Comment se conformer au RGPD: audit, cadrage et politique de gestion des données

• Réaliser un inventaire des sources des données
• Réaliser un inventaire du stockage des données
• Poser par écrit les raisons du stockage des données
• Poser par écrit le justificatication légale du traitement et stockage des données
• Poser par écrit la méthodologie de mise à jour des données
• Voir si nécessaire à migrer vers un système permettant une gestion RGPD centralisée, sécurisée et simplifiée

Réaliser un inventaire des sources des données

La première chose que vous devez faire est de lister vos sources de données.

Vous obtenez ces contacts via:

• Formulaire web
• Formulaire papier
• Echange téléphonique
• Contrat
• Etc.

Il est essentiel ensuite de cadrer ces sources en y indiquant les mentions légales qui permettront à vos personnes de contact de comprendre comment et dans quel but leurs données seront traitées.

Exemple: sur un formulaire web, indiquez que les coordonnées sont stockées afin de pouvoir répondre aux questions adressées à votre entreprise, que ces données ne seront pas transmises à d’autres entreprises et qu’elles peuvent être effacées sur simple demande sur l’email yyyy@zzz.com

Réaliser un inventaire du stockage des données

La question suivante est de savoir où sont stockées toutes ces données:

• Logiciel CRM
• Logiciel ERP
• Logiciel Comptable
• Logiciel de messagerie email type Outlook ou Thunderbird
• Téléphone mobile
• Fichiers Excel
• Logiciel de gestion de newsletter
• Backup X, Y et Z
• Etc.

C’est là que les choses se compliquent!

Imaginez qu’une personne contacte votre entreprise et qu’elle demande à ce que vous lui transmettiez une copie des données que vous avez sur elle. Vous allez non seulement vérifier dans vos logiciels CRM/ERP/Comptable, mais aussi demander à tous vos employés s’ils possèdent des données “sur le côté” (logiciel de messagerie, téléphone, fichier Excel, etc.). De même, vous devrez consulter tous vos backups! Imaginez ensuite le travail en cas de nécessité d’effacer ces données.

Il est dès lors essentiel de centraliser vos données dans un seul et unique système (même si en principe vous en aurez toujours deux car les bases clients et les logiciels comptables sont dans 99% des cas, des logiciels différents).

Poser par écrit les raisons du stockage des données

Dans quel but l’entreprise dispose-t-elle d’une donnée?

Est-ce (encore) nécessaire de la garder après? S’il n’y a aucune raison précise de la garder, il faut la supprimer ou éventuellement l’anonymiser.

Vous pourriez par exemple définir que bien que vous stockez depuis toujours les dates de naissance, vous n’en avez pas besoin. Cet audit interne vous permettra donc de recadrer votre politique d’acquisition et donc de stockage des données.

Poser par écrit le justificatication légale du traitement et stockage des données

Quel fondement juridique permet à l’entreprise de traiter cette donnée? S’il n’y a pas de fondement juridique valable, l’entreprise ne peut pas la garder. Voici les quatre principaux fondements repris dans le GDPR :

• La personne a donné son autorisation pour que vous utilisiez ses données dans un but précis et uniquement dans ce but (pas d’autorisation générale). La personne doit avoir marqué son accord sur ce que l’entreprise va faire avec ses données.
• L’entreprise a une obligation légale de conserver ce type de données (par exemple des obligations fiscales).
• Ces données sont nécessaires pour exécuter un contrat conclu avec la personne (par exemple une adresse de livraison).
• L’entreprise a un intérêt légitime à utiliser ces données et cela n’est pas (trop) préjudiciable pour la personne (par rapport à sa vie privée par exemple). Cette mise en balance des intérêts doit se faire avec beaucoup de précaution.

TELECHARGER UN OUTIL GRATUIT D'AUDIT RGPD QUI VOUS PERMETTRA DE PRESENTER UN RAPPORT EN CAS DE CONTROLE


Poser par écrit la méthodologie de mise à jour des données

Définir par écrit comment et surtout pourquoi vous allez mettre à jour les données est là aussi une clef du respect du RGPD.


TELECHARGER UN OUTIL GRATUIT D'AUDIT RGPD QUI VOUS PERMETTRA DE PRESENTER UN RAPPORT EN CAS DE CONTROLE


Voir si nécessaire à migrer vers un système permettant une gestion RGPD centralisée, sécurisée et simplifiée

Une fois que votre entreprise aura répondu à ces différentes questions, vous allez devoir nommer en interne un délégué à la protection des données. Le cas échéant il est possible de faire appel à un conseiller extérieur (consultant, avocat). Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles. De la comptabilité au business en passant par les ressources humaines, tous les services doivent être impliqués.

Il vous faudra ensuite choisir un outil de centralisation, en général un logiciel CRM.

Actuellement, peu de logiciels répondent aux obligations de la RGPD:

• Centralisation des données
• Registre de traçabilité de toutes les modifications apportées aux données
• Possibilité de mettre en sommeil des données et/ou de les effacer
• Effacement des backup à la demande
• Données cryptées (et donc non lisible par l’éditeur du logiciel)
• Sécurisation des données (pour éviter les fuite)

Pour cela, le logiciel CRM RGPD "SIMPLE CRM", disponible sur https://crm-pour-pme.fr est fortement conseillé car il répond 100% à ces impératifs techniques.


TELECHARGER UN OUTIL GRATUIT D'AUDIT RGPD QUI VOUS PERMETTRA DE PRESENTER UN RAPPORT EN CAS DE CONTROLE





Source: SYMANTEC