News
Confidentialité données personnelles entreprise

Comment réorganiser les process de traitement des données personnelles ?

Recevoir la newsletter

Les traitements des données personnelles sont aujourd’hui omniprésents dans les entreprises. Que ce soit les fichiers client, la gestion de données RH, etc. Toutes ces données transitent entre différents acteurs. Cependant, chaque transfert ou stockage peut présenter des failles. C’est pourquoi garantir la protection et la confidentialité des données est un enjeu essentiel du RGPD. Découvrez comment bien réorganiser vos process internes pour respecter les nouvelles exigences du règlement.

S’organiser en interne pour garantir la protection des données

L’entreprise doit s’engager à respecter le principe du privacy by design. Il s’agit de prendre les mesures nécessaires à la protection des données personnelles dès la création d’un nouveau produit, service ou technologie entraînant des traitements de données.

Ce concept implique que l’entreprise adopte une posture à la fois proactive et préventive. Ainsi, chaque nouveau produit ou service garantit dès sa mise à disposition au public du plus haut niveau de protection des données personnelles.

Pour ce faire, le développement et l’élaboration du produit ou service devra engager chaque intervenant dans une démarche de respect de la vie privée des utilisateurs finaux. Cela signifie que des formations et dispositif de communication devront être mis en place pour sensibiliser tous les collaborateurs aux bonnes pratiques et aux enjeux qui y sont liés.

telecharger-checklist-rgpd

Structurer les procédés de contrôle de conformité

Avec la mise en application du RGPD le 26 mai 2018, l’entreprise va devoir être en mesure de prouver sa conformité aux exigences du nouveau règlement. C’est notamment le principe d’accountability qui dicte cette obligation dans un objectif de transparence et de traçabilité.

Dans la pratique, l’accountability se traduit par la rédaction d’un document interne recensant les politiques et principes fondamentaux de l’entreprise à l’égard des traitements de données personnelles. Dans le cadre du GPDR, il s’agira notamment de réviser les clauses contractuelles avec les sous-traitants dont les responsabilités deviennent conjointes avec celles de l'entreprise.

Le recours à un DPO (Data Protection Officer) permettra de mieux centraliser les actions et de disposer d’un référent auprès de la CNIL pour transmettre la documentation de conformité quand elle l’exige.

 

Gérer efficacement les droits des personnes et violations de la vie privée

Le nouveau règlement européen ouvre de nouvelles obligations aux entreprises et de nouveaux droits aux personnes. Ainsi, la société doit mettre en place tous les process qui lui permettent de répondre rapidement et efficacement dans les deux cas suivants :

Permettre l’exercice des droits des personnes

Il s’agit notamment des droits d’accès, de rectification et le nouveau droit à la portabilité. Il faut donc identifier les différents intervenants et les moyens mis à disposition des personnes concernées par les traitements (donner la possibilité de disposer facilement de ses données, sur simple demande écrite au DPO, par exemple).


Être réactif en cas de violation de la vie privée

Le RGPD oblige les entreprises en cas de violation des données d’en référer à la CNIL, ainsi qu’aux personnes concernées dans les 72h maximum après l’incident. La mise en place de process spécifiques permettra à l’entreprise d’être réactive et d’éviter toutes sanctions. Là encore, le recours à un Data Protection Officer facilite l’interface entreprise / CNIL.



Réorganiser les process au sein de l’entreprise est un enjeu essentiel qui va au-delà de la mise en conformité au RGPD. En effet, des données mieux maîtrisées ont un impact positif sur la gouvernance des données stratégiques. La CNIL a d’ailleurs mis en place un label “gouvernance informatique et libertés” qui pose de bonnes bases pour le respect des nouvelles exigences. Ce label est également un gage de confiance pour les clients et futurs clients de l’entreprise qui s’engage à respecter leur vie privée.

telecharger-checklist-rgpd