mise en conformité au RGPD

13 étapes pour une se mettre en conformité avec le RGPD

1. Prise de conscience La première étape pour se conformer au RGPD est la sensibilisation. Si la grande majorité des entreprises ont connaissance du RGPD, toutes ne modifient pas leur pratique de manière adéquate pour être en conformité avec la législation relative à la protection des données. La méconnaissance des démarches à effectuer semble souvent être un obstacle de taille.

Cette prise de conscience doit se faire à tous les niveaux de votre organisation. L’intégration doit se réaliser du sommet à la base. Ce n’est qu’à cette condition que l’on pourra atteindre une conformité complète. Pour y parvenir, il faut impliquer les chiffres clés et la direction de votre organisation afin de mettre en œuvre les changements nécessaires. Lorsque tout le monde sera conscient de l’importance du respect du RGPD, il sera plus facile de se conformer à ces règles.

2. Gardez votre calme et soyez prêt

Pour que votre organisation puisse fonctionner conformément au RGPD, il est important que vous vous teniez suffisamment informé.

 

Après tout, la non-conformité au RGPD est passible d’une amende substantielle pouvant aller jusqu’à 4 % de votre chiffre d’affaires mondial, avec un maximum de 20 millions d’euros. Raison de plus pour être bien informé à l’avance sur le monde merveilleux du RGPD.

Si vous le souhaitez, vous pouvez prendre rendez-vous avec nous pour une réunion d’introduction. Au cours de cette réunion, nous vous expliquerons plus en détail le RGPD, nous examinerons les besoins de votre organisation et nous verrons comment nous pouvons l’aider concrètement.

3. Audit

Il n’est pas possible de déterminer, à première vue, si votre organisation est conforme au RGPD. Par conséquent, vous devez réaliser un audit de votre organisation. Cet audit doit être réalisé dans différents domaines. En effet, tant sur le plan juridique que technique, il existe plusieurs pièges.

  •  Tout d’abord, vous devez déterminer quelles données personnelles votre organisation possède et où celles-ci sont stockées. Vous devrez être en mesure de mettre ces informations à disposition en cas de contrôle de l’Autorité de protection des données.

 

  • Deuxièmement, vous devez examiner vos accords. Des accords corrects avec les organisations et les personnes avec lesquelles vous travaillez sont essentiels pour la conformité au RGPD.
  • En outre, vos mesures techniques et organisationnelles doivent être testées. Pensez par exemple à un test d’intrusion informatique pour vérifier le niveau de sécurité de vos systèmes informatiques. Mais il convient également de tester l’accessibilité physique à vos données.

4. Analyse d’impact

Il est important que, pour chaque traitement de données effectué par votre organisation, vous preniez en compte l’impact de ce traitement sur toutes les personnes concernées. Dans certains cas, une analyse d’impact relative à la protection des données (ci-après AIPD) sera obligatoire. Même si votre organisation n’est pas obligée d’effectuer une AIPD, il est toujours intéressant de le faire.

Une AIPD vous donne un meilleur aperçu de l’impact concret du traitement que votre organisation souhaite effectuer. En procédant à cette évaluation, il vous sera plus facile d’évaluer toutes les conséquences du traitement. Vous

 

pourrez ainsi prendre de meilleures mesures pour protéger votre organisation contre d’éventuelles menaces pesant sur ce traitement.

Lorsque vous serez mieux informé de toutes les conséquences du traitement, vous pourrez plus facilement vous conformer au RGPD. C’est pourquoi il est toujours intéressant de réaliser une AIPD.

5. Formation

L’intervention humaine s’avère être l’une des principales faiblesses de la sécurité du traitement des données. Par conséquent, vous devez fournir une formation adéquate à vos employés.

De nombreuses personnes ne se rendent pas toujours compte de la sensibilité des données personnelles avec lesquelles elles sont en contact dans l’exercice de leurs fonctions. Cela augmente les risques de fuites de données.

Afin d’éviter que vos employés ne manipulent inconsciemment des données personnelles de manière négligente, il est important que vous vous assuriez qu’ils en soient suffisamment conscients. Ce n’est qu’en offrant

 

à vos employés une formation suffisante que vous pouvez vous assurer que le risque de fuites de données dues à des erreurs humaines de vos employés est réduit.

6. Prendre des mesures

Afin de limiter les risques d’un certain traitement des données, votre organisation doit prendre des mesures techniques et organisationnelles.

Une fois que votre organisation aura réalisé une évaluation des risques liés au traitement des données, vous saurez quels risques sont associés au traitement des données en question. La conséquence logique que vous devriez donner à cette évaluation est de prendre des mesures techniques et organisationnelles.

Les mesures techniques ont trait à vos systèmes informatiques. Par exemple, vous pouvez être contraint de renouveler les systèmes informatiques utilisés par votre organisation s’il apparaît qu’ils sont trop faibles en termes de protection des données.

Le chiffrement ou le cryptage des données n’est pas obligatoire en vertu du RGPD, mais est simplement

 

recommandé. Il s’agit plutôt d’être réfléchi, en tant qu’entreprise, sur la façon dont vous traitez les données. La pseudonymisation des données peut toutefois être une bonne option à garder en tête. Cela signifie que les données à caractère personnel ne peuvent plus être directement liées à une personne physique, mais uniquement à l’aide d’informations supplémentaires stockées séparément. En

 

cas de fuite de données, cela vous permettra de démontrer que vous avez fait des efforts pour protéger les données personnelles traitées.

Vous devrez également prendre des mesures organisationnelles. Ces mesures concernent généralement l’accès physique aux données personnelles traitées. Il doit être impossible techniquement et physiquement pour des personnes non autorisées, d’accéder aux données personnelles traitées par votre organisation.

7. Gestion des données

Les données personnelles qui sont traitées au sein de votre organisation doivent être gérées de manière correcte. Après avoir effectué un audit au sein de votre organisation pour déterminer quelles données sont traitées et où cellesci se trouvent, vous pouvez commencer à travailler sur la gestion correcte de ces données.

Examinez comment vous pouvez gérer au mieux les données que votre organisation traite. Pensez, par exemple, à la numérisation de vos dossiers papier. Une bonne gestion des

 

données réduit le risque de fuites de données.

8. Transparence

L a transparence est l’un des principes les plus importants du RGPD. Par conséquent, vous devez toujours communiquer de manière claire et intelligible avec toutes les parties prenantes.

Une communication transparente est essentielle dès le moment où votre organisation commence à collecter des données personnelles. Vous devez communiquer clairement aux personnes concernées : quelles données vous allez traiter, pourquoi vous le faites et ce qu’il adviendra de ces données. La meilleure façon de le faire est de publier une déclaration de confidentialité sur votre site web.

En outre, la transparence signifie également que vous communiquez clairement aux personnes concernées où elles peuvent s’adresser pour toute question et/ou plainte.

9. Gestion des contrats

Il est important d’examiner les contrats que votre organisation a conclus avec divers prestataires de services et fournisseurs. Dans de nombreux cas, ils impliquent également le traitement de données à caractère

 

personnel.

Un examen est indispensable pour voir quelles données personnelles vous échangez avec vos partenaires contractuels. Le cas échéant, vous devez également rectifier ces contrats pour être en conformité avec le RGPD.

Même si vous n’échangez pas de données avec certains partenaires contractuels, il peut être judicieux de revoir ces contrats. En effet, dans certains cas, vos partenaires contractuels, ou leurs employés, peuvent avoir accès aux données. Pensez par exemple à un service de nettoyage qui a accès à vos archives papier. Pour ces contrats également, il peut être intéressant d’insérer des clauses relatives à la confidentialité de ces données.

10.Pensez aux assurances

Vous pouvez prendre toutes sortes de mesures pour prévenir les fuites de données, mais cela ne signifie pas qu’il n’y a aucune chance qu’une fuite de données se produise. Il peut donc être utile de souscrire une assurance pour couvrir cette éventualité.

Dans la plupart des cas, l’assurance contre les fuites de

 

données est appelée cyber assurance. Elle peut couvrir les dommages résultant d’une violation de votre cybersécurité.

Cette assurance sera intéressante dans de nombreux cas. Les pirates ciblent de plus en plus les petites organisations, qui n’ont souvent pas les budgets nécessaires pour s’offrir les meilleurs systèmes de cybersécurité. En plus de la perte éventuelle de données, votre organisation risque de subir toutes sortes d’autres conséquences financières. La cyber assurance réduit la charge financière qui pèse sur votre organisation.

11.Restez à jour

Il est important de revoir régulièrement votre organisation et de réaliser un audit. Le fait que votre organisation soit conforme au RGPD aujourd’hui ne signifie pas que vous traiterez automatiquement des données personnelles conformes au RGPD dans les années à venir.

L’échange de données à caractère personnel entre les acteurs publics et privés, y compris les personnes physiques, les associations et les entreprises, a augmenté dans toute l’Union européenne et ne fera qu’augmenter à l’avenir. L’évolution rapide des technologies et la mondialisation

 

créent constamment de nouveaux défis pour la protection des données à caractère personnel. A l’instar de la société, votre organisation est également en constante évolution : de nouveaux contrats sont conclus, de nouveaux employés arrivent, etc… Il est donc important que vous réfléchissiez régulièrement à la conformité de votre organisation au regard du RGPD. Les étapes précédentes doivent donc être répétées régulièrement.

Responsabilité C’est le responsable du traitement des données qui est chargé de veiller au respect des principes de base régissant le traitement des données à caractère personnel. Il devra toujours être en mesure de démontrer qu’il a pris des mesures pour garantir ces principes. Les principes relatifs au traitement des données personnelles sont contenus dans l’article 5 du RGPD et semblent être l’une des dispositions les plus violées selon la jurisprudence de l’Autorité de protection des données. Il est donc extrêmement important qu’un contrôleur de données prenne des mesures et puisse justifier ses actions.

12.Nécessité ou vertu?

Les entreprises considèrent souvent le RGPD comme un mal nécessaire plutôt que comme une

 

vertu. Cela ne doit pas toujours être le cas. Ces dernières années, les entreprises ont été confrontées à des fuites de données. Le RGPD devrait offrir une solution à ce problème puisque les dispositions obligent les entreprises à traiter les données personnelles de manière plus consciente. Non seulement pour protéger les personnes dont les données personnelles sont traitées, mais aussi pour protéger les intérêts propres des entreprises. Il suffit de penser au scandale du Cambridge Analytica, dans lequel l’entreprise britannique a sournoisement collecté les données Facebook de près de 87 millions d’utilisateurs Facebook dans le monde entier sous de faux motifs. Ces données ont ensuite été utilisées pour diffuser de la publicité ciblée à la population, du candidat présidentiel de l’époque, Donald Trump.

Hoofdwebsite Contact
make appointment upload






      GDPR proof area
      Téléchargez vos documents





      glissez vos documents jusqu’ici ou choisissez un fichier


      glissez vos documents jusqu’ici ou choisissez un fichier











        Benelux (€... )EU (€... )International (prix sur demande)

        En soumettant la demande, vous acceptez expressément nos conditions générales et confirmez que vous avez lu attentivement notre déclaration de confidentialité. L’envoi de cette demande fera office de confirmation de commande.
        error: Helaas, deze content is beschermd!