Comment accélerer la mise en conformité des données de son entreprise ?
Nous vous présentons les 6 étapes clés de la mise en conformité RGPD.
En bonus, on vous présente un outil tout en un :
Un espace RGPD pour vos utilisateurs pour une gestion automatique de leurs données personnelles.
Essayez le portail RGPD
https://initiative-crm.com/produit/crm-rgpd-gestion-donnees-personnelles
4. Le RGPD,
c’est quoi ?
page
04
Règlement Général Protection Données
Mai
25
2018
5. Que sont les données
personnelles ?
page
05
Des données que l’on pourrait considérer comme anonymes
peuvent constituer des données personnelles si elles
permettent d’identifier indirectement ou par regroupement
d’information une personne précise.
La CNIL
6. Qu’est-ce que
le RGPD ?
page
06
S’adapter aux nouvelles technologies
Le RGPD a été créé afin de répondre aux nouveaux enjeux de la digitalisation de la société.
Droit fondamental
Le RGPD vise à protéger les libertés et droits fondamentaux des personnes physiques et en particulier leur
droit à la protection de leurs données. Selon cette réglementation, tout citoyen européen doit pouvoir
accéder aux informations personnelles le concernant, détenues par une entreprise.
.
3ème version de la loi Informatique et Libertés
Cette nouvelle réglementation renforce la protection des données personnelles des citoyens en réadaptant
pour le 3ème fois la loi Informatique et Libertés de 1978.
7. Les grands principes
du RGPD
page
07
01
Licéité, loyauté et transparence
On dit ce que l'on fait, on fait ce que l'on dit et on
s'assure d'avoir le droit (fondement légal ou
consentement).
04
Exactitude des données
Les données sont exactes et à jour.
02
Limitation de la finalité
La donnée collectée est utilisée seulement pour
la finalité annoncée et aucune autre sans
consentement supplémentaire.
05
Limitation de la conservation
Les données ne sont conservées que le temps
nécessaire au traitement.
03
Minimisation des données
On ne recueille et n’utilise que ce qui est
strictement nécessaire. 06
Intégrité et confidentialité
Les données doivent être correctement
protégées afin de prévenir tout traitement
illicite.
8. Périmètre
d’application
page
08
Tous les contacts
Toutes les entreprises ou
institutions sont concernées
(privées ou publiques).
Uniformise les pratiques des
pays européens.
Citoyen européen
Le RGPD ne couvre pas le
traitement des données de
personnes morales.
Personne physique
9. Les sanctions
et risques
page
09
De 2% du chiffre d’affaires ou 10M € d’amende
À 4% du chiffre d’affaires ou 20M € d’amende
Des sanctions administratives
Jusqu’à 5 ans de prison
300K € d’amende
Des sanctions pénales
11. La face cachée
du RGPD
page
011
Technique
Campagne marketing
DPO
Preuve
Registre des traitements
12. Les étapes de mise
en conformité
page
012
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les
registres de
traitements.
Lister
les traitements
de données
personnelles.
Agir
en fonction des
solutions
identifiées en
PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer
au fil du temps.
01 02 03 04 05 06
13. Les étapes de mise
en conformité
page
013
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les
registres de
traitements.
Lister
les traitements
de données
personnelles.
Agir
en fonction des
solutions
identifiées en
PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer
au fil du temps.
01 02 03 04 05 06
14. Définir et publier la politique de
protection des données
page
014
0 06
politique d’entreprise (n.)
Ensemble des orientations choisies par une entreprise pour conduire ses affaires.
Le but : Donner une ligne de conduite aux collaborateurs et orienter les
décisions de l’entreprise !
01
15. Choisir
un DPO
page
015
0 06
01
DPO
Data Protection Officer – Délégué à la protection
des données personnelles
Il a des compétences techniques et/ou juridiques.
Il ne doit pas avoir de conflit d’intérêts (ex: il n’est pas le
dirigeant de la société).
Il est indépendant.
Il peut être interne ou externe à l’entreprise.
16. Choisir
un DPO
page
016
0 06
01
contrôle
la bonne application du RGPD.
Informe, conseil,
sensibilise
sur le respect des IPI (et du
RGPD).
Est consulté
pour toutes questions relatives
au traitement des IPI et
contrôle le respect du RGPD.
Point de contact
pour l'autorité de contrôle
(CNIL) et la Direction.
17. Choisir
un DPO
page
017
0 06
01
Le DPO est obligatoire si :
+ de 250 salariés
Traitement de
données sensibles
Traitement
régulier/massif de
données personnelles
18. Sensibiliser et former
les équipes en interne
page
018
0 06
01
Pour mener à bien une politique de protection des données personnelles, il est nécessaire de :
Définition de la politique
dans le but de décrire officiellement les
intentions et l’orientation générale que
souhaite donner l’entreprise pour la
conformité, l’identité du DPO…
Sensibilisation et
formation
pour faire adopter les bons réflexes
à avoir, informer des nouvelles
procédures et grands principes du
RGPD.
Rédaction de la charte
et lui donner une force contraignante.
Diffusion de la charte
annexion au règlement intérieur, note de
service, signature des salaries…
1
2
Affichez la charte de manière visible dans les
locaux de votre entreprise, cela fera bonne
impressionlors d'un contrôle.
19. Les étapes de mise
en conformité
page
019
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les
registres de
traitements.
Lister
les traitements de
données
personnelles.
Agir
en fonction des
solutions
identifiées en
PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer
au fil du temps.
01 02 03 04 05 06
20. Définir et répertorier les traitements
des données personnelles
page
020
0 06
02
traitement de données (n.)
Toute opération, ou ensemble d’opérations, portant sur des données, quel que soit le procédé utilisé (collecte,
enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation,
communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou
interconnexion, verrouillage, effacement ou destruction...).
Identifier
si les traitements impliquent des
IPI (Information Personnelles
d’Identification).
les traitements pour votre
compte, des traitements des
sous-traitants.
Séparer
21. Remplir le
registre
page
021
0 06
02
Il s’agit ici de remplir le registre en renseignant dans un premier temps, pour chaque traitement identifié traitant
des IPI, les éléments suivants :
• Quoi ? (catégories des données personnelles – ATTENTION mentionner si elles sont sensibles !)
• Pourquoi ? (finalités pour lesquelles elles-ont été recueillies)
• Qui ? (qui manipule les données – employés et sous-traitants)
• Où ? (lieux de conservation, transferts -avérés ou potentiels)
• Jusqu’à quand ? (durée de conservation)
• Comment ? (mesures de sécurité, contrôle d'accès, risques pour les personnes concernées)
Modèle d’un registre de traitements proposé par la CNIL disponible sur la clé.
22. Aperçu d’un
registre des traitements
page
022
0 06
Description de la
nature des
données
Finalités du
traitement
Destinataires et
utilisateurs de
données
Lieu du traitement
Stockage/transfert
Durée de
conservation
Mesures de
sécurité du
traitement
Données nominatives
et de contact
Captation de contacts
pour envoi de
communications
ciblées (mails, appels
téléphoniques)
- Conseillers
commerciaux de la
plateforme
téléphonique interne
- Service marketing
- Logiciels internes de
gestion de contacts (en
Saas)
- Données hébergées
sur des serveurs à Paris
par le groupe Iliad
3 ans après le dernier
contact avec la
personne
- Accès sécurisé au
logiciel
- Sécurité du serveur
assurée par un
prestataire
spécialisé
02
(Pourquoi)(Quoi) (Qui) (Où) (Jusqu’à quand) (Comment)
La CNIL propose un registre de traitement disponible au téléchargement
https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
23. Les étapes de mise
en conformité
page
023
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les registres
de traitements.
Lister
les traitements
de données
personnelles.
Agir
en fonction des
solutions
identifiées en
PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer
au fil du temps.
01 02 03 04 05 06
24. Analyser
votre registre des traitements
page
024
0 06
03
Le registre des traitements doit être considéré comme un outil du principe de responsabilité du fait que le Responsable du
traitement doit être en mesure de démontrer sa conformité.
01 02 03
Se poser les bonnes questions. Trier par risques et utilisation. Analyser les risques.
25. Se poser les
bonnes questions
page
025
0 06
03
1/ Avons-nous besoin de toutes ces données ?
2/ Avons-nous le droit d'utiliser ces données et pouvons-nous le
prouver ?
3/ Ce traitement présente t-il des risques importants pour la personne
en cas de violation des données (données sensibles ou concernant
des enfants par exemple) ?
4/ La sécurité de ces données est-elle suffisante (accès limités,
mesures techniques) ?
26. Trier
les traitements
page
026
0 06
03
Cette étape consiste à :
• Qualifier les risques (élevé, moyen, faible)
• Déterminer la probabilité de survenance du risque
• Déterminer le « niveau de menace » pour chaque traitement selon une matrice « Risque - Probabilité »
Si vous avez répondu OUI à la question « Ce traitement présente t-il des risques importants
pour la personne en cas de violation des données (données sensibles ou concernant des
enfants par exemple) ? », le risque est forcément élevé.
27. Analyser
les risques
page
027
0 06
03
PIA = Privacy Impact Assessment
Une PIA a pour but d’identifier :
• La nature des risques
• Les solutions pour y remédier
Il est obligatoire de réaliser une analyse d'impact relative à la protection des données (PIA) pour tous les traitements à
risque « élevé » ou traitant des IPI sensibles.
+ le niveau d’impact est élevé + l’analyse doit être complète et approfondie
Il est recommandé de réaliser cette analyse sur tous les traitements ayant un
niveau de menace au moins « moyen ».
28. Aperçu d’une
PIA
page
028
0 06
Situation Risque pour les
personnes
Risque pour la
conformité
Impact potentiel Solution possible Résultat attendu
La Société X
sauvegarde toutes les
nuits la liste des
cotisations versées à
l'adhésion d'un célèbre
syndicat sur un serveur
distant, non sécurisé.
Si le serveur est piraté
ou les données
interceptées, leurs
données personnelles
peuvent être dévoilées,
ainsi que leur
appartenance
syndicale, ce qui peut
être préjudiciable
professionnellement.
Elles pourraient faire
l'objet d'un usage
malveillant.
Défaut de sécurité
quant à la protection de
données sensibles,
perte du contrôle des
données par
l'organisme.
Cela peut nuire à la
réputation de la société
X, engendrer des
pertes de clients par
manque de confiance.
Echec de la conformité
RGPD, amende
importante.
Mettre en place des
mesures techniques
afin de pseudonymiser
les données
sauvegardées et
chiffrer les transferts
vers le serveur distant
(SSL, SFTP, etc.) ainsi
que le serveur.
Risque réduit voire
supprimé. Données
inutilisables en l'état
même en cas de vol.
03
La CNIL propose un autre outil complet à télécharger
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
29. Les étapes de mise
en conformité
page
029
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les
registres de
traitements.
Lister
les traitements
de données
personnelles.
Agir
en fonction des
solutions identifiées
en PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer
au fil du temps.
01 02 03
04 05 06
30. Appliquer les solutions
identifiées en PIA
page
030
0 06
04
Je détiens des données qui me sont inutiles.
Solution Minimiser les données
(en supprimant les doublons par exemple)
31. Appliquer les solutions
identifiées en PIA
page
031
0 06
04
Je n'ai pas le consentement des personnes pour le traitement de
leurs données.
Solutions 1/ Je les informe que je détiens leurs données personnelles.
2/ Je recueille leurs consentements.
3/ En cas de refus, arrêt du traitement.
32. Appliquer les solutions
identifiées en PIA
page
032
0 06
04
Mes contrats de sous-traitance ne sont pas à jour.
Solution 1/ Rédiger des avenants aux contrats
2/ Modifier les CGV
33. Appliquer les solutions
identifiées en PIA
page
033
0 06
04
Je suis sous-traitant et mon client (responsable du traitement) me
demande d'effectuer un traitement non conforme.
Solution J'ai l'obligation de l'informer par écrit que le traitement
constitue une violation des données.
34. Appliquer les solutions
identifiées en PIA
page
034
0 06
04
Je ne suis pas en mesure de prouver la légalité du traitement.
Solution 1/ Je mets en place une autorisation contractuelle.
2/ Je recueille les consentements.
3/ J’en conserve la preuve.
35. Appliquer les solutions
identifiées en PIA
page
035
0 06
04
Les mesures de sécurité des traitements des données ne sont
pas suffisantes.
Solution Mettre en place les mesures techniques et
organisationnelles proportionnelles aux risques :
- Sécurisation des données par anonymisation, chiffrage et
pseudonymisation
- Restriction des accès
- Politique de gestion des mots de passe
36. Appliquer les solutions
identifiées en PIA
page
036
0 06
04
Je détiens des données incomplètes ou erronées.
Solution Donner la possibilité à mes contacts de rectifier
leurs données personnelles.
37. 01Donner et/ou retirer ses
consentements.
03Portabilité des données
personnelles.
02 Droit d’accès et rectification
des données personnelles.
04
Des moyens à mettre à disposition
de vos contacts
page
03704
Droit à l’oubli (anonymisation
des données personnelles).
Donner la possibilité à ses contacts de :
38. Des mentions
obligatoires
page
038
0
04
Origine du contact et données
personnelles collectées
Coordonnées du DPO
Destinataires des IPI
Droit de réclamation
à la CNIL
Finalité du traitement
Droit des contacts
Durée de conservation
Coordonnées du responsable
du traitement
39. Les étapes de mise
en conformité
page
039
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les
registres de
traitements.
Lister
les traitements
de données
personnelles.
Agir
en fonction des
solutions
identifiées en
PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer
au fil du temps.
01 02 03 04 05 06
40. Réagir rapidement en cas de
violation des données
page
040
0
05
Mettre en place des outils
de surveillance
pour détecter les opérations
malveillantes ou non autorisées.
dans les meilleurs délais.
Notifications aux personnes
concernées
01 02
0304
Avoir des procédures
adaptées et automatisées
afin de répondre efficacement à une violation
de données (coupure des accès,
changement des mots de passe, notifications
aux responsables du traitement).
dans les 72H.
Notification à la CNIL
En tant que sous-traitant, vous devez également notifier le responsable du
traitement en cas de violation des données dans les meilleurs délais.
41. Se tenir prêt en cas
de contrôle
page
041
0
05
Des documents obligatoires
- Registre des traitements
- Registre PIA
- Registre de la violation de données
personnelles
- Contrats des clients et des sous-traitants
(ou de sous-traitance)
Des documents recommandés
- Registre des consentements et des bases
légales
- Procédures internes
- Notes de service
42. Les étapes de mise
en conformité
page
042
Définir
la politique de
protection des
données
personnelles.
Analyser
le ou les
registres de
traitements.
Lister
les traitements
de données
personnelles.
Agir
en fonction des
solutions
identifiées en
PIA.
Prévoir
des process de
gestion de crise.
Surveiller
et s’améliorer au fil
du temps.
01 02 03 04 05 06
43. Surveiller
et améliorer ses process
page
043
0
06
- Surveiller les outils de surveillance des
infrastructures, les mises à jour de sécurité
- Surveiller l'application des procédures par les
différents acteurs du traitement
(collaborateurs, sous-traitants)
- Surveiller l'évolution des législations
Amélioration continue des process
46. InconvénientsAvantages
Une bonne image pour l’entreprise (respect du
consommateur, transparence …)
Un engagement plus fort de la part de vos
contacts
La mise en conformité RGPD a l’air très
complexe
Cela coûte cher
47. Plusieurs mesures à mettre en place
pour être conforme
page
047
00
Mesures
techniques
Mesures
juridiques
Mesures
organisationnelles
48. Mettre en place des
moyens techniques
page
048
0
Customer Relationship Management
49. Un CRM,
qu’est-ce que c’est ?
page
049
0Le CRM aussi appelé GRC (Gestion de la relation client) regroupe
l’ensemble des dispositifs ou opérations de marketing, de support ou de
suivi commercial ayant pour but d’optimiser la qualité de la relation
client, de fidéliser et de maximiser le chiffre d’affaires ou la marge de
l’entreprise.
50. Un CRM,
à quoi ça sert ?
page
050
0
Booster
son business
Mieux connaître
ses contacts
Centraliser
l’information
51. Un CRM adapté
pour faciliter sa mise en conformité
page
051
0
Gestion des droits d’accès
Historique des connexions et des modifications des utilisateurs du CRM
Sécurisation des données (chiffrage)
Envoi de notifications obligatoires automatique (workflow)
Minimisation des données par suppression ou dédoublonnage
Gestion des consentements
Gestion des preuves (de consentement)
Facilitation de l’accès aux données personnelles par le contact
Rectification des données personnelles par le contact
Export des données personnelles par le contact en automatique (portabilité)
Droit à l’oubli automatique
CRM
53. Les avantages
du portail RGPD
page
053
Gestion
automatique
Interface
personnalisable
Accessible via
Initiative CRM
Prêt à l’emploi Solution offerte à
nos clients
PORTAIL
RGPD
54. Contactez-nous
page
054
Adresse
11 avenue Charles de Gaulle
84600 VALREAS
Venez nous rencontrer !
Téléphone
04 90 41 94 14
Sur le web
initiative-crm.com/rgpd
linkedin/initiative-crm
facebook/initiative-crm
twitter/InitiativeCRM