ACCORDANCE Consulting vous accompagne pour penser votre stratégie de gestion et de protection des données personnelles et mettre en place des règles de fonctionnement et de gouvernance requises.
La démarche ACCORDANCE s’articule en 4 phases :
Phase 1 : Réalisation d’un diagnostic RGPD / GDPR
Objectifs : Établir la liste des données personnelles, une revue des fichiers concernés, leur usage et leur traitement en sécurité.
Actions :
– Établir la liste des fichiers automatisés ou manuels de données personnelles et décrire leur finalité ;
– Vérifier la licéité et la légitimité des traitements et l’adéquation des données ;
– Établir une analyse de risques et un diagnostic de sécurité des informations personnelles.
Phase 2 : Assister l’entreprise pour la mise en place de la gouvernance RGPD / GDPR
Objectifs : Mettre en place le pilotage, le contrôle et la surveillance du système RGPD / GDPR.
Actions :
– Désigner un DPO (Data Protection Officer), délégué à la protection des données et définir ses responsabilités et son autorité dans le cadre de la réglementation RGPD / GDPR ;
– Identifier les responsables des traitements utilisant les données personnelles et définir leurs responsabilités au regard de la réglementation.
Phase 3 : Documenter le système de management des données personnelles
Objectifs : Documenter le système RGPD / GDPR, ses règles de fonctionnement et les instructions de travail.
Actions :
– Établir les mesures d’analyse d’impact relative à la protection des données ;
– Pour chaque fichier documenter le registre des traitements (entreprises de plus de 250 salariés), les responsable de leur traitement et les sous-traitants éventuellement concernés ;
– Mettre en place les dispositions pour le recueil de consentement, sa limitation, sa révision et son retrait ;
– Mettre en place les dispositions pour la communication des données traitées aux personnes qui en font la demande ;
– Planifier les dispositions du Système RGPD / GDPR pour la gestion des demandes des personnes droit d’accès, rectification, opposition, droit à l’oubli, contrôles de violation, information de l’autorité de contrôle, notification des violations, traitement des incidents… ;
– Mettre en place un procédé d’évaluation objective des risques liés au traitement des données, notamment lors de l’étude d’impact, en conception des bases de données et des systèmes de traitement ;
– Maîtriser la sous-traitance, les responsabilités, les engagements, les mesures de sélection, évaluation et contrôle au regard de la gestion des données personnelles ;
– Définir les règles de consultation préalable de l’autorité de contrôle (en fonction de l’analyse d’impact) ;
– Définir les règles de notification à l’autorité de contrôle et à la personne concernée d’une violation de données à caractère personnel.
Phase 4 : Définir les règles de bonne pratique de sécurisation des informations
Objectifs : Établir les règles permettant de préserver et d’assurer la confidentialité des informations lors de leur conservation et de leur utilisation.
Actions :
– Assurer la sécurité des informations (préservation des données, sécurité des réseaux et traitement, anti-copiage…), la limitation de traitement (marquage, effacement ou pseudonymisation…) ;
– Assurer la maîtrise des sous-traitants concernés tout au long du cycle de gestion et de traitement des données.
Condition de succès d’un projet RGPR / GDPR
Pour permettre le succès de ce projet et aborder tous les points de la réglementation, il est indispensable de traiter le sujet selon 3 piliers : JURIDIQUE, INFORMATIQUE et SYSTÈME DE MANAGEMENT.
Le projet nécessite donc une démarche transverse.
La démarche transverse d’ACCORDANCE Consulting
ACCORDANCE accompagne les entreprises dans la mise en conformité RGPD / GDPR, grâce à une expertise pluridisciplinaire (avocat, informaticien spécialisé en sécurité, consultant en systèmes de management).
1. Pilier juridique – sécuriser le dispositif et les pratiques
Contenu :
Analyser les obligations en fonction du contexte de l’entreprise et des enjeux.
Gérer la veille réglementaire et jurisprudentielle et les règles applicatives des autorités.
Assurer la licéité des traitements et données associées.
Valider la licéité des formules et des clauses contractuelles utilisées.
Ce pilier concerne :
– Le référencement des données concernées ;
– Le recueil de consentement ;
– La licéité, la loyauté et la transparence du traitement ;
– L’adéquation, la pertinence et la limitation des données aux finalités du traitement ;
– La préservation des droits ;
– La documentation du registre des traitements (pour les entreprises de plus de 250 salariés) ;
– La relation et contractualisation avec les sous-traitants (ex. développement, hébergement).
2. Pilier informatique – Assurer la sécurité de l’information
Contenu :
Vérifier la sécurité des systèmes d’informations en identifiant les points de faiblesse et les risques non couverts.
Intégrer les risques de cybersécurité (ex. faille informatique) dans le système existant.
Veiller et analyser les bonnes pratiques de gestion de la confidentialité et de la préservation des informations.
Développer une méthodologie de mise en place des bonnes règles de fonctionnement (ex. ISO 27001 – Guide CNIL AU-052).
Définir les pratiques et la mise en conformité avec les bonnes pratiques par rapport aux règles de l’art.
Assurer la sécurité des informations (préservation des données, sécurité des réseaux et traitement, anti-copiage…), la limitation de traitement (marquage, effacement ou pseudonymisation…).
Mettre en place un plan d’amélioration sur les sujets concernés (obligations de sécurité et confidentialité).
Ce pilier concerne :
– Le référencement des données concernées ;
– Le contrôle de l’intégrité des données ;
– Le contrôle de la sécurité, la préservation et la confidentialité des données,
– La vérification des mesures et outils de sécurité IT existants ;
– L’analyse d’impact des nouvelles exigences sur la politique de sécurité des systèmes d’information ;
– L’identification des mesures de prévention ;
– La veille (intelligence) économique.
3. Pilier Système de management – Mettre en œuvre et déployer le dispositif RGPD / GDPR
Contenu :
Les organisations doivent par le biais de leur système de management pouvoir démontrer qu’elles respectent les principes relatifs aux traitements des données personnelles.
Etablir des règles de gouvernance, désigner un DPO (Data Protection Officer) délégué à la protection des données et définir ses responsabilités et son autorité dans le cadre de la réglementation RGPD / GDPR.
Vérifier la sécurité du système de management en identifiant les points de faiblesse et les risques non couverts.
Mettre en œuvre les moyens humains, techniques et matériels nécessaires à la préservation des données personnelles.
Intégrer les procédures de notification et d’information réglementaires en cas de violation de données à caractère personnel.
Mettre à niveau les grandes règles d’organisation du système de gestion des données personnelles (ex. procédures, pilotage et contrôles, gestion des dysfonctionnements, audit interne…).
Planifier les dispositions du système RGPD / GDPR pour la gestion des demandes des personnes (ex. droit d’accès, rectification, opposition, droit à l’oubli).
Mettre en œuvre les mesures correctives et préventives nécessaires ainsi que les actions d’amélioration pertinentes.
Assurer la maîtrise des sous-traitants concernés tout au long du cycle de gestion et de traitement des données.
Ce pilier concerne :
– La mise en place d’un système de management ;
– L’analyse d’impact – procédures de droit à l’oubli, droit à la portabilité des données, droit à l’opposition de toute opération marketing ;
– La mise en place d’un procédé d’évaluation objective des risques liés au traitement des données ;
– Le process de recueil de consentement ;
– La mise en place d’un système de communication des données traitées, si nécessaire ;
– Le système de contrôle et de surveillance ;
– Le PDCA.