Une mise en demeure de la CNIL ne fait jamais plaisir, cependant pas de panique.
Vous êtes une entreprise et vous venez de recevoir un mail de la CNIL qui vous somme de vous mettre en conformité ? Si vous ne savez pas par où commencer, vous êtes au bon endroit !
Etape 1 : Nommer des responsables et lister les intrants de données
La mise en conformité de votre société est le résultat d’un ensemble de processus, de procédures et de documents à rédiger afin de mettre en lumière tous les points d’entrée des données et les personnes responsables de celles-ci.
Si vous avez été contacté par la CNIL, c’est que votre établissement est laxiste quant aux mesures, que vous avez potentiellement été dénoncé ou bien que votre site n’est pas conforme aux principes du RGPD.
En premier lieu, il faut dans un premier temps rassembler vos équipes, définir un responsable des données et établir un listing de toutes les entrants de données dans votre société.
Attention : La personne nommée ne doit pas être susceptible de présenter un conflit d’intérêts. Comme par exemple le dirigeant de l’entreprise qui pourrait à un moment privilégier la pérennité de l’entreprise au respect de la réglementation.
En règle général, un consultant externe est un choix judicieux. En effet il,
- A déjà été formé,
- À eu l’occasion de voir plusieurs cas pratiques,
- Dispose des compétences techniques et juridiques nécessaires à l’exercice du métier de DPO,
- Coûte moins cher à l’entreprise,
- Ne présente pas de conflit d’intérêts.
Quelques exemples d’intrants de données :
Service marketing
- Listes de diffusion Emailing
- Logiciels de prospection
- Site Web (Newsletter, Espace client …)
- Abonnements divers
Service Administratifs
- Contrats avec les fournisseurs de logiciels
- Avantages employés (Mutuelle, TR, véhicules et outils)
- Gestion du Recrutement
- Gestion du Personnel
Service Commercial
- Suivi de la GRC
- Prospection Téléphonique
- Contrats Commerciaux
- Outils commerciaux
Etape 2 : Rédiger la documentation obligatoire
Sûrement l’étape la plus chronophage et rébarbative mais néanmoins la plus importante.
Les procédures et processus :
Une fois que vous avez recenser vos intrants de données et désigné un responsable, il faut rédiger une documentation expliquant le processus de collecte et leur finalité. La collecte doit bien évidemment reposer sur une base légale.
En conséquence, la rédaction des procédures implique de nombreuses informations. Nous en avons fait un article complet : Voir notre article – Comment rédiger vos procédures.
Les documents juridiques :
En plus de la documentation sur les processus et les procédures, vous devez être en possession de plusieurs documents juridiques obligatoires et facilement accessibles tels que votre :
- Registre des Traitements
- Politique de Confidentialité
- Avis de confidentialité des employés
- Vos contrats RT-ST
- Vos plans de continuité professionnelles (DUERP, Plans de carrières)
Nous vous invitons à vous rapprocher de votre service juridique afin de réaliser au plus vite ces documents. Par ailleurs, Unitae RGPD peut vous fournir l’ensemble de ces documents en un temps record. Nous travaillons en partenariat avec un cabinet d’avocat qui réalise nos documents juridiques.
Les mentions d’information :
Faisant directement référence aux différents principes du RGPD, les mentions d’informations doivent être mise à disposition des parties prenantes. Cela comprend, les différents principes de :
- Limitation des données
- Minimisation des données
- Rectification des informations
- Suppression des informations
La plupart de ces mentions sont inscrites dans les différents documents juridiques, mais doivent aussi apparaitre sur le site internet lors de la collecte des informations personnelles.
De plus, n’oubliez pas les différentes mentions dans les cas particuliers tels que la vidéosurveillance et le tracking des véhicules commerciaux et supports de vos employés.
Etape 3 : Analyser vos contrats
La relation avec vos employés, sous-traitants et partenaires doit également respecter les principes du RGPD. Souvent laissés de côté, la CNIL s’assurera que vous assurez un certain contrôle vis-à-vis de ces parties prenantes.
En effet, vous devez ajouter des mentions supplémentaires dans vos contrats avec vos partenaires, sous-traitants et fournisseurs ou faire des avenants de manière à assurer une protection des données personnelles de vos clients, prospects et employés.
Une entreprise est co-responsable avec ses sous-traitants, fournisseurs et partenaires.
Etape 4 : Réaliser ses analyses d’impacts
Une Analyse d’impact (ou PIA, AIPD) est une déclaration sur le site de la CNIL qui est obligatoire lorsque l’on traite de données sensibles.
Attention : Si vous avez plusieurs employés, vous devez forcément rédiger au moins une analyse d’impact : Celle de la Paie.
En outre, c’est une procédure assez fastidieuse mais néanmoins très importante qu’il faut traiter en priorité. Unitae RGPD peut vous rédiger vos PIAs.
Etape 5 : Faire un audit de Cybersécurité
Si vous traitez de données personnelles, vous devez assurer une certaine protection de ces données. Vérifiez que vous avez pris des mesures concernant votre cybersécurité. Demandez à votre prestataire ou service informatique les différentes mesures mise en place pour protéger l’entreprise des menaces extérieures. Créez un document qui justifie de toutes les mesures de protection des données mises en place. Enfin assurez vous que vos employés soient sensibilisés à ces démarches et les respectent bien.
A ne pas oublier :
Dans tous les cas, soyez dans une attitude positive, lors d’une mise en demeure de la CNIL et ne montrez pas de réticence. Les contrôleurs risqueraient dans le cas opposé, de considérer votre comportement comme une entrave à l’action de la CNIL.
La meilleure façon d’agir reste de ne pas bloquer l’accès à vos locaux. Soyez ouvert, attentifs et montrez les documents demandés. Si vous ne les avez pas tous contacter directement après la visite une entreprise spécialisé en RGPD pour obtenir ces documents et faire office d’intention.
Ainsi, après avoir assurer l’ensemble de ces étapes, vous aurez déjà quelques solutions pour vous défendre et montrer patte blanche vis-à-vis de la CNIL et vous ne craindrez plus de sanctions financières vis-à-vis de votre mise en demeure.
Par ailleurs, la CNIL ne va cependant pas vous oublier si rapidement, et va sûrement vous recontacter à posteriori afin de s’assurer que les différents documents et procédures soient à jour et les principes bien respectés. C’est pourquoi il est fortement recommandé de nommer un DPO qui s’assurera du suivi de votre conformité.
Notre Cabinet : Unitae RGPD
Unitae RGPD vous accompagne dans l’ensemble de vos démarches et propose un service de DPO Externalisé. Cela permet de vous concentrer sur vos objectifs et d’être plus serein vis-à-vis de la CNIL.
