Fellowes logo and banner
Guide des bonnes pratiques de protection au sein de l'entreprise Guide des bonnes pratiques de protection au sein de l'entreprise


Se préparer pour être en conformité avec le RGPD Se préparer pour être en conformité avec le RGPD

Se préparer pour être en conformité avec le RGPD

Pour de nombreuses entreprises, se mettre en conformité avec ce Règlement Général sur la Protection des Données va induire de grands changements en interne. La CNIL préconise ainsi de suivre six étapes pour assurer sa transition afin d’être prêt en mai 2018.


Désigner un pilote

1/ Désigner un pilote

En vue de piloter la transition et superviser le bon fonctionnement d’une politique de collecte, il est conseillé de désigner un responsable dédié à la protection des données. C’est même une obligation pour les organismes publics et les entreprises qui traitent des données personnelles sensibles. Ce chef d’orchestre est là pour conseiller les employés et contrôler que le RGPD est bien appliqué. C’est lui, en cas de doute ou de litige, qui assurera le lien avec l’autorité de contrôle.

Cartographier le traitement des données

2/ Cartographier le traitement des données

Pour mesurer l’impact du RGPD, il convient de se lancer dans un état des lieux. L’idée est de recenser le volume de données collectées, en déterminant qui elles concernent, les objectifs poursuivis et – le cas échéant – les prestataires qui les traitent. Une fois ces éléments-clés connus, l’entreprise pourra créer et tenir un registre précis des données, de manière à les localiser facilement.

Prioriser les actions

3/ Prioriser les actions

Une fois le registre créé, l’étape suivante est d’identifier les manquements actuels. Parmi les actions immanquables, les entreprises doivent s’assurer que les données collectées leurs sont utiles et entrent dans un cadre juridique clair. Elles doivent aussi permettre aux personnes d’exercer leurs droits à l’oubli, à la portabilité et à contester le profilage. Elles vont devoir s’assurer que le niveau de sécurité est maximal, et enfin, veiller à ce que leurs sous-traitants se plient également à toutes ces mesures.

Gérer les risques

4/ Gérer les risques

La cartographie doit servir à identifier les traitements de données faisant courir un risque potentiel pour les droits et les libertés des personnes. En cas de doute, les entreprises vont devoir monter une étude d’impact sur la protection des données. Cette étude va permettre de pointer les failles potentielles, et de déterminer les meilleurs outils pour les colmater. La CNIL propose plusieurs catalogues de bonnes pratiques sur son site.

Organiser les processus internes

5/ Organiser les processus internes

Pour assurer une sécurité maximale, gérer les failles, ainsi que les demandes de rectification, l’entreprise doit mettre en place des processus internes de réponses rapides et automatisées. Ce sont des actions à mettre en place en amont de la création d’un cookie, d’une application ou d’un nouveau traitement. Ce processus interne est également primordial pour se mettre en conformité avec l’obligation de signaler tout épisode de violation dans une limite de 72 heures à l’autorité de contrôle et aux personnes concernées.

Documenter la conformité

6/ Documenter la conformité

Les entreprises sont tenues de créer un dossier regroupant tous les documents qui permettent de prouver que le traitement des données est conforme au RGPD. Ce dossier comportera le registre des traitements, les études d’impact sur la protection des données et l’encadrement des transferts de données hors de l’UE. Il présentera aussi les mentions d’informations, les modèles de demande de consentement aux personnes et les procédures mises en place pour qu’elles puissent exercer leurs différents droits. Enfin, ce document regroupera tous les contrats, notamment avec les sous-traitants, et explicitera les procédures et les responsabilités de chacun, en cas de violation des données.

Se préparer pour être en conformité avec le RGPD Se préparer pour être en conformité avec le RGPD

Guide des bonnes pratiques de protection au sein de l'entreprise

Une bonne application du Règlement Général sur la Protection des Données passe d’abord par des pratiques irréprochables en interne. L’enjeu est d’éviter tout risque de fraude, et assurer la sécurité de l’entreprise, des employés, des clients et des consommateurs. Voici 15 bonnes pratiques à respecter :

 
icon1

Formez vos employés aux risques d’usurpation d’identité et d’espionnage économique.

icon2

Assurez-vous toujours que des documents n’ont pas été oubliés dans le local des photocopieuses et les salles de réunion. Les mots de passe ne doivent jamais être divulgués ou écrits sur des papiers.

icon3

Assurez-vous que les documents soient toujours supprimés avec un destructeur et pas simplement jetés à la corbeille. N’oubliez pas non plus de détruire les CD et DVD.

icon4

Veillez à ce que les documents imprimés, une fois qu’ils ne sont plus utiles, soient systématiquement détruits avec un destructeur de documents, notamment pour ne pas tomber dans les mains de la concurrence ou de personnes malveillantes.

icon5

De manière à faciliter la démarche à vos employés pour détruire les documents, placez un destructeur dans chaque service.

icon6

Une fois que vos documents ne vous sont plus utiles, veillez à les ranger dans des boites d’archives.

icon7

Ne laissez jamais de documents en évidence sur votre espace de travail. En fin de journée, rangez-les toujours dans une armoire sécurisée ou fermée.

icon8

Les clés des différents services et différentes armoires (notamment celles contenant des données personnelles collectées) doivent être gardées dans un endroit sûr et supervisé, de préférence, par un responsable attitré tenant un registre.

icon9

Mettez en place des procédures encadrées et strictes pour tout déplacement ou transfert de documents, particulièrement les données personnelles collectées.

icon10

Veillez à ce que des logiciels anti-virus soient installés sur tous les ordinateurs, systématiquement à jour et que le réseau soit doté d’un pare-feu de nouvelle génération pour réduire son exposition.

icon11

Les accès mobiles doivent être sécurisés, en mettant par exemple en place des systèmes d’authentification à deux facteurs.

icon12

Lorsque les ordinateurs ou les serveurs sont changés, jetés ou revendus, assurez-vous que les disques durs ont été correctement nettoyés, avec plusieurs repasses.

icon13

Protégez vos données en les rendant hors de vue grâce à l’installation de filtres de confidentialité.

icon14

Les droits d’accès des responsables doivent être régulièrement réexaminés, quitte à mettre en place une gouvernance tournante. Ceux des sous-traitants doivent être limités au strict nécessaire.

icon15

L’identité des clients doit être régulièrement vérifiée. Nouveaux comme anciens.





loading