Cela n’arrête plus, chaque jour vous recevez des appels d’entreprises qui vous propose de vous mettre en conformité RGPD parce que vous allez devoir payer une amende.
Il n’existe aujourd’hui aucune certification RGPD.
Tout le monde veut vendre du RGPD, tellement que la CNIL a émis un avertissement.
Être conforme est important.
Poser la bonne question
Pour pouvoir proposer de vous mettre en conformité, le prestataire doit lui aussi être conforme RGPD. C’est le principe de la sous-traitance des données des articles du règlement :
lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
Consulter leur site web
L’une des meilleures manières de connaître la conformité est de consulter le site web du prestataire pour vérifier dans un premier temps s’il comporte une page sur la protection des données personnelles.
Assurer la transparence
Comme vous le savez si vous me suivez sur nos conseils DIY RGPD (comment faire soi-même son RGPD), j’ai commencé à mettre en œuvre le règlement au sein de mon organisation.
Pour l’instant, je ne suis pas intégralement conforme au règlement, mais chaque semaine, je le suis un peu plus.
Où se trouve réellement le risque ?
Soyons honnête, il n’y a très peu de chance que vous soyez contrôlé par la CNIL d’ici la fin de l’année. Le risque est pratiquement nul si votre société a moins de 200 salariés.
Le vrai risque est qu’un de vos prospects vous demande ses données personnelles. Si vous n’avez pas préparé la bonne manière de les communiquer, c’est ici que le véritable risque est présent.
Êtes vous prêt a la communication de crise ?
Selon une étude de CyberArk :
62% organisations françaises victimes d’une cyberattaque n’ont finalement pas avoué à leurs clients que leurs données personnelles avaient été compromises.
Avec l’entrée en vigueur du RGPD, le problème ne peut plus être pris à la légère.
Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
Vous pouvez commencer aujourd’hui à préparer un message type que vous allez envoyer à vos clients et partenaires, pour vous excuser d’avoir communiqué par inadvertance leurs données personnelles. Vous n’aurez ensuite plus qu’a changer le titre : suite à virus, suite à vol de téléphone, etc.
Finalement comment vous débarrassez
Si vous souhaitez vous débarrasser simplement de votre interlocuteur, vous pouvez utiliser l’une des phrases suivantes :
- Nous avons nommé un DPO Externalisé, (Cédric DELBERGHE de DARVIS)
- Pouvez-vous me faire parvenir par email les données que vous avez collecté sur moi et mon entreprise ?
La meilleure solution est de vous inscrire à la lettre Darvis RGPD pour permettre aux solos, TPE, PME ou associations de réaliser simplement leur conformité RGPD. Je partage chaque semaine comment réaliser son propre (Do It Yourself) RGPD.