La plupart d’entre nous qui travaillons dans des entreprises qui traitent des données personnelles sont désormais au courant de la bombe qu’est le « GDPR ». Ce règlement tant attendu sur la protection des données entrera en vigueur dans à peine douze mois, le 25 mai 2018. Pour de nombreuses organisations, la question se pose de savoir comment entamer une campagne de préparation au GDPR et quels sont les domaines clés sur lesquels se concentrer. La tâche peut sembler ardue si l’on considère que les conséquences d’un non-respect des exigences sont si graves : c’est à dire que les données personnelles ne sont pas protégées.  amendes jusqu’à une valeur de 20 millions d’euros ou 4 % du chiffre d’affaires annuel global.

Mais n’ayez crainte ! Nous avons créé un guide rapide contenant les cinq principaux défis auxquels sont confrontées de nombreuses entreprises lorsqu’elles lancent une campagne GDPR, ainsi que des conseils sur la meilleure façon de les surmonter.

1. Sensibiliser l’ensemble de l’organisation au GDPR

Notre conseil : Faites participer les acteurs clés et élaborez un plan de sensibilisation.

Comme le dit le vieil adage : Ne pas se préparer, c’est se préparer à échouer. Veillez à ce que les décideurs et les principales parties prenantes de votre organisation soient conscients de l’évolution de la législation et garantissez l’adhésion de la haute direction. Il vous sera très utile d’avoir un parrain exécutif dont la tâche sera de défendre la campagne et de veiller à ce qu’elle se déroule sans heurts.

Pour lancer votre projet GDPR, nous vous recommandons également de commencer par consulter le registre des risques de votre organisation, si vous en avez un. Si ce n’est pas le cas, il s’agira d’un outil pratique à compiler lorsque vous commencerez votre parcours GDPR.

N’oubliez pas que le temps est un facteur essentiel. Commencez dès que possible pour éviter toute panique de dernière minute et profitez de l’année suivante pour sensibiliser vos employés aux changements à venir. Notre cours d’apprentissage en ligne sur le GDPR est un excellent point de départ pour sensibiliser vos employés.

2. Évaluer les méthodes actuelles de traitement des données et les adapter pour répondre aux attentes du GDPR

Notre conseil : Commencez par identifier et noter les données personnelles que vous détenez, leur origine et les personnes avec lesquelles vous les partagez. Documentez également toutes les mesures de conformité déjà en place.

Nous vous recommandons de procéder à un audit des informations. Par exemple, si vous disposez de données personnelles inexactes et que vous les avez partagées avec une autre organisation, vous devrez en informer cette dernière afin qu’elle puisse modifier ses propres dossiers. Il est donc essentiel de savoir quelles informations vous détenez et dans quel but vous les utilisez. Il est également important de suivre les changements que vous apportez à toute activité de traitement des données afin de vous mettre en conformité avec le GDPR. Cela vous aidera à prouver que vous respectez le principe de responsabilité du GDPR.

3. Désignation d’un délégué à la protection des données

Notre conseil : Déterminez si la désignation d’un DPD est une exigence obligatoire ou souhaitable pour votre organisation. Dans l’idéal, une personne devrait être désignée pour assumer la responsabilité de la conformité en matière de protection des données, compte tenu du fait que le risque d’une infraction au GDPR est assorti d’une amende très élevée.

Les organisations qui devront désigner un DPD sont notamment les autorités publiques et celles dont les activités impliquent un suivi régulier et systématique des personnes concernées à grande échelle. Il est important de veiller à ce qu’une personne de votre organisation, ou un conseiller externe en matière de protection des données, assume l’entière responsabilité de votre conformité en matière de protection des données. Les principales qualités requises pour ce rôle sont les suivantes : avoir les connaissances, le soutien et l’autorité nécessaires pour gérer efficacement la protection des données.

Il est également conseillé d’élaborer un cadre de communication dès que vous avez nommé votre DPD. Ce cadre doit permettre de déterminer qui rendra compte à qui et où ce rôle se situera dans la structure de votre organisation, afin d’éviter toute confusion.

4. Mise en œuvre de nouvelles méthodes de traitement des données

Notre conseil : Documentez et mettez en œuvre de nouvelles politiques et procédures de conformité et formez votre équipe de traitement des données conformément à ces nouvelles mesures. Passez en revue tous les contrats et consentements existants et actualisez-les conformément au GDPR.

Ceux-ci doivent prendre en compte les changements clés, notamment les informations relatives à la vie privée, les droits individuels renforcés, les demandes d’accès à l’information et le consentement.

Examinez vos avis de confidentialité actuels et élaborez un plan pour apporter les modifications nécessaires à temps pour la mise en œuvre du GDPR.

Vérifiez vos procédures pour vous assurer qu’elles couvrent tous les nouveaux droits renforcés des individus en vertu du GDPR, y compris la manière dont vous effacez les données personnelles ou fournissez des données par voie électronique et dans un format couramment utilisé.

Mettez à jour vos procédures et planifiez la manière dont vous traiterez les demandes d’accès des personnes concernées dans le nouveau délai d’un mois.

Examinez la manière dont vous recherchez, obtenez et enregistrez le consentement et vérifiez si vous devez apporter des modifications. N’oubliez pas de documenter tous les changements apportés. N’oubliez pas non plus que le GDPR modifiera également la manière dont les données personnelles des enfants seront traitées. Il est conseillé de commencer à réfléchir dès maintenant aux systèmes que vous pouvez mettre en place pour vérifier l’âge des personnes et pour recueillir le consentement des parents ou des tuteurs pour les activités de traitement des données.

5. Identifier et comprendre comment faire face à une violation de données

Notre conseil : Mettez en place des procédures claires de notification des violations de données qui vous permettent de détecter et de signaler la violation dans le nouveau délai de 72 heures.

Créez un registre interne des violations de données afin d’enregistrer et de suivre les enquêtes menées en cas de violation. Il est également important d’évaluer les données que vous détenez et qui devront être notifiées en cas de violation.

Veillez à ce que vos partenaires et fournisseurs sachent clairement quelles sont leurs responsabilités en ce qui concerne la notification de toutes les violations potentielles et confirmées de leur côté.

Vous êtes toujours débordé ? Pas de panique ! Il est encore temps de maîtriser votre programme GDPR. Pourquoi ne pas organiser  pour discuter avec nos experts de l’industrie et découvrir les avantages que notre nouveau produit MetaPrivacy » vous aidera à préparer votre organisation à la mise en conformité avec le GDPR. Nous avons également  deux cours d’apprentissage en ligne sur le GDPR disponibles pour former notre personnel et contribuer à votre campagne de sensibilisation au GDPR.