En tant qu’Alchimiste Digital, je suis amené à gérer beaucoup de données personnelles, les miennes pour mes prospects et clients, et les données que mes clients utilisent.
Pourquoi je le fais
Il est pour moi inconcevable que je ne soit pas conforme RGPD pour le 25 mai, soit dans 90 jours. Et j’ai décidé de partager cette expérience avec vous, sur LinkedIn, sur mon blog et sur YouTube (bientôt une petite conférence questions réponses ouvertes à tous).
Mais je ne le fait pas que pour moi, je suis aussi bénévole dans plusieurs associations pour lesquels le RGPD est obligatoire aussi. Je vais aussi réaliser le RGPD d’une grosse association et d’une PME en même temps.
Je partagerais tous les cas que je rencontre afin de vous aider dans la réalisation de votre RGPD, si vous souhaitez le réaliser vous-même.
Avant le RGPD
Depuis des années, j’accompagne des entreprises dans leur mise en conformité légale de leur système d’information et notamment la déclaration à CNIL, la charte informatique simplifié, le cahier des bonnes pratiques, les piliers de la cybersécurité.
La CNIL qui est l’autorité en charge de contrôler la bonne application du RGPD dans l’hexagone. Elle a publié de nombreux contenus sur le sujet, et notamment le point de départ est se préparer en 6 étapes
C’est parti : J-90
C’est décidé, je commence aujourd’hui ma mise en conformité RGPD, et je vous invite à commencer avec moi. Le projet de loi a été adopté le 13 février 2018 par l’Assemblée nationale.
RGPD Semaine 1
C’est la première semaine, et ce sera sans doute la plus facile de notre programme en 12 semaines.
Etape 1 : un moyen de communication avec les personnes dédié aux données personnelles
Je vais créer une boite email (alias) pour la gestion des demandes sur les données personnelles dp@mondomaine.fr
Etape 2 : désigner un pilote le DPO interne ou externalisé
La mission du DPO (délégué à la protection des données) :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci (voir question ci-après).
Source CNIL
Etapes 2a : La mission du DPO
La mission du DPO est une mission dans le temps, son rôle ne finit pas lorsque l’entreprise en conforme au RGPD :
- Réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
- évaluer ses pratiques et mettre en place des procédures (audits, privacy by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
- identifier les risques associés aux opérations de traitement ;
- établir une politique de protection des données personnelles ;
- sensibiliser les opérationnels et la direction sur les nouvelles obligations.
Source CNIL
Malheureusement le rôle de DPO interne ou externalisé ne peut être confié à une personne n’ayant pas de fortes compétences informatique. Mais nous verront ensemble au fur et à mesure que si votre système d’information (informatique interne) est simple, vous allez pouvoir réaliser ce travail avec mes conseils. Je vous conseil quand même de faire valider votre travail ensuite par un DPO externalisé.
Etapes 2b : les outils nécessaires
Je vais vous faire découvrir les outils au fur et a mesure de la mise en oeuvre, mais vous pouvez utiliser CaptainDPO si vous êtes une PME avec votre DPO interne.
Etape 3 : vous impliquez.
Je vais réaliser ces mises en conformité RGPD suivant les données que je recueille et anonymise, mais je ne vais pas voir tous les cas possibles. Aussi, je vous propose de participer en posant vos questions dans les commentaires, vos cas particuliers, vos logiciels utilisés pour vous aider dans la réalisation de votre DIY RGPD.
DIY (Do It Yourself, fait le vous-même) RGPD.
La suite la semaine prochaine … A bientôt
[…] Vous pouvez retrouver ici la première partie […]