Nous avons établi une feuille de route pour préparer sereinement votre mise en conformité avec le Règlement Européen sur la Protection des Données. Suivez le guide !
En septembre 2017, vous devez :
- Nommer un pilote, cette personne sera votre Délégué à la Protection des Données*, véritable chef d’orchestre, il assurera une mission d’information, de conseil et de contrôle en interne. Si vous êtes une petite organisation, votre CIL (Correspondant Informatique & Libertés) peut aussi assumer ce rôle. Et si vous n’avez toujours pas de CIL, c’est le moment d’y songer. Si vous avez plus de 250 salariés, nous vous conseillons de nommer rapidement un Délégué à la Protection des Données (DPO pour Data Protection Officer en anglais).
- Réunir les responsables de chacun des services (ou cercles) de votre organisation pour expliquer le GDPR ainsi que le rétro-planning qui permettra d’atteindre la conformité avant le mois de mai prochain.
- Réaliser, ou faire réaliser un audit pour cartographier vos traitements de données personnelles. Vous obtiendrez un registre de l’ensemble de vos traitements vous permettant de faire des choix objectifs dans votre plan d’actions à venir.
En octobre 2017 :
- Priorisez les actions à mener sur la base du registre créé à l’étape précédente. Comme pour une cartographie des risques, commencez par traiter les situations les plus critiques pour les données personnelles dont vous avez la responsabilité.
- Vous avez détecté des risques élevés ? Gérez-les avec une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA). L’enjeu de cette étape obligatoire est d’apprécier les risques sur la protection des données du point de vue des personnes concernées. Notez que le PIA est à réaliser avant toute nouvelle collecte et mise en oeuvre d’un traitement de données.
De novembre 2017 à mars 2018 :
- Organisez les processus internes pour assurer un haut niveau de protection des données personnelles.
- Adaptez votre Système d’Information au niveau de ses organes de sécurité : lutte antivirale, lutte anti-intrusion, contrôle des accès aux données pour savoir qui fait quoi, où, quand et comment ?
En avril 2018 :
- Maintenant que l’organisation a été améliorée ; documentez ce que vous avez réalisé et obtenu pour prouver votre conformité au GDPR. Ces documents et pratiques devront être examinés et actualisés régulièrement pour assurer le maintien d’un niveau de protection élevé.
En mai 2018 et au-delà :
- Vous êtes prêt ! Tout a été géré au fur et à mesure depuis l’été 2017.
- Vous assurez maintenant la veille pour les mises à jour, la sensibilisation de vos collègues, et la réalisation d’audits réguliers pour vous assurer que les bonnes pratiques sont bien ancrées et améliorées continuellement.
Pour en savoir plus sur le GDPR suivez nos différents articles et liens utiles…
* notez que notre expérience sur le terrain nous a démontré qu’il n’était pas indispensable de nommer un Délégué à la Protection des Données dès le début des opérations de mise en conformité. L’essentiel c’est d’avoir un pilote (chef de projet) pour coordonner et avancer d’ici mai 2018. La nomination d’un DPD peut attendre d’y voir plus clair pour mesurer la charge de travail réellement nécessaire dans votre contexte et idéalement choisir le collaborateur qui aura la plus grande appétence et du temps pour bien énergétiser ce rôle.
Besoin d’aide pour votre mise en conformité ? Contactez-nous !