cette démarche

  1. Constituez un registre de vos traitements de données

Ce document vous permet de recenser tous vos fichiers et d’avoir une vision d’ensemble.

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.
Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

  • L’objectif poursuivi (la finalité – exemple : la fidélisation client) ;
  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
  • Qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles et sache que le registre est placé sous la responsabilité du dirigeant de l’entreprise.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

  1. Faites le tri dans vos données

La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.

Pour chaque fiche de registre créée, vérifiez que :

  • – les données que vous traitez sont réellement nécessaires à vos activités 
  • – vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter 
  • – seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • vous ne conservez pas vos données au-delà de ce qui est nécessaire.

A cette occasion, améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

  1. Respectez les droits des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs, etc.).

Informez les personnes

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte les éléments suivants :

  • – pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
  • – ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • – Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité / page vie privée sur votre site internet.

À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

 

Permettez aux personnes d’exercer facilement leurs droits

 

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

4. Sécurisez vos données

Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.

Des réflexes doivent être mis en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

Source : www.cnil.fr