Comprendre et appliquer la loi Européenne RGPD en Belgique et en France – Partie 2 – Plan d’action

Limitation de responsabilité
Toutes les informations se trouvant dans cet article sont le résumé des recherches que j’ai effectuée pour ma propre activité professionnelle.

!! Elles vous sont partagées à titre informatif et n’ont aucune valeur légale !!
Veuillez vous adressez à des professionnels de la légalité pour faire valider toutes vos démarches RGPD !

Partie 1 : Introduction : C’est quoi la loi RGPD ??

Pour mieux comprendre et appliquer la loi Européenne RGPD, je vous invite à lire la première partie de cet article en cliquant-ici.

Partie 2 : Comment se mettre en règle par rapport à la loi GDPR ?

Action 1 : Clarifier quelles sont les informations que votre entreprise et ses sous-traitants traitent.

Traiter renvoie environ à tout ce que vous pouvez faire à l’aide de données personnelles :
collecter, enregistrer, intégrer et organiser dans un fichier, sauvegarder, transférer voire
même supprimer.

Quelques exemples : des listes de clients que vous élaborez
manuellement, la liste des personnes inscrites à votre newsletter… Source : Securex

Votre entreprise doit pouvoir définir :

• Quelles sont les données personnelles qu’elle récolte, stocke et utilise.
• Quelles sont les données personnelles que ses sous-traitants récoltent, stockent, et utilisent.
• Quels « trajets » font ses données personnelles (par quel collaborateur, section de votre entreprise sont elles visibles) ?

Pour ma part, j’ai « dessiné le trajet » que les données personnelles effectuent dans mon entreprise.

Par exemple, je sais que le prospect va ajouter son adresse e-mail et son prénom dans un formulaire.
Ce formulaire amène vers le logiciel en ligne CRM : ActiveCampaign
Et certains autres formulaire amènent vers le logiciel de mailing : SG-AUTOREPONDEUR

Dans mon cas, j’ai donc du vérifier que les sous-traitants ActiveCampaign et SG-Autorépondeur stockent les données personnelles sur le territoire Européen et valider que les éventuels sous-traitant de ces logiciel SAAS sont conforment à la loi RGPD.

Tout cela peut paraître compliqué mais faites les choses étapes par étapes, planifier vous un plan d’action et agissez petit à petit.

Plan d’actions 1 – « Clarifier quelles sont les informations que votre entreprise et ses sous-traitants traitent » :

1. Listez toutes les données personnelles que votre entreprise récolte.
2. Listez tous les sous-traitants avec lesquels vous travaillez.
3. Dessinez le parcours des données personnelles.
4. Demandez une preuve écrite à vos sous-traitant concernant les actions qu’ils mettent en place pour être conformes à la loi RGPD.

Action 2 : Mise en place et maintenance d’un registre des activités de traitement

Lors d’un contrôle, il va falloir démontrer que votre entreprise a prit toutes les mesures nécessaire à la protection des données personnelles des citoyens Européens. C’est là qu’intervient le registre des activités de traitement.

Certains logiciels en ligne stockent pour vous certaines de ces informations comme « preuves » mais l’idéal est d’avoir votre propre registre et de le mettre à jour régulièrement…

Ce n’est pas pour rien qu’il est conseillé de dédier une personne à ce rôle, le Délégué à la protection des données dont je vous ai parlé dans la première partie de cet article !

Pourtant, lorsque l’on est un indépendant et que l’on est SEUL, il va bien falloir consacrer 1 heure par semaine ou par mois à cette tâche…  En effet, je n’ai pas encore trouvé d’alternative au registre des activités de traitement modèle proposé par la commission de la vie privée Belge.

Ce fichier Excel modèle est disponible en téléchargement sur la page du site officiel : https://www.privacycommission.be/fr/canevas-de-registre-des-activites-de-traitement

Il existe également une version proposée par la CNIL (organisme de contrôle officiel en France) : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Plan d’actions 2 – « Mise en place et maintenance d’un registre des activités de traitement » :

1. Téléchargez le fichier modèle de registre des activités de traitement modèle sur le site de la PrivacyCommision (Belgique) ou de la CNIL (France).
2. Remplissez et créez le registre de votre entreprise.
3. Gardez ce registre des activités de traitement à jour (au minimum 1 fois par mois).

Action 3 : Mettez à jour vos conditions générales d’utilisation, vos conditions générales de vente et vos mentions légales.

Le citoyen Européen doit être informé clairement des actions que votre entreprise réalise avec ses données personnelles.
Il est donc important de mettre à jour vos conditions générales d’utilisations, vos conditions générales de ventes et vos mentions légales en ce sens.

Plan d’actions 3 – « Mettez à jour vos conditions générales d’utilisation, vos conditions générales de vente et vos mentions légales » :

1. Listez vos sous-traitants.
2. Indiquez s’il y a un transfert hors UE.
3. Mettez vos formulaires Optin en conformité (demander explicitement l’accord avant l’inscription avec une checkbox).
4. Mettez vos CGV, vos CGU et vos mentions légales à jour (idéalement par un juriste qualifié).

Action 4 : Créez des procédures à appliquer en cas de contrôle ou de fuites de données.

Votre entreprise doit mettre en place des procédures prêtes à appliquer en cas de contrôle ou de violation de sécurité de vos données.

Il est conseillé de :

• Créer des procédures de Sensibilisation :
  Pour vos salariés, vos sous-traitants et vos prestataires.
• Créer des procédures de Vérification :
  Pour vous assurer du respect constant de la conformité RGPD de votre entreprise.
• Créer des procédures de Sécurité :
  Pour que votre entreprise et ses collaborateurs soient en mesure d’agir en cas de violation de sécurité ou de pertes et fuites de données personnelles !

Par exemple, en cas de fuite de donnée, votre entreprise doit prévenir l’organisme de contrôle de son pays endéans les 72 heures !

Plan d’actions 4 – « Créez des procédures à appliquer en cas de contrôle ou de fuites de donnée » :

1. Créez des procédures de sensibilisation.
2. Créez des procédures de vérification.
3. Créez des procédures de sécurité.

Conclusion : Il vaut mieux prévenir que guérir et ne pas devenir paranoïaque !

Rappelez-vous que ces informations sont à faire valider par un professionnel de la légalité et que toutes les informations de cet articles sont partagées à titre informatif !

Une grande partie des actions à mettre en place pour que votre entreprise soit conforme à la loi GDPR font appelles au BON SENS !

Prenez donc le temps d’agir, pas à pas et soyez organisé au mieux pour être prêt lors d’un éventuel contrôle.

Faites-vous aider par des professionnels de la législation et restez informés sur les évolutions de cette nouvelle loi Européenne.

En tant qu’entrepreneur, nous sommes toutes et tous concernés et j’espère que cet article en 2 parties vous sera utile dans vos démarches et vous aura permis de comprendre les impacts de la loi RGPD et les actions à mettre en place pour être conforme.

Pour terminer, voici un document récapitulatif imprimable proposé par la CNIL et vous proposant 6 étapes pour vous mettre en conformité avec la loi avant le 25 mai 2018 : https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

Au delà des liens déjà listés dans cet article, voici les autres sources que j’ai utilisée dans mes recherches :

• http://www.securexblog.be/entreprendre/gdpr-entreprises-4-etapes-cruciales-a-prendre-compte/

Partagez en commentaire vos sources, les liens intéressants et les étapes que vous avez déjà mises en place dans votre activité professionnelle concernant le RGPD :