7 étapes pour se mettre en conformité avec le RGPD
20 avril 2018Le RGPD cause bien des soucis au sein de nombreuses entreprises. C’est pourquoi Flexmail vous propose un programme de démarches à entamer dès maintenant pour être en règle par rapport aux mesures du RGPD d’ici le 25 mai 2018.
1. Meeting de sensibilisation au RGPD
- Consultez plusieurs sources pour bien comprendre le contenu du RGPD et ce que vous devez faire pour vous mettre en conformité. Nous avons écrit plusieurs articles détaillés sur le sujet, que vous pouvez consulter ici.
- Veillez à ce que chaque membre de votre entreprise soit informé. Ce n’est pas la responsabilité d’un seul département, c’est un effort collectif. Vous pouvez éventuellement organiser un workshop pour que tout le monde sache clairement ce que vous attendez d’eux.
- Désignez éventuellement une personne clé qui a un regard sur l’ensemble. Il ou elle est chargé(e) d’estimer ce qui doit être fait au sein de l’entreprise.
2. Faites un inventaire
- Vérifiez toutes les informations que vous conservez, depuis combien de temps, d’où elles proviennent et avec qui vous les partagez.
- Constituez une base de données. À dater du 25 mai, vous avez une obligation de notification. Vous avez l’obligation de signaler au gouvernement toute fuite de données dans les 72 heures.
3. Mettez à jour vos documents
Les données personnelles ne peuvent être utilisées que si elles sont nécessaires pour l’exécution de vos services. En outre, elles ne peuvent pas être conservées indéfiniment. C’est pourquoi il est important de passer en revue les documents importants tels que contrats, conditions générales, déclaration de confidentialité, etc. Vous devrez potentiellement les modifier/mettre à jour pour satisfaire à la législation.
4. Autorisation
L’autorisation est le point le plus important de cette nouvelle loi, qui a été mise au point dans le but de protéger les citoyens. C’est pourquoi le client doit donner librement, spécifiquement et explicitement son autorisation après avoir été correctement informé. Par ailleurs, le client doit réagir activement pour être enregistré. Concrètement, cela veut dire que vous ne pouvez plus cocher certaines cases à l’avance. Si le client est mineur, il vous faut obtenir l’autorisation d’un parent ou d’un tuteur.
5. Exprimez-vous clairement
Un des problèmes majeurs, qui est d’ailleurs l’une des raisons de la mise en place du RGPD, c’est que les gens voulaient savoir ce qu’il était advenu de leurs données personnelles. Ils souhaitaient davantage de transparence et c’est ce que va apporter la nouvelle législation. À partir du 25 mai, vous devrez indiquer clairement :
- Pour quelle raison vous utilisez les données
- Combien de temps vous allez les conserver
- Si vous allez les échanger
- Si vous allez les échanger en dehors de l’UE
- …
6. Quels sont les droits de votre client ?
- Droit d’information et d’accès à ses données personnelles.
- Droit de modification des données.
- Droit à l’effacement (droit à l’oubli)
- Droit de contestation contre les pratiques de marketing directes, le profiling et la prise de décision automatique.
- Droit à la portabilité des données.
Après le 25 mai 2018, il sera obligatoire de donner suite à ces requêtes. Veillez donc à avoir des procédures prêtes pour traiter ces demandes.
7. Dois-je désigner un(e) Data Protection Officer ?
La désignation d’un DPO n’est obligatoire que pour les institutions publiques ou les organismes qui traitent régulièrement des données confidentielles à grande échelle. Comme les entreprises de marketing direct, par exemple. Vous pouvez engager un(e) consultant(e) externe ou nommer quelqu’un en interne. Cette personne devient alors conseiller/ère en prévention pour la vie privée.
Si vous gardez bien ces directives en tête, vous êtes sur la bonne voie pour faire du nouveau RGPD non pas un problème mais une opportunité !