📌 La démarche de mise en conformité RGPD ne doit pas être considérée comme une contrainte juridique ou technique. En effet, la procédure de mise en conformité RGPD d’une structure est dépendante de son activité, ses outils et surtout ses pratiques autour des données personnelles. Autrement dit, c’est l’occasion pour une entreprise quel que soit sa taille, d’examiner ses pratiques et services numériques, de telle manière que la protection des données personnelles soit bien prise en considération et qu’elle soit conforme au RGPD.
💼 Selon la CNIL, la procédure de mise en conformité RGPD doit passer par quelques étapes successives en mettant en place des actions dont certaines doivent, selon la même source, perdurer dans le temps et ce, afin d’être les plus efficaces.
📜 Il faut souligner que dès l’instant où des données personnelles sont traitées, soit des clients, soit des employés, il y a un niveau de risque variable en termes de RGPD. D’où l’importance de consulter un expert notamment en désignant un DPO externe qui s’occupe de traiter tous vos sujets RGPD pour vous. Cela vous permettra de gagner du temps et de sécuriser votre business. Vous pouvez consulter gratuitement l’un de nos experts pour un échange afin de vous présenter le service du DPO externalisé Dipeeo.
📕 Le registre des catégories de traitement RGPD est un document de type Excel qui permet de décrire les catégories de données personnelles traitées par l’entreprise. Pour plus d’informations, vous pouvez consulter notre article qui traite en détail ce sujet.
📌 Il faut tout d’abord souligner que toutes les entreprises qui traitent des données personnelles ne sont pas dans l’obligation de réaliser leur propre registre de traitement RGPD pour être en conformité RGPD.
En effet, selon la CNIL, en dessous de 250 salariés, seuls les traitements de données suivants sont requis :
📌 Avant la mise en place du registre de traitement RGPD, tout organisme doit identifier s’il est responsable de traitement ou sous-traitant, puisque cela entre aussi dans le processus de mise en conformité RGPD. ✅ Autrement dit, toute entreprise dans le processus de réalisation de son registre des traitements RGPD doit identifier également les traitements réalisés en tant que sous-traitant pour une autre structure.
C’est un registre de traitement RGPD qui permet d’identifier les différents traitements mis en œuvre pour l’entreprise elle-même, puisque dans ce cas elle est responsable de traitement.
Lorsqu’un organisme est sous-traitant, en plus du registre du responsable de traitement, il doit tenir aussi un registre sous-traitant. Un registre qui doit identifier toutes les catégories d’activités de traitement réalisées pour le compte des clients B2B de l’entreprise
🚀 Il faut donc retenir que pour être conforme RGPD, dès lors qu’elle traite des données personnelles, toute entreprise doit tenir un registre de traitement RGPD qu’on appelle un registre du responsable de traitement. Du moment où elle traite des données personnelles pour le compte d’un autre organisme, elle sera dans l’obligation de tenir également un registre spécifique pour les activités de sous-traitance des données personnelles. Vous pouvez télécharger le guide RGPD pour les sous-traitants proposé par la CNIL.
💼 La CNIL a prévu le registre de traitement RGPD dans l’article 30 RGPD qui participe à la documentation de la conformité.
Souvent mis en avant par les logiciels permettant de le digitaliser, 📕 registre de traitement RGPD n’est en fait qu’un référentiel des activités de traitement réalisées pour la mise en conformité RGPD. Il n’est d’ailleurs pas obligatoire dans de nombreux cas.
🚀 La mise en place d’un registre de traitement RGPD est obligatoire, selon l’article 30 RGPD, du moment où l’on traite des données personnelles et ce, pour tous les organismes et peu importe leur taille. Par contre, il y a certaines exceptions quand il s’agit d’un organisme de moins de 250 salariés.
En effet, les entreprises de moins de 250 salariés bénéficient de ce qu’on appelle en matière de droit ‘‘une dérogation’’ en termes de tenue des registres de traitements RGPD. 📜 Elles doivent mettre en place un registre qui contient les seuls traitements de données suivants :
–les traitements non occasionnels comme la gestion de prospects et clients à titre d’exemple ;
-les traitements qui peuvent avoir un risque sur les droits et libertés des personnes comme les systèmes de géolocalisations ou de surveillance ;
-les traitements qui portent sur des données sensibles comme les données de santé par exemple.
⭐ Pour bénéficier de cette dérogation selon l’article 30 RGPD, le traitement qu’effectue l’organisme ne doit surtout pas être susceptible de comporter un risque pour les droits et les libertés des personnes concernées, ni à des données concernant les condamnations pénales.
📌En plus de ces deux conditions, il existe des catégories particulières visées à l’article 9 ainsi qu’à l’article 10 qu’il ne faut pas avoir dans son processus de traitement de données personnelles afin de bénéficier de la dérogation. Pour plus de détails, vous pouvez consulter le Règlement Général à la Protection de Données.
📜 Comme c’est le cas pour la première étape de n’importe quel processus, la constitution d’un registre de traitement RGPD commence par le rassemblement des différentes informations disponibles et nécessaires à la mise en place du registre. On parle ici de rencontres avec les différents responsables opérationnels de tout département ou service qui traitent, de manière directe ou indirecte, les données personnelles.
Dans cette première étape, le responsable de traitement doit effectuer une analyse générale de son site web afin d’identifier toutes les données collectées dans les formulaires en ligne. Vous trouverez plus de détails concernant la mise en conformité RGPD d’un site web un peu plus loin.
🔥 L’étape suivante consiste à élaborer une liste des traitements. Ici, l’entreprise doit lister exhaustivement les activités qui nécessitent un traitement de données personnelles. Elle doit exploiter les informations collectées lors des entretiens, et remplir une fiche de registre par activité. La CNIL a décidé de rendre public son propre registre de traitements RGPD afin de donner le meilleur exemple. Vous pouvez le consulter en cliquant ici « Registre de traitement RGPD de la CNIL ».
Enfin, après avoir rassemblé les informations disponibles et élaboré la liste des traitements, on passe à l’étape d’analyse de risques qui peuvent peser sur les traitements des données. Il ne faut pas oublier qu’il faudra élaborer un plan d’action de mise en conformité RGPD.
🔥 La conformité RGPD de la structure est un point clé. Il comprend les pratiques RH, de prospection commerciale, des sous-traitants techniques des outils métiers et support, de la sensibilisation des employés…
🎯 On ne peut pas contrôler tous les employés d’une structure sur leur pratique. Par contre on peut sensibiliser aux bonnes pratiques RGPD. Vous pouvez partager notre article avec vos employés. Vous leur faciliterez la vie !
📜 Le sujet est devenu l’un des plus sensibles car les plaintes RGPD déposées par des employés contre leur employeur explosent.
D’un côté, l’employeur doit respecter les règles de base comme ne collecter que des données nécessaires au bon fonctionnement de l’entreprise. Il y a des cas où il devra réaliser une analyse d’impact pour évaluer s’il peut effectivement collecter cette information.
Par ailleurs, le volet information des employés est clé. Une politique de confidentialité exhaustive doit informer les employés des traitements de données personnelles réalisés, les durées de conservation, les droits des employés vis-à-vis de leur données.
💼 Pour prospecter, il faut avant tout être conforme RGPD étant donné les données personnelles traitées. Vous serez ainsi en mesure de protéger les données personnelles de vos prospects une fois et également de préserver leur confiance.
😯 Selon la CNIL, la prospection B to B est fondée sur « l’intérêt légitime »de l’entreprise. Les deux conditions qu’elle impose dans ce cas, c’est que la personne doit être informée que son adresse mail sera utilisée pour la prospecter, et qu’elle doit être en mesure de s’y opposer en mettant en place un bouton de désabonnement.
Par contre, en B to C, le consentement de la personne doit, explicitement, être demandé avant la prospection. De plus, ce consentement doit être clair, libre et compréhensible.
Voici un exemple de demande de consentement sur un site :
Vous pouvez également consulter nos 11 astuces pour mieux prospecter commercialement en respectant le RGPD.
✅ Pour être en conformité RGPD, la CNIL a défini des durées qu’il ne faut pas dépasser en termes de conservation de données personnelles. Cela peut être soit de manière légale, d’une part, comme lorsqu’on parle de lois, décrets ou règlements. D’une autre part, ça peut être de manière directe par l’autorité française de contrôle à titre d’exemple, par la CNIL, via des recommandations ou des normes simplifiées, etc.
A ce sujet, vous pouvez consulter notre article qui traite les différentes durées de conservation qui s’appliquent aux différents domaines comme la Prospection Commerciale, le Marketing, la Comptabilité ou les Ressources Humaines.
⭐ Le site internet peut être considéré comme étant un point clé de la mise en conformité RGPD. C’est le point le plus visible par une population assez large du grand public. Raison pour laquelle, votre site internet doit contenir des éléments importants afin que vous soyez conforme RGPD.
Pour ce faire, deux documents sont requis pour une bonne conformité RGPD site web, à savoir la Politique de Confidentialité et la Politique Cookies. De plus, il reste toutefois ce qu’on appelle des « mentions » d’informations à réaliser. Si vous avez une newsletter, à titre d’exemple, ou un formulaire qui permet à vos prospects de s’inscrire, cela nécessitera de mentionner que s’ils cliquent, ils accepteront de recevoir, justement, votre newsletter. Le RGPD est aussi simple que ça !
.
.
.
Il ne faut pas oublier le bandeau cookies qui a pour objectif d’informer les visiteurs de votre site sur les catégories de cookies que vous utilisez et, le cas échéant, leur donner la possibilité d’en désactiver. Pour plus de détails sur les catégories de cookies, vous pouvez consulter notre article qui traite le sujet en détail.
📜 L’article 25 RGPD prévoit un principe intitulé ‘‘Privacy by Design’’. C’est un principe qui se trouve au cœur du Règlement Général pour la Protection des Données (RGPD). La protection de données à caractère personnel va être ainsi assurée. Grâce à cela, les entreprises sont désormais obligées d’intégrer ce concept dès l’étape de conception de l’outil.
Il va sans dire que l’entrée en application du RGPD a imposé aux entreprises qui ont choisi d’être conformes RGPD d’être plus attentives quand il s’agit du traitement de données personnelles.
📌 Alors même qu’il n’est plus obligatoire de déclarer son site internet à la CNIL, sa mise en conformité RGPD reste incontournable dès que des données personnelles sont traitées. Un traitement de données qui peut être sous forme de questionnaire, sous forme de commande ou de création d’un compte en ligne. Cela nécessite donc un traitement de données à caractère personnel. Dans ce cas, toute entreprise se verra, systématiquement, dans l’obligation de se mettre en conformité RGPD et ce, en appliquant les règles de protection de données personnelles.
Que vous fassiez de la vente en ligne, que vous communiquiez sur les réseaux sociaux ou que vous ayez un site vitrine, la prise en considération de ces règles reste obligatoire pour votre mise en conformité RGPD.
En effet, dans le cas où vous avez un site vitrine, celui-ci présentera votre activité principale. Vous ne proposerez donc qu’un formulaire de contact et, probablement, un abonnement à votre newsletter.
✅ Ce qu’il faut retenir, c’est que vous devez prendre en considération certains réflexes de base de protection de données personnelles et ce, dès la conception du site internet. Il faut souligner que l’accès au contenu du site ne doit surtout pas être conditionné à l’abonnement à votre newsletter.
💼 Tout organisme qui traite des données doit prévoir des violations de données personnelles et mettre en place des actions de prévention afin de réagir de manière appropriée en cas d’incident. Ce qui entre, également, dans la procédure RGPD. En effet, le vol de données personnelles est de plus en plus fréquent et tout organisme doit faire attention. Le RGPD est là pour éviter que ce genre d’incidents se produisent. Des incidents qui pourraient impacter non seulement les organismes, mais aussi et surtout les personnes concernées.
Cette fois-ci, c’est l’article 33 RGPD qui prévoit les obligations concernant les violations de données. Cet article précise ce que doivent faire les entreprises en termes de sécurité afin d’éviter de pareilles situations.
A ce sujet, selon l’article 33 RGPD, tout organisme doit mettre des mesures pour prévenir de potentielles violations de données et, le cas échéant, de réagir de manière appropriée en essayant d’en minimiser les effets.
🚀 Il s’agit de mesures qui visent à préserver non seulement les responsables de traitement, vu qu’ils sont les premiers concernés, mais aussi les personnes qui ont été affectées par cette violation en essayant de minimiser au maximum les dommages comme déjà mentionné avant. D’une part, en ce qui concerne les responsables de traitement, il vise à protéger leur patrimoine informationnel et leur permettre par la suite de sécuriser leurs propres données. D’autre part, il préserve les personnes affectées par le vol de données personnelles pour éviter que ça ne leur cause des dommages ou préjudices.
🔥 Vous vous êtes sûrement déjà posé la question de savoir ce qu’est un DPO. Pour faire simple, un DPO ou Délégué à la Protection des Données est le chef d’orchestre de la mise en conformité RGPD en termes de protection de données personnelles. C’est lui qui assiste le responsable de traitement ou le sous-traitant dans le processus de mise en conformité RGPD. Il peut en fait être interne (un salarié de l’entreprise), comme externe (comme Dipeeo).
Mais la question qui se pose : est ce que je suis dans l’obligation de désigner un DPO ?
📕 Pour répondre à cette question, la CNIL précise que la désignation d’un DPO externe n’est obligatoire que pour :
-Les autorités et organismes publics (ex : les collectivités territoriales, les établissements publics…) ;
-Les organismes qui font le suivi régulier et systématique des personnes à grande échelle comme les assurances, à titre d’exemple ;
-Les organismes qui traitent des données sensibles, à savoir des données génétiques, biométriques ou relatives à la santé, mais aussi relatives à des condamnations pénales et infractions.
Il faut noter qu’à part ces trois cas, il reste, quand même recommandé, voire encouragé de désigner un Délégué à la Protection de Données par la CNIL. Tout ça pour bien être en conformité RGPD.
📌L’article 37 du Règlement Européen sur la Protection des Données (RGPD) stipule que, pour une bonne mise en conformité RGPD, le DPO doit être désigné en fonction de ses qualités professionnelles et plus précisément de ses connaissances en matière de droit. Autrement dit, un DPO doit avoir de solides bases et de fortes connaissances en termes de protection de données personnelles. De plus, il doit avoir une forte capacité à accomplir les missions qui vont lui être attribuées. Il s’agit ici de l’ensemble des missions visées à l’article 39.
✅ A ce sujet, la CNIL exige une liste de cinq missions, à minima, qu’un DPO doit être en mesure de prendre en charge. Compte tenu de la nature, du contexte et des finalités de traitement, un DPO doit prendre en considération l’ensemble des risques associés à ses missions de protection de données personnelles. Pour plus de détails, vous pouvez consulter le Guide du DPO proposé par la CNIL, et qui traite ce sujet plus en détail.
💼 En parlant de missions, un DPO s’occupe du conseil de responsable de traitement ou du sous-traitant en se basant sur ce qui est dicté par le Règlement Européen sur la Protection des Données (RGPD). En plus du conseil, il doit veiller à ce que ce règlement soit respecté ainsi que les autres dispositions de droit de l’Union et ce, toujours en rapport avec la protection de données personnelles. Le DPO doit coopérer avec l’autorité de contrôle et faire un point de contact pour celle-ci et s’occuper de mener des consultations sur tous les sujets.
🎯 Il faut noter aussi qu’il est recommandé par la CNIL que le DPO soit localisé dans un Etat membre de l’Union Européenne pour qu’il puisse remplir l’exigence d’accessibilité. Sans oublier que pour une mise en conformité RGPD, il est nécessaire pour le responsable de traitement et le sous-traitant de publier les coordonnées du Délégué à la Protection de Données et de les communiquer à l’autorité de contrôle.
😯 Il va sans dire que le DPO peut travailler à temps plein ou à temps partiel sur le sujet. En revanche, quand c’est à temps partiel, le DPO va devoir exercer sa fonction de telle sorte qu’il ne pourrait pas déterminer les finalités et les moyens d’un traitement.
📜 Les fonctions qui sont susceptibles de donner naissance à un conflit avec le DPO sont aussi nombreuses que variées, à savoir le secrétaire général, le directeur de services, le directeur général, le département Marketing, etc. Il se peut que des d’autres fonctions ou rôles « inférieurs » de l’entreprise peuvent, quant à eux aussi, être susceptibles de donner lieu à un conflit avec la fonction de DPO pour la simple raison qu’il cherchera à appliquer les objectifs de sa direction plutôt que de suivre les règles sur la protection de données personnelles.
🚀 Avant de désigner un DPO, vous devez bien vérifier qu’il a les qualités et les compétences exigées par la CNIL. Une fois cela est fait, vous pourrez passer à l’étape de comparaison des alternatives présentes sur le marché. Vous pouvez, d’ailleurs, consulter nos tarifs à propos de ce sujet.
📕 En parlant de tarifs, cela représente le premier avantage pour la désignation d’un DPO externe. En effet, alors même qu’à temps partiel, un employé coûtera toujours plus qu’un DPO externe. De plus, un DPO externe a pour fonction principale de mettre en conformité RGPD des organismes. Autrement dit, il est formé, certifié et a l’opportunité de voir des cas aussi nombreux que variés au jour le jour, en mettant en conformité différents organismes opérant dans différents secteurs d’activité.
😯 Pour leur manque de connaissances des dispositions RGPD, les responsables des traitements et les sous-traitants risquent d’avoir de lourdes sanctions et payer des amendes à la CNIL. En effet, les amendes en cas de non-respect des règles du RGPD peuvent aller jusqu’à 20 millions d’euros ! Si c’est une entreprise, ça va être 4% de son chiffre d’affaires annuel. Il faut toutefois souligner que ces sanctions peuvent être rendues publiques.
📌 Vous pouvez consulter toutes les amendes qu’a prononcées la CNIL jusqu’à ce jour.
En plus de tout ça, le risque principal de non-conformité RGPD touche essentiellement le côté « Business ». Autrement dit, pour une start-up, le risque d’être contrôlé par la CNIL reste réduit. En effet, la CNIL ne procède au contrôle que si elle reçoit des plaintes de la part de personnes prospectées par une sociétés, de clients, d’employés ou de concurrents…. Donc, plus votre entreprise est grande, plus vous toucherez de prospects et le cas échéant, des clients. Les chances que vous ayez un contrôle de la part de la CNIL vont, par conséquent, augmenter.
🚀 En parlant du côté business, il faut souligner que la CNIL exige aux entreprises de ne travailler qu’avec des organismes conformes, qui seront capables de préserver les données personnelles qu’elles traitent. En résumé, quand vous travaillez avec un prestataire qui n’est pas conforme, cela veut dire que si demain il perd des données personnelles qu’il traite, vous ne pourrez rien faire, pour la simple raison que vous n’avez pas vérifié ce point avant de signer un contrat avec lui.
🔥 Les prospects, aujourd’hui, sont de plus en plus avertis en ce qui concerne la mise en conformité RGPD. Un organisme qui n’est pas conforme risquerait donc de ne pas pouvoir transformer tous ses leads en clients, pour la simple raison qu’il n’est pas en conformité RGPD et que la CNIL l’exige. C’est malheureux car une mise en conformité bien menée ne prend pas une charge très importante.
✅ Vous pouvez
prendre un RDV avec l’un de nos experts afin de vous expliquer cela en détail.
💼 Qui dit RGPD en Europe, dit Comité Européen de la Protection des Données (CEPD). Un comité institué par le règlement européen sur la protection des données et qui a comme principale mission d’assurer l’application du Règlement Général sur la Protection de Données et ce, dans les différents pays qui font partie de l’Union Européenne.
Il faut savoir qu’avant la création du Comité Européen de la Protection des Données, c’est l’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci qui assurait la protection des données personnelles. Le Comité Européen de la Protection des Données peut donc être considéré comme étant le successeur du G29.
Le Comité européen de la protection des données compte parmi ses membres tous les chefs des autorités de contrôle de tous les Etats membres. Leurs représentants peuvent aussi en faire partie. Sans oublier le Contrôleur européen de la protection des données ainsi que les représentants des autorités de la Norvège, de l’Islande et du Lichtenstein.
😯 A la différence de la directive de 1995 qui était basée sur la notion de « formalités préalables », le Règlement Européen, quant à lui, est basé sur une logique de conformité. Tout organisme est donc responsable, sous le contrôle et avec engagement du régulateur. Une conformité qui repose donc sur une transparence et responsabilité.
🚀 Plusieurs outils ont vu le jour grâce à ce nouveau règlement européen :
Mis à part son caractère obligatoire, la mise en conformité RGPD a aussi une contribution à la création de valeur et permet donc d’avoir de multiples avantages. Autrement dit, la cybersécurité est, certes, est une exigence de RGPD, mais c’est en même temps l’occasion pour toute entreprise pour sécuriser son activité et renforcer son capital confiance des utilisateurs.
Peu importe sa taille ou son secteur d’activité, toute entreprise a la possibilité de disposer de nombreux atouts, grâce à une bonne gestion des données personnelles de ses utilisateurs. Elle peut donc allier mise en conformité RGPD et création de valeur.
De nos jours, les consommateurs sont de plus en plus avertis, et donc plus vigilants vis-à-vis de l’utilisation de leurs données personnelles. D’ailleurs, l’association de l’économie numérique (ACSEL) affirme que huit français sur dix sont préoccupés par le traitement de leurs données personnelles. Une entreprise conforme RGPD est donc plus rassurante qu’une autre qui ne l’est pas.
De plus, la mise en conformité RGPD assure aux utilisateurs, que ce soit les consommateurs, les fournisseurs ou les prestataires, une protection de leurs données personnelles. Le RGPD peut donc être considéré comme étant un moyen qui permet de rétablir la confiance lorsqu’il s’agit de la relation commerciale, et donc de développer le Business.
Par ailleurs, la mise en conformité RGPD contribue à l’amélioration de l’image de marque de toute entreprise et dans tous les secteurs. Autrement dit, le RGPD renforce le positionnement des organismes qui sont en conformité RGPD de telle sorte que cela fait partie des valeurs sociales et éthiques. Au-delà de l’image de marque auprès des consommateurs, le RGPD valorise la marque employeur. Se transformant en un argument RH, le RGPD est une preuve de transparence et de crédibilité et impacte donc positivement les candidats et les salariés.
Il ne faut pas oublier qu’une mise en conformité RGPD permet de s’épargner des coûts qui peuvent être importants suite à une fuite de données. A ce sujet, de grandes entreprises comme Google, Facebook, et en particulier des entreprises françaises comme Carrefour ou la RATP ont déjà vécu ce drame qu’est la fuite de données personnelles. Bien que le rattrapage est possible, mais cela reste quand même très cher.
Se mettre en conformité RGPD est un défi majeur pour toutes les entreprises. Pour qu’un organisme soit en conformité RGPD, il n’a pas besoin d’y consacrer un budget colossal, mais cette question de coûts est basée sur différents critères comme la taille et la nature des données traitées à titre d’exemple.
Bien que cela fait déjà plus de quatre ans depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, mais par contre, beaucoup de sociétés n’arrivent toujours pas à appliquer une mise en conformité RGPD et ce, pour deux raisons : la mise en conformité n’est pas gratuite, et le traitement des données reste complexe et nécessite une maitrise des sujets RGPD.
Pour faire simple, le coût de la démarche de mise en conformité RGPD dépend de plusieurs paramètres notamment la taille de l’entreprise, le secteur et le domaine d’activités, le niveau d’ajustement nécessaire pour assurer la mise en conformité RGPD. Pour plus de détails, vous pouvez prendre un RDV avec l’un de nos experts afin de vous expliquer le sujet. Raison pour laquelle, vous donnez un coût moyen de cette démarche de mise en conformité RGPD reste difficile, vu que c’est impossible à évaluer pour réussir ce processus.
Toutefois, vous pouvez consulter les tarifs que l’on propose pour une mise en conformité RGPD.
01 59 06 81 85
contact@dipeeo.com
4 boulevard de Montmartre –
75009 Paris
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.