Fort de 15 ans d’expérience dans ce domaine, je peux vous aider à intégrer la protection des données personnelles dans votre entreprise, de façon pragmatique et durable. Si vous souhaitez en savoir plus sur mes services ou prendre rendez-vous pour un audit personnalisé, je suis à votre disposition.
Dans notre monde numérique, la protection des données personnelles est un enjeu essentiel pour les entreprises, quelle que soit leur taille. S’agissant d’une liberté fondamentale, la violation des obligations légales en la matière peut entraîner de lourdes sanctions.
Quel dommage toutefois d’en rester à cette approche négative. La protection des données peut, en effet, constituer une plus-value. Ce droit fondamental offre une opportunité d’accroître leur notoriété et leur respectabilité, tout en se démarquant des concurrents.
En mettant en œuvre l’exigence de transparence (inhérente à plusieurs obligations en la matière), elles renforcent leur relation de confiance avec leurs clients, employés et partenaires commerciaux.
Par ailleurs, certains principes du RGPD peuvent contribuer à une meilleure gestion de l’information. Le principe de minimisation des données correspond à une logique d’efficacité, tandis que l’obligation de traiter des données exactes améliore la qualité des données. Un audit de conformité amène souvent à revoir la manière dont les informations sont traitées et certaines décisions sont prises.
Audit RGPD, assistance au développement de projets, avis sur toutes questions
Charte vie privée, clauses permettant d'obtenir les consentements requis, contrats avec vos sous-traitants, transferts de données en-dehors de l'Union européenne
Défense de vos intérêts dans le cadre de toute procédure relative à la protection des données personnelles.
L’audit constitue la première étape vers une conformité au RGPD. Il s’agit d’un processus accessible, évolutif et à l’échelle de votre entreprise.
1. Le RGPD est encore une préoccupation nouvelle pour vous ? Peut-être hésitez-vous par crainte du coût, de la complexité, de la charge de travail... Il n’est pas nécessaire de mobiliser d’un coup un budget démesuré. Vous pouvez procéder par étapes en fixant des priorités. C’est donc l’occasion de se lancer.
2. Détermination des risques et des priorités, selon la finalité poursuivie, les catégories de personnes concernées (par les traitements de données), les catégories et les volumes de données traitées.
3. Définition de l'étendue de l'audit : l’ensemble de votre entreprise, certains départements, un service particulier ?
4. Choix de la formule : vous pouvez réaliser vous-même une partie importante de l’audit. C’est souvent le cas pour l’étape qui consiste à décrire les traitements de données (voir point suivant : « description de l’existant »). Dans ce cas, je me charge alors de vous fournir la guidance nécessaire (formations, réunions de suivi, réponses à vos questions…).
5. Détermination d’un plan d’action, d’une méthode tarifaire et d’un budget.
6. En fonction de votre budget et de la taille de votre entreprise, je vous aiderai à choisir l’outil le plus adapté pour la réalisation de l’audit, la constitution et la mise à jour des registres RGPD (mentionnées ci-dessous au point II.3).
En principe, il s’agira d’un logiciel dédié à la mise en conformité (avec différentes options). Pour les petites entreprises et les autoentrepreneurs, il sera possible de créer une base de données simple avec une interface graphique (plus agréable que Microsoft Excel ou Apple Numbers).
Deux impératifs guident notre choix : d’une part, possibilité de mettre facilement un terme au service, en récupérant son travail aux formats CSV, XML, JSON ou XLSX. ; d’autre part, les données doivent être hébergées en Europe.
7. Un premier découpage du flux des données en finalités et sous-finalités peut être réalisé.
8. Implication des membres du personnel dans le processus de mise en conformité par le biais de formations (pas pour les petites structures).
9. Nommer des auditeurs pour chaque traitement ou chaque activité (pas pour les petites structures).
1. Recensement des divers traitements et description du flux des données.
2. Constitution d'une documentation complète : formulaires de collecte, logiciels et technologies utilisés, clauses contractuelles, procédures internes, mesures de sécurité…
3. Constitution des registres RGPD, à savoir : le registre des activités de traitement, le registre des sous-traitants, le registre des incidents de sécurité et le registre des droits exercés par les personnes concernées.
1. Confrontation de l'existant aux exigences du RGPD, aux autres dispositions légales applicables, à la jurisprudence, aux avis rendus par le Comité européen de la protection des données (EDPB).
2. Identification des risques et des domaines dans lesquels des mesures correctives sont souhaitables.
3. Proposition de solutions les plus pragmatiques possibles.
1. Définir un programme pour l’implémentation des mesures.
2. Rédiger des clauses contractuelles ou améliorer celles existantes. Chaque document est rédigé dans une langue aussi claire et accessible que possible, afin de renforcer la transparence avec vos clients et partenaires.
3. Établir les documents permettant d'informer les personnes concernées et de recueillir, lorsque nécessaire, leur consentement (Charte vie privée…).
4. Prévoir des durées de conservation des données, en fonction de la finalité du traitement.
5. Revoir, si nécessaire, les catégories de données traitées : le respect de la légalité peut rejoindre des objectifs d'efficacité.
6. Rédaction et négociation de contrats avec les coresponsables et les sous-traitants de données.
7. Formalités et clauses pour le transfert de données hors du territoire des États membres de l’Union européenne.
8. Mise place et validation par l’autorité de protection des données des Règles contraignantes d’entreprise (BCR).
9. Identification des cas où une analyse d’impact est nécessaire et réalisation de celle-ci.
10. Formations du personnel et du management
11. Mise en place d’outils et de procédures internes (les plus souples possibles), afin de gérer : (a) l’exercice des droits des personnes concernées ; (b) les violations de sécurité ; (c) la poursuite et l’actualisation du travail réalisé
12. Implémentation du principe de privacy by design.
Les technologies et les exigences légales évoluent, votre société aussi... Il serait illusoire de croire que la conformité en la matière peut être atteinte une bonne fois pour toutes. Une mise à jour de la documentation et une évaluation périodique sont dès lors indispensables.
