Le RGPD expliqué concrètement pour les PME et TPE

/

Manon Filhol

Écrit par : Manon Filhol
Pour : Adopte le Digital

Partager cette fiche :

Aussi complexe soit-elle, avec une méthodologie et des outils adaptés, la démarche de conformité RGPD devient abordable même pour les entreprises de taille plus modeste. De plus, elle est source de différenciation auprès de clients toujours plus vigilants.

Voici les principales actions à mener. La bonne nouvelle ? Vous pouvez toutes les administrer de manière totalement guidée et intuitive avec le logiciel Data Legal Drive.

1- Identifier et cartographier les traitements de données

La quasi-intégralité des TPE/PME dispose d’un certain nombre de données à caractère personnel.

Votre entreprise se doit d’être en mesure d’avoir une vision précise de l’ensemble des traitements qu’elle réalise.

Il s’agit de répertorier chacun de ces traitements et de les décrire avec précision.

Par exemple, en tant qu’employeur, votre entreprise assure la paie de ses employés. Vous devez obligatoirement manipuler certaines de leurs données personnelles (Etat civil, informations relatives au salaire…etc.).

Cela vous fait déjà un 1er traitement qu’il vous faut encadrer !

2- Tenir un registre des traitements

Rendu obligatoire par le RGPD, le registre des traitements consiste en l’agrégation précise de tous les traitements de données, au sein d’un même espace, comme :

  • Les traitements non occasionnels (gestion de la paie, la gestion des clients…)
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance…)
  • Les traitements qui portent sur des données sensibles (données de santé par exemple)

3- Désigner un DPO

Le DPO (ou Data Protection Officer) est la personne en charge de la protection des données personnelles en interne ou de manière externalisée.

Le DPO est obligatoire si vous menez :

  • Un suivi régulier et systématique des personnes à grande échelle
  • Un traitement à grande échelle de données dites « sensibles » (données de santé ou données biométriques, dans le but d’identifier une personne de manière unique)

Même si vous n’êtes pas concernés par ces particularités, la CNIL recommande néanmoins la désignation d’un DPO.

4- Gérer les données et organiser les processus internes

Une fois le recensement effectué et vos équipes prêtes à piloter votre mise en conformité, il est temps de rentrer dans le vif du sujet, et d’appliquer les principes du RGPD aux process de l’entreprise.

Vous devez, entre autres :

  • Prendre en compte les obligations du RGPD dès la conception de vos projets
  • Mettre en conformité les contrats avec vos partenaires, ces derniers jouant un rôle dans des traitements réalisés pour le compte de votre entreprise
  • Gérer les traitements à risque, en établissant un PIA, outil permettant de les répertorier et de les anticiper
  • Documenter sa conformité avec précision, en centralisant le maximum d’éléments possible

5- Garantir le droit des personnes

Avec le RGPD, les droits des utilisateurs sur leurs données sont renforcés.

Votre entreprise est tenue de respecter certaines demandes des personnes (le droit de savoir ce qui est fait de leurs données, de les rectifier, de les supprimer …), sous certaines conditions.

Votre entreprise doit mettre en place les moyens organisationnels et techniques adéquats afin d’y répondre le plus rapidement possible (en laissant accès à un formulaire en ligne, pour effectuer les demandes, puis les consigner et les traiter par exemple).

6- Garantir la sécurité des données et anticiper une éventuelle faille

Dernier point mais pas des moindres, vous devez assurer la sécurité des données que vous traitez, en interne et avec les sous-traitants.

Vous devez être préparé à répondre à la moindre faille et que la sécurité de votre Système d’Informations soit bien outillée, auditée et régulièrement testée.

Il s’agit ici encore d’anticiper, de prévenir et de réagir de manière.