Quelle conformité pour les organisations ?

Le Règlement européen impose une prise en compte accrue de la protection des données à caractère personnel : « Protection des données dès la conception » et « Protection des données par défaut ».

L’urgence est de prendre en compte les exigences du RGPD dans les contrats au plus tôt et en particulier sur le changement du statut du sous-traitant en termes de responsabilités (article 26 et article 28).

L’ampleur des sanctions (article 84) en cas de non conformité va de 10 M€ ou 2% du CA mondial consolidé à 20 M€ ou 4% du CA mondial consolidé. Le montant le plus élevé étant retenu comme sanction maximale possible.

Lorsque des transferts d’information hors Union Européenne sont effectués, des BCR ou Binding Corporate Rules peuvent constituer une solution juridique de mise en conformité et de maintient d’exploitabilité.

Le chapitre IV section 4 concerne le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO). L’obligation de la désignation d’un DPO ne concerne pas toutes les structures, bien que la CNIL recommande fortement sa désignation, y compris dans les cas d’exceptions. Le DPO peut être un rôle interne porté par un salarié ou externalisé chez un prestataire.

Preuves de la responsabilité opérationnelle et juridique de l’organisation, le corpus documentaire exigé est constitué :

En synthèse les exigences du RGPD sont :

En cas de défaut la sanction prévue est de 2% du CA consolidé ou 10 M€.

La suite des exigences :

Dans ces cas le non respect peut être sanctionné par 4% du CA consolidé ou 20 M€.

La mise en conformité n’est pas un simple projet, il s’agit plus d’un changement de culture dans les organisations quelques soient leurs tailles.

Méthodologie

Pour qu’une organisation se mette en conformité, il faut qu’elle se prépare en 6 étapes selon les conseils de la CNIL :

  1. Désigner un pilote,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions,
  4. Gérer les risques,
  5. Organiser les processus interne,
  6. Documenter la conformité.

Pour rester dans l’esprit de ces étapes nous proposons de vous accompagner sur un projet de mise en conformité en 5 phases comme suit (cliquer sur l’image pour l’agrandir) :

RGPD Méthodologie projet

Ce type de projet vous permet d’obtenir une évaluation de votre conformité au Règlement européen, d’avoir une cartographie complète de vos traitements et un plan d’action d’amélioration pour être en conformité. L’ensemble des résultats obtenus permet au DPO ou au responsable de traitement de prendre en charge immédiatement le maintien de cette conformité et le pilotage du plan d’action. Il est conseillé de réévaluer la démarche au moins une fois tous les 3 ans.

Services de consulting

Nous menons les projets de mise en conformité RGPD avec une offre de services très diversifiée et adaptée à vos besoins, par exemple :