Tracez
Il s’agit prioritairement de tracer les données collectées dans un fichier ou sur un logiciel comme Data Legal Drive. Mais cela ne suffit pas car il faut également expliquer :
- Qui au sein de votre organisme gère le traitement (le ou la responsable commercial et marketing)
- Pourquoi les données sont collectées et traitées, c’est-à-dire la finalité du traitement (par exemple, pour faire de la prospection)
- Pour combien de temps (la recommandation de la CNIL)
- Qui est concerné par le traitement (les prospects)
- Quelle est la base légale justifiant ce traitement (le consentement, l’exécution d’un contrat, etc…)
- Qui sont les destinataires des données (en interne : les personnes du service commercial et marketing, en externe : votre CRM)
- Si les données sont transférées hors de l’Union Européenne (et cela arrive beaucoup plus facilement qu’on le pense, notamment avec le recours à des logiciels externes)
- Quelles sont les mesures de sécurité mises en place (stockage sur un serveur sécurisé, etc…)
En d’autres termes, il faut remplir les conditions listées à l’article 30 du RGPD.
Dans le temps, il s’agira de renouveler ce process à chaque nouveau traitement. Il conviendra donc de s’interroger très régulièrement sur l’existence de nouveaux traitements et d’instaurer une communication fluide au sein de l’organisme entre les différents départements et celui responsable de la conformité RGPD (généralement le département juridique).
Il faudra également gérer la mise à jour des traitements existants, et par exemple prendre en compte l’utilisation d’un nouveau logiciel (exemple : un nouveau CRM).
Identifiez
Au sein de votre organisme, nommez une personne en charge de la conformité, idéalement un DPO, que vous y soyez obligé ou pas. Pour rappel, la désignation d’un DPO est obligatoire « si vous êtes un organisme public ; Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions 1 ».
Vous pouvez désigner officiellement cette personne auprès de la CNIL.
Assurez la formation de cette personne. De plus en plus d’organismes proposent des formations voire des certifications agrées par la CNIL.
Communiquez son identité à vos collaborateurs mais aussi auprès de vos partenaires (sous-traitants) afin qu’ils sachent vers qui se tourner en cas de question, de nouveau traitement, de mise à jour à effectuer.
Cette personne devra constamment s’interroger, et interroger ses collègues ainsi que vos partenaires (sous-traitants ou responsable de traitement conjoint) afin d’identifier tout nouvel élément lié à la conformité.
L’organisation de réunions régulières avec les chefs de département afin de faire un point sur les traitements (nouveaux et anciens) est recommandée, afin de ne pas se laisser surprendre.
Cette personne sera également en charge de la sensibilisation des collaborateurs aux questions RGPD. Ne négligez pas la formation de vos collaborateurs, qui participent à l’efficacité et la pérennité de votre conformité.
Enfin, la mise à jour et la rédaction de documents, aussi bien internes qu’externes, pourra également lui être attribuée (par exemple : la politique de confidentialité, la politique cookie, l’avenant RGPD au contrat de travail).
A noter que cette personne peut être un salarié de l’entreprise, sous réserve du respect des règles de la CNIL sur le sujet 2, ou un externe. En effet, de nombreuses personnes et entreprises proposent désormais leurs services de DPO externe, pour les entreprises qui n’auraient pas les moyens d’internaliser cette fonction. Data Legal Drive dispose d’un écosystème de plus de 100 partenaires pour vous aider dans votre mise en conformité RGPD.
Interrogez
N’hésitez jamais à contacter la CNIL en cas de question. En effet, le RGPD reste un texte récent, la jurisprudence, bien qu’abondante, ne répond pas forcément à toutes les questions soulevées par le texte et par l’environnement sans cesse évolutif issu des nouvelles technologies.
Celle-ci répond aux questions des internautes, quelle que soit leur fonction.
Par ailleurs, gardez à l’esprit que l’objectif de la CNIL n’est pas systématiquement de punir. En cas de contrôle, son but ne sera pas de vous sanctionner mécaniquement mais de vous pousser (de gré, ou malheureusement de force) à vous mettre en conformité.
Ainsi, lorsque des manquements peu significatifs sont constatés, la CNIL peut émettre de simples observations. Si des manquements plus importants sont révélés, une mise en demeure vous sera adressée, auquel cas vous bénéficierez d’un délai pour mettre en place les correctifs nécessaires.
Si vous ignorez cette mise en demeure et les injonctions qu’elle contient, la formation restreinte de la CNIL interviendra et prononcera alors la sanction adéquate.
A noter que la sanction pécuniaire n’est pas la seule arme de la formation restreinte, qui peut également rappeler l’organisme à l’ordre, l’enjoindre à se mettre en conformité (avec ou sans astreinte), limiter le traitement, etc 3…
Dans certains cas, lorsque le manquement est sérieux, la formation restreinte de la CNIL pourra aussi directement prononcer une sanction, sans mise en demeure.
Mais dans la pratique, la plupart du temps, la CNIL vous donnera l’opportunité de vous mettre en conformité avant toute sanction.
Enfin, des forums et associations de DPO existent, créant un véritable écosystème d’entraide.
En conclusion, gardez en-tête que si la matière n’est pas nouvelle et que le RGPD fait suite à d’autres législations en matière de protection des données personnelles, elle a subi d’importants changements et soulève de nouvelles questions auxquelles les réponses ne sont pas immédiates.
Si les sanctions peuvent faire peur, gardez à l’esprit qu’elles sont presque toujours la conséquence d’une inaction de la part des entreprises contrôlées.
Vous êtes intéressé par un logiciel RGPD ?
Découvrez les 7 critères pour choisir un logiciel de conformité !