Le RGPD, acronyme de règlement général sur la protection des données est un texte de loi. En tant que tel, il ne définit pas précisément les démarches que vous devrez respecter ni les conseils essentiels à mettre en place. Par contre, il existe une mise en conformité incontournable à connaître pour être aux normes face à la déclaration rgpd.
Plan d’action
Il existe une liste non exhaustive pour mettre en place les étapes rgpd dans une entreprise. Certains d’entre eux sont déjà présents dans votre société, mais vous pouvez tout de même les actualiser pour suivre la mise en conformité rgpd.
La première chose à réaliser d’étudier les différentes lignes de cette loi. Vous pouvez ensuite compléter votre lecture avec des formations ou des articles expliquant les différentes lignes. Une fois cette étape terminée, il est conseillé de désigner un chef de chantier dédié pour le rgpd.
En effet, vous devez la prendre comme un projet à part entière pour votre entreprise et ainsi, attribuer des ressources (du budget, du temps et de collaborateur), définir les actions à réaliser et mettre en place les priorités. Sachez également que la mise en place du projet requiert un suivit. Cela a pour but de connaître son avancement et ainsi communiquer sur son évolution en cours.
Une fois ces étapes terminées, vous devez cartographier vos tâches. Cette phase est même primordiale afin de maximiser les résultats. Pour ce faire, vous devez déterminer les fichiers ainsi que les informations concernant ou qui converge vers le rgpd.
Mise en conformité des actions RGPD
Au démarrage de votre projet de mise en conformité et ainsi que durant son application, il est important de garder des traces de toutes les étapes que vous avez menées allant dans le sens du rgpd. Cela a pour avantage, en cas de contrôle (venant de l’autorité de contrôle) de prouver que votre entreprise respecte la loi concernant la protection des données.
Le traçage de vos actions a également pour but de faciliter l’audit, que ce soit interne ou externe, de votre entreprise. Cela permet également d’obtenir une cartographie générale de l’évolution du projet et de connaître facilement les étapes restantes.
Pour réaliser ce type de suivi, vous pouvez par exemple, tout simplement réaliser un tableau ou en utilisant un logiciel rgpd, si le budget le permet, qui gérera l’ensemble du projet. Le but étant de pouvoir connaître au minimum la date de création du projet ainsi que la description des différentes actions menées. Concernant ces dernières, le suivi devra facilement indiquer leurs statuts courants et afficher la date de leur résultat final. À remarquer que la mise en place des dates est importante afin de retrouver facilement tout l’historique.
Pour faciliter ce type de suivi, l’utilisation d’un outil de gestion de projet est l’idéal. Il pourra facilement calculer la gestion des risques, la gestion des ressources, etc. Un outil de gestion a également pour avantage d’être précis dans son calcul (l’utilisation du diagramme de Gantt par exemple devient possible).
Sécurisation et protection des données personnelles
La base de la mise en place du rgpd est de protéger ainsi que sécuriser les données personnelles. De ce fait, la mise en conformité vous demandera de réaliser ces aspects dans toutes les parties de vos systèmes d’information, vos projets à venir, mais également vos projets en cours. Notez que cette étape de sécurisations est fastidieuse et complexe, sauf dans le cas où dès le début de la création de votre entreprise, vous avez déjà mis en place la sécurité, mais aussi le respect de la vie privée des utilisateurs à tous les niveaux.
Concernant ces derniers, vous devez par exemple sécuriser le flux (entrants et sortants) grâce à des canaux chiffrés. La sécurisation de l’espace de stockage contenant la base de données est également obligatoire. Le contrôle d’accès devra aussi être renforcé. Afin de protéger les données personnelles, vous devez minimiser leurs traçages au strict indispensable.
De plus, il est conseillé de transformer les flux sortants en pseudonyme. Il s’agit d’un travail que le producteur de flux devra réaliser. Dans le cas contraire, le pseudonymisation deviendra inutile. Par ailleurs, il faudra sensibiliser votre groupe, de façon régulière, à la protection des données personnelles. De ce fait, vous devrez alors réaliser des mises à jour de votre charte informatique.