Votre organisation est-elle conforme au RGPD ? Suivez les cinq conseils de notre DPO

Publié le: 25 janvier 2019
2018 était assurément l'année de la vie privée. Le RGPD est officiellement entré en vigueur le 25 mai. Nous avons été assaillis de trucs et d'astuces. Maintenant que l'effervescence est un peu retombée et que les premières sanctions tombent, notre Data Protection Officer (DPO) vous donne cinq conseils inédits.

Notre pays compte actuellement quelque 3 540 Data Protection Officers, dont 2 551 qui ont été inscrits après le 25 mai. Depuis 2018, Select dispose aussi d'un Data Protection Officer. Il vous donne ci-dessous quelques conseils si vous voulez améliorer votre conformité au RGPD.


Conseil 1 : commencez par un data flow mapping


Pour établir ce mapping, posez-vous ces trois questions : comment et où collectons-nous les données ? Où les sauvegardons-nous et comment sont-elles utilisées en interne ? Quand sont-elles communiquées à des tiers ?

Notez les réponses dans un tableau et établissez les liens mis en évidence par les flux de données. Vous disposez ainsi d'un aperçu clair de toutes les données de votre entreprise. Il s'agit certes d'un exercice considérable, mais ce mapping vous permettra ensuite d'établir beaucoup plus efficacement un registre des activités de traitement et d'obtenir un aperçu clair de tous les responsables du traitement. Vous éviterez ensuite toute surprise, car vous aurez déjà un récapitulatif de tous les renseignements.

En cas d'inspection, ce mapping et le registre des activités de traitement constituent la solution idéale pour voir en un clin d'œil toutes les données à caractère personnel de votre entreprise. Vous disposez déjà d'un tel registre des activités de traitement ? Il peut être intéressant de le clarifier ou de l'adapter.

Conseil 2 : désignez un responsable et suivez un plan par étapes


Satisfaire à toutes les obligations représente un véritable défi pour toutes les organisations et prend énormément de temps. Il est difficile de coordonner les choses si plusieurs personnes sont chargées d'assurer leur suivi. Établissez dès lors un plan par étapes et précisez les délais. Vous garantirez ainsi un meilleur suivi et pourrez clairement indiquer aux autorités quelles actions ont été prises et à quel moment.

Vous êtes en outre tenu(e) de désigner un DPO. Si vous en avez déjà un, je vous conseille évidemment de lui confier toute la coordination.

Conseil 3 : awareness is key


Select compte désormais plus de 20 bureaux. En marge du 25 mai, nous sommes passés dans chacun d'entre eux pour former personnellement chaque salarié. Je recommande vivement cette formule, car les participants à un webinaire suivent souvent la formation d'une seule oreille et cela n'entraîne pas la même interaction. Vous pouvez évidemment aussi mettre l'accent sur les procédures et directives internes et leur application. Vous avez également la possibilité de répondre aux questions pratiques.

En plus des formations, nous avons fourni des brochures informatives et l'awareness nécessaire sur l'Intranet, mais l'expérience nous a appris que les formations personnelles sont les plus efficaces.

En nous déplaçant dans chaque bureau, nous donnons un visage à la vie privée. Chacun sait à qui il doit s'adresser. En tant que DPO, vous recevez ainsi aussi des informations supplémentaires sur l'entreprise. Vous n'étiez peut-être pas encore au courant de la vidéosurveillance mise en place et qui doit satisfaire à certains critères.

Conseil 4 : la communication claire, la meilleure solution


La transparence est indispensable. Chez Select, nous allons encore plus loin. Nous ne nous contentons pas d'une déclaration de confidentialité succincte : nous y ajoutons une méthode de travail détaillée. Vous la trouverez sur notre site Internet, mais nous vous la commenterons aussi toujours personnellement. Nous avons mis à jour tous nos documents internes : règlement de travail, laptop et car policy, contrat de travail, etc. Nos salariés savent parfaitement ce que nous faisons de leurs données à caractère personnel et à quel moment.

La transparence vaut aussi pour les directives internes. Plus elles sont claires, mieux elles sont respectées. Expliquez par exemple le fonctionnement d'un destructeur de documents ou la raison d'être d'une clean desk policy ou de la durée de conservation limitée des données à caractère personnel. Au début, le RGPD requiert une sérieuse adaptation, mais je constate que Select fait preuve d'une grande compréhension vis-à-vis de la protection des données à caractère personnel. En outre, Select tient à continuer à proposer des services de qualité. Pour nous, la transparence relative à la protection des données à caractère personnel découle certes d'une obligation imposée par le RGPD, mais aussi d'un engagement personnel.

Conseil 5 : pensez à votre sécurité !


Même si l'on donne des avertissements, des sanctions sont également déjà tombées. Celles imposées par les autorités étrangères portent surtout sur la sécurité. Les fuites de données sont principalement mises en cause. Il vaut donc mieux tout mettre en œuvre pour les éviter, tant en ligne que hors ligne. Chez Select, c'est également notre priorité. Il est aussi conseillé de toujours prendre la sécurité au sérieux et d'entreprendre les démarches nécessaires.

Que fait notre DPO ?


En tant que DPO, j'effectue de multiples tâches. Je suis tout d'abord le point d'information pour toutes les questions relatives à la vie privée. J'informe et je conseille le personnel. J'organise des contrôles et audits pour m'assurer que l'entreprise respecte ses obligations.
En outre, j'établis des registres des activités de traitement, des analyses des risques, un registre des incidents et un plan d'action et je les tiens à jour.
J'assure le suivi des projets en cours et nouvelles évolutions, ainsi que des review policies, directives et contrats des responsables du traitement. Je tiens en permanence compte du RGPD et de la protection des données. Je cherche systématiquement à maintenir la qualité de nos services.