Faire appliquer le RGPD en entreprise en 10 étapes

Le Règlement Général sur la Protection des Données ou de son petit nom “RGPD” est une règlementation d’origine européenne qui a pour objet de protéger les données personnelles des individus et leur vie privée.

Le RGPD conduit les entreprises, administration et organismes à prendre toutes les mesures nécessaires à assurer la protection des données personnelles qu’ils collectent pour les besoins de leurs activités :

Recueil du consentement des individus, collecte des données en vue d’un but prédéterminé, durée de conservation limitée, sécurité des systèmes informatiques et droits des personnes. Voici quelques un principes de protection des données personnelles.

Ceci étant dit, comment faire concrètement pour se mettre en conformité ? Chez Leto, nous préconisons une approche itérative afin d’avancer lentement mais sûrement !

Etape 1 : Choisissez une personne en charge du RGPD

Il est illusoire de croire que vous pouvez mener à terme ce projet en impliquant tout le monde de façon sporadique. Comme tout bon projet, la première étape est de définir qui est responsable du sujet.

Les solutions qui s’offrent à vous : choisir un salarié en charge du sujet, embaucher un délégué à la protection des données (DPO) ou faire appel à un DPO externe.

Etape 2 : Cartographiez les données personnelles de l’entreprise

Les données personnelles se baladent absolument partout. Alors, pour faire le point, posez-vous les questions suivantes :

• Quels outils stockent et traitent des données personnelles ? Aujourd’hui, tout se trouve dans les CRM, les éditeurs de mailing, les boites mail etc. Notez de façon exhaustive tous les outils digitaux (et non digitaux) que vous utilisez.
• Quelles types de données trouve-t-on dans ces outils ? Il y a les données qui se voient comme un nez au milieu de la figure. Ce sont celles qui identifient directement une personne : le nom, le prénom. Puis, nous avons les données plus “subtiles” et indirectes comme un numéro de téléphone, un numéro client, une date de naissance, etc.

💡Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement des conversations)(article 4 RGPD).

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.

Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc.

⚠️ Même dans une relation B2B il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise.

Etape 3 : Construisez votre registre des traitements de données personnelles

Le registre des activités de traitement est un document obligatoire recensant l’ensemble des traitements de données personnelles.

Un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle. Concrètement un traitement c’est une utilisation d’un fichier contenant un groupe de données personnelles.

Il convient de renseigner, dans ce registre et pour traitement, plusieurs éléments :

• Pourquoi collectez- vous ces données ? Chaque donnée que vous récoltez doit avoir une utilité précise, une raison (aussi appelé “finalité”). Cette finalité doit vous guider : si par mégarde vous n’utilisez pas les données en cohérence avec cet objectif, alors il serait temps de l’éliminer de votre base de données ;
• Quel fondement vous autorise à collecter ces informations ? Chaque collecte doit être autorisée soit par l’individu lui même par le recueil de son consentement, parfois c’est la loi qui vous oblige à détenir certaines informations (par exemple pour éditer les bulletins de salaire de vos employés) ou un contrat (par exemple avec votre fournisseur ou votre client). Vous pouvez également justifier d’un “intérêt légitime” à collecter certaines données. Pour vous aider, nous avons décrypté ce qu’on appelle les “bases légales”(article 6 RGPD).
• Combien de temps gardez-vous ces données ? Leur durée de conservation doit être cohérente et justifiée au regard de l’objectif de leur traitement. Ne vous inquiétez pas, la CNIL a créé un référentiel afin de vous aider à y voir plus clair :
• Qui y a accès ? Identifiez les destinataires auxquels les données seront communiquées, y compris les sous-traitants. Attention ! Elles doivent être accessibles aux seules personnes compétentes.
• Quelles sont les mesures de sécurité mises en place pour assurer la protection de ces données.

Etape 4 : Mettez en place une bannière de cookies conforme et collectez les consentements

Les cookies, aussi appelé “traceur”, ce sont les informations qui sont récoltées lors de votre visite sur un site web concernant votre historique de navigation, votre comportement sur la navigation etc. Ces informations peuvent être très utiles pour adapter le produit au comportement navigationnel.

Le RGPD impose aux entreprises déposant des cookies sur leur site internet d’informer les utilisateurs et surtout de recueillir leurs consentements à la récolte de ces informations. Vous avez c’est le petit (ou parfois gros) bandeau de cookie qui s’affiche (normalement) lors de votre arrivée sur un site web. Il est important de mettre en place ce système dès le début.

Pour vous y retrouver sur le bon gestionnaire de cookies, dans l’idéal Made in Europe, nous avons rédigé un article qui détaille tout ce que vous devez savoir sur le sujet.

Spoiler Alert : Google Analytics, il vaut mieux oublier 🤫.

Etape 5 : Auditez vos sous-traitants

Il vous appartient en tant que responsable de traitement de vous assurer que vous sous-traitants sont également conformes au RGPD.

Pourquoi ? Parce que lorsque vous faites appel aux services d’un sous-traitant, par exemple Airtable, Hubspot, Salesforce, Mailchimp etc., et bien vous transférez des données personnelles à ces outils.

Pour auditer vos sous-traitants, voici quelques étapes clés :

• Contrôlez le transfert de données hors UE ! LE pays d’origine de votre sous-traitant est déterminant (le lieu de l’hébergement des données est indifférent). En effet, certains pays n’assurent pas le même niveau de protection que celui du RGPD. C’est notamment le cas pour les Etats-Unis. Choisissez un sous-traitant qui ne fait pas partie des pays pour lesquels il existe une décision d’adéquation avec le niveau de protection au RGPD.
• Encadrez vos relations avec un contrat. Ce dernier peut être fondé, en tout ou en partie, sur des clauses contractuelles types (CCT) qui sont des clauses édictées par l’UE permettant de satisfaire un certain niveau d’exigence. Surtout, marquer noir sur blanc toutes les obligations du sous-traitant prescrites à l’article 28 du RGPD.
• Vérifiez les mesures de sécurité prises par vos sous-traitants. Vous les retrouverez généralement en annexe du contrat sous-traitant. Exigez la communication par le prestataire de sa politique de sécurité des systèmes d’information et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.

Etape 6 : Implémentez votre processus d’exercice de droits

C’est l’un des éléments les plus importants du RGPD : redonnez du pouvoir aux individus sur leurs informations personnelles. Pour cette raison, chaque personne dispose des droits sur ses données personnelles :

• le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
• le droit de rectification permet la modification et la correction des données personnelles ;
• le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
• le droit à l’effacement permet d’obtenir l’effacement de ses données ;
• le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
• le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
• le droit à l’intervention humaine face à un profilage.

Pour vous, cela demande la mise en place de modalités pratiques (formulaire en ligne, coordonnées dédiées), d’un parcours interne efficace au sein de votre entité pour le traitement des demandes et d’un process de réponse auprès des personnes concernées qui soient compréhensibles, accessibles, formulées en des termes clairs et simples.

Rendez-vous sur notre simulateur : combien coûte un exercice de droit ?

Pour vous aider, chez Leto, notre solution met à disposition un portail dédié à vos utilisateurs sur lequel ils peuvent formuler leurs demandes d’exercice de droit. Elles arrivent ensuite directement sur la plateforme et vous permet d’identifier les données à supprimer et de générer un email de confirmation aux personnes.

Etape 7 : Rédigez votre politique de confidentialité

Ce document est devenu un incontournable ! Il permet d’informer vos utilisateurs, clients et partenaires de la manière dont vous traitez leurs données personnelles et comment vous assurez leur protection. Il sera précisé notamment :

• les raisons pour lesquelles les données sont collectées ;
• le détail des traitements ;
• les modalités pour exercer les droits ;
• la liste des sous-traitants, etc.

Vous souhaitez vous informer sur la note ou vous en inspirez ? Politique de confidentialité.

Etape 8 : Evaluez les risques

Quels éléments présentent un risque de conformité pour les personnes dont les données personnelles sont traitées ?

• La durée de conservation. Exemple : si vous conservez au-delà d’un mois des images de vidéosurveillance.
• La collecte des données. Exemple : si vous achetez des bases mails pour effectuer des actions commerciales. Le consentement des personnes n’a pas toujours bien été recueilli et cela pourrait vous retomber dessus par un signalement directement formé par ces personnes auprès de la CNIL.
• L’identification des données sensibles d’une personne. Exemple : si vous récoltez lors d’un sondage l’orientation sexuelle d’une personne, alors prenez les mesures de sécurité adéquates comme l’accès restreint aux résultats ou la pseudonymisation.
• Le sous-traitant. Exemple : si vous utilisez des outils no-code américains qui de toute évidence ne sont pas conformes au RGPD.

Cette liste n’est pas exhaustive, des risques très divers peuvent attirer votre attention au cours de vos activités. L’important est toujours de s’interroger sur la manière dont il est possible pour réduire le risque à un niveau acceptable.

Gardez en tête que lorsqu’il existe un risque élevé pour les droits et libertés des personnes, il convient de réaliser une analyse d’impact, ou de son petit nom “PIA”. Pour plus d’information, nous avons rédigé un livre blanc sur le sujet.

Etape 9 : Implémentez votre feuille de route Privacy : Améliorez, Itérez, Evoluez

Il serait utopique de croire que se mettre en conformité est possible du jour au lendemain. Pour l’heure, nous vous conseillons d’être pragmatique et d’agir dans la durée.

Priorisez vos actions :

• surveiller que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées ;
• identifier la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) ;
• réviser vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement) ;
• vérifier que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités ;
• prévoir les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...) ;
• vérifier les mesures de sécurité mises en place et opérer des vérifications régulières.
• Ayez une approche itérative. L’idée n’est pas de tout planifier à l’avance mais de poser des actions, les analyser, les revoir et le cas échéant, les corriger de manière régulière.

Etape 10 : Sensibilisez vos équipes

Infusez la culture RGPD pour mieux collaborer avec les équipes. Tout salarié a entre ses mains des données personnelles pour mener à terme sa mission.

Ainsi, le service commercial, les RH, le marketing, le juridique, etc. doivent participer à l’effort collectif d’identification et de traitement des données.

Voici nos meilleurs conseils pour impliquer vos collaborateurs :

• Identifiez les écueils des équipes et les besoins en montée en compétence.
• Faites des actions ciblées de formation sur des segments de collaborateurs.
• Suivez la progression de chacune des équipes.
• Rappelez régulièrement les bonnes pratiques RGPD.

Chez Leto, nous avons pensé un module de sensibilisation sous la forme de micro-learning afin de sensibiliser vos équipes dans la durée par des mises en situation opérationnelle. Pour plus d’information, n’hésitez pas à demander une Démo.

Etape ultime : Choisir un outil RGPD pour vous épauler

Manager l’ensemble de ces données de façon manuelle est très chronophage au regard de la quantité des données collectées.

Nous vous invitons à auditer plusieurs outils et d’en choisir un en fonction de son coût, de son expérience utilisateur et de son SAV.

Sinon, il y a le logiciel RGPD Leto, qui permet à tout non-juriste de pouvoir administrer automatiquement l’ensemble des données !

Pour plus d’information, Leto met à votre disposition un livre blanc sur les 10 étapes pour se mettre en conformité avec le RGPD.