RGPD | FORMATION | ENTREPRENEURIAT

Membre du collectif

LIRESAU

RGPD &
mise en conformité.

RGPD | Réglementation Générale sur la Protection des Donnés Personnelles

Vous accompagnez dans vos démarches d’audit, de cartographie des traitements de données, de mise en conformité, de désignation de DPD & de formation.

En 2021...

Téléchargez le rapport d’activité 2020 de la CNIL

0

Organismes ont désignés un DPD

0

DPD désignés

0

Contrôles effectués

0

Plaintes déposées

0

Violations de données

Marc CORNET - Mise en conformité RGP, formation et accompagnement à l'entrepreneuriat

Pas de contraintes.
Des opportunités.

Prise de hauteur & transversalité.

La RGPD (Réglementation Générale sur la Protection des Données Personnelles) est un domaine, parmi d’autres, pour lequel la transversalité est capitale.

A l’image du ”job rotation” (échangeons nos postes une fois par an durant une journée ou ++, entre collègues), la RGPD est l’affaire de tous au sein de l’entreprise. Aucun services n’est épargné et la parfaite communication au sein de ces derniers est nécessaire. Nécessaire mais également garante d’une meilleure compétitivité et d’une confiance accrue de la part des partenaires, clients, collaborateurs. Le RGPD n’est en aucun cas une contrainte. Elle offre de belles opportunités.

Concrètement ?

Simplifier les procédures...

Simplicité = efficacité

La RGPD fait peur. Et pourtant il n’y a pas de quoi. 

Au même titre que la CNIL, je vous accompagne afin de maîtriser vos process d’information et de protection des données, de mise en conformité, d’innovation et d’anticipation. 

Nous parlions de valeur d’entreprise… La confiance doit s’installer. Elle est fondamentale pour établir ce lien de confiance entre partenaires, collaborateurs et clients. Et au delà de ce fait, c’est une culture d’entreprise qu’il faut installer. 

Convaincre. Démocratiser la thématique. responsabiliser.

Audit & cartographie

Les données personnelles receuillies...

Maîtrisez vous les catégories de données que votre entreprise traite ?

Pour exemple le traitement de données de type confession religieuse ou génétique sont totalement interdites.

Si non, la cartographie des données traitées n’est pas correct et par conséquent la mise en conformité non plus. Les données sont elles ”sensibles” ? pertinentes au regard de vos besoins ? données à jours ?…

Les pratiques au sein de l'entreprise...

Maîtrisez vous le niveau de compétence ou de sensibilisation de vos collaborateurs. Avez-vous déjà abordé le sujet des données personnelles avec vos collaborateurs et managers ?

Séances d’informations collectives ?  

La gestion des risques...

La gestion des risques est une réflexion nécessaire. Une analyse d’impact, même si non obligatoire dans de nombreux cas, reste extrêmement conseillée. Surtout si la nature des données recueillies/traitées/transmises… est de nature sensible (données médicales par exemples)

Il conviendra de manière structurée et la plus exhaustive possible de définir quelles seraient les conséquences d’une violation de données.

L'audit...

C’est une phase importante de la mise en conformité. Il permet d’identifier le fonctionnement de l’entreprise au regard des données personnelles. Son résultat (rapport) fournit la feuille de route de votre mise en conformité : constatations, préconisations, calendriers d’actions, contrôles, mise en place de procédures, formation et sensibilisation des collaborateurs. 

Voyez l’audit comme un inventaire des points forts et faiblesse de l’entreprise au regard du RGPD. Toutes les questions que vous vous posez trouveront réponses au sein d’un audit RGPD

Accompagnement à la mise en conformité

Les questions à se poser...

Vos outils informatiques sont-ils sécurisés par des mots de passe fiables ? 

Les profils informatiques créés sont ils en adéquation avec les besoins d’accès aux données ?

Des procédures de sauvegardes fiables sont elles en place et opérationnelles ?

Vos documents ”papiers” sont ils sécurisés (coffre-fort ? armoire sous clés ?)

Avez vous mis en place une charte informatique relative à la sécurité des données et des bonnes pratiques générales ?

le personnel est-il sensibilisé à la protection des données ?

Les managers sont ils formés ou sensibles aux enjeux de la protection des données d’entreprises et données personnelles ?

 

... Et en amont, l'audit...

C’est suite à l’audit que la mise en conformité démarrera. En effet, l’audit en aura tracé le chemin en amont afin de planifier l’ensemble des opérations : calendrier, budgétisation, formation et sensibilisation, mise en place de procédures, contrôle, adaptation des procédures si besoins…

Les bénéfices d'une mise en conformité...

Outre la conformité atteinte et les process en place, c’est surtout une confiance globale installée face aux événements liés aux données personnelles. Vous serez à même de :

  • Répondre rapidement et efficacement aux demandes d’accès aux droits émisent par les propriétaires des données
  • Une transparence et une efficacité face aux contrôles ou sollicitations de la CNIL
  • Un avantage concurrentiel indéniable grâce à une confiance -ré-installée et pérenne pour les partenaires/clients de votre entreprises.
  • Des procédures ”simples” et non chronophages pour conserver la compétitivité de votre entreprise. Chaque ”manipulateur” de données sait ce qu’il doit faire, au bon moment, et de la bonne manière.
Les collaborateurs concernés...

Tous les collaborateurs de l’entreprise sont concernés. Même si ils ne ”manipulent” pas tous des données personnelles, la culture de la thématique est importante. L’accompagnement permettra la sensibilisation à cette réglementation et aux risques encourus.

Mais, plus particulièrement, les DPD, responsables de traitements, managers de services, devront être d’avantage opérationnels en maîtrisant les enjeux du RGPD.

Désignation d'un DPO interne...

Indépendamment ou parallèlement à la mise en conformité, nous pourrons désigner ensemble de manière pertinente le DPD de votre structure. Et, si nécessaire, établir le programme de formation adéquat.

Activités de DPD externe

Qu'est ce qu'un DPD ?

Le DPD (DPO en anglais) est le Délégué à la Protection des Données personnelles. Il est la personne qui veille au bon respect du cadre légal concernant la gestion des données personnelles / RGPD. 

Ces compétences, outre la maîtrise de cette réglementation, s’articulent également autour des fonctions du RSI. En effet, une part importante du RGPD concerne la sécurité des données et par conséquent l’infrastructure informatique. Idéalement, il pourra être associé à diverses compétences juridiques en interne ou en externe.

Pour complément, le DPD n’est pas (et ne doit pas être) le responsable de traitement. Le responsable de traitement est ”habituellement’ le dirigeant de l’entreprise/structure en tant que personne physique. Une personne morale peut revêtir cette fonction également. 

 

Concrètement, informer et conseiller, piloter le respect de la réglementation, conseiller sa structure, coopérer avec l’autorité de contrôle (CNIL), être le point de contact des personnes concernées.

Interne ou externe ?

Comment mentionné dans la définition du DPD, ce dernier peut être désigné en interne. En fonction des compétences existantes, il conviendra -ou non- de le former aux fonctions de DPD. Fonctions autant opérationnelles que managériales.

le DPD externe agira quant à lui en tant que prestataire de service externe et facturera à ce titre. A l’entreprise bénéficiaire de mesurer les meilleurs aspects de l’une ou l’autres des solutions. Il est conseillé pour bon nombre de TPE/PME de faire appel aux services d’un DPD externe car ce dernier bénéficie d’un regard extérieur et impartial sur la structure. Garantissant une approche et une proposition de solution(s) souvent plus pertinente et mieux accueillie qu’en ”interne”.

Les aptitudes du DPD

le DPD est le chef d’orchestre de la conformité au RGPD. A ce titre il pilote l’ensemble des phases et process inhérents à la bonne gestion des données personnelles.

Pour ce faire il doit communiquer efficacement, en toute indépendance. bénéficier d’expertise en matière de protection des données et bénéficier de cycles de formations continues. Il doit avoir une bonne connaissance du secteur professionnel dans lequel il évolue. Sans hiérarchie intermédiaire, il rendra compte directement au plus haute responsabilité de la structure.

Le DPD ne devra idéalement pas faire partie de la sphère dirigeante de la structure. Il serait alors en possible conflit d’intérêts.

Pour compléments, 28% des DPO sont issus du secteur informatique, 28% de profils juridiques, 44% de l’administratif, des finances ou de l’audit.

Sensibilisation et formation

La responsabilisation...

Quel que soit le poste occupé au sein de l’entreprise/la structure, chaque collaborateurs doit acquérir -idéalement- une culture de la données personnelles. Quand bien même il n’y a pas de traitements ou de manipulations de données, il est important que chacun comprenne les enjeux et les responsabilités liées à une conformité réussie.

La transversalité...

Les managers, non DPD, font partie intégrante de la chaine de succès face au RGPD. Le bon respect de la réglementation passe par une parfaite connaissance des process mis en place et des activités de chaque départements (commercial, comptabilité, RH, technique…). Le manager sera le garant de la prise de conscience effective des enjeux afin de faciliter et fiabiliser les travail de pilotage du DPD.

La formation du DPO interne...

En préambule, la fonction de DPO interne ne nécessite pas de prérequis en terme de diplôme spécifique. Par essence et au regard des aptitudes dont il doit faire preuve (communication efficace, management, compétences RGPD & sécurité des données), il conviendra d’attribuer ces fonctions à un cadre de niveau intermédiaire.
La CNIL encadre strictement la certification des DPO. Par conséquent, la formation aux fonctions de DPO est issue d’un référenciel spécifique mais peut être suivie par tou(te)s (si aptitudes professionnelles pré requises acquises). Mais, la certification des compétences de DPO n’est possible qu’auprès de certains organismes agréés.

Le RGPD n’est en aucun cas une contrainte. il vous offre un avantage concurrentiel indéniable.
Téléchargez le rapport d’activité 2021 de la CNIL