Audit collaboratif de mise en conformité RGPD

Le programme de la formation

PREALABLE : Nomination dans l’entreprise d’un référent qui sera délégué à cette mission de conformité

1ère ETAPE : Préparation en entreprise par le référent

Objectif : Appréhender le RGPD dans son entreprise

Envoi par le formateur expert d’un pack informations et questionnaires ciblés pour une vraie compréhension et préparation de la 2ème étape (échanges par emails ou téléphone possibles)

2ème ETAPE : Réunion physique des référents et formateur expert

Objectif : Mise en pratique concrète en 5 phases

Phase 1 : Mettre en place un REGISTRE des données collectées

Même si celui-ci n’est pas obligatoire pour la petite entreprise, nous allons mettre en place un registre pour indiquer comment sont collectées les données. Si la CNIL pose la question de l’utilisation des données, les entreprises auront les réponses.

Lors de cette mise en place, seront abordés toutes les phases du RGPD et notamment la sécurité du système informatique : est-ce que les écrans se mettent en veille ? Les mots de passe sont-ils bien choisis ? Qui héberge vos données et où ? Qui a accès aux ordinateurs ? Le système possède-t-il un antivirus ? L’objectif est de faire un état des lieux des données personnelles collectées, afin de savoir comment on y accède et où elles se situent.

La collecte de données, c’est généralement quand le client ou le prospect a un formulaire à remplir sur internet, soit pour lui envoyer des mails, soit pour lui envoyer des newsletters. Par exemple, les clients remplissent un bulletin d’inscription ou d’adhésion à une newsletter avec telle ou telle donnée sur mon site internet et je les stocke à quel endroit ?

Phase 2 : Adapter les conditions générales d’utilisation et autres supports contractuelles

Adapter votre site web, vos CGV, vos formulaires et vos documentations contractuelles. « Le principe de la RGPD, c’est d’éclairer le consentement du particulier qui donne ses données : il faut que la personne sache comment l’entreprise compte utiliser ses informations personnelles. Il faut que le client signe un contrat ou que l’internaute coche une case par exemple, pour attester du fait qu’il ait bien pris connaissance des CGV ».

Les droits du consommateur doivent être rappelés, et notamment les droits d’accès, à l’oubli, à la limitation et à la suppression.

Remise de modèles adaptés en présence du consultant lors de la 2ème étape.

Phase 3 : Envoyez un courrier aux prestataires

Mon prestataire informatique auquel je sous traite la gestion des données de mes prospects et clients est-il en conformité et a t- il mis en place les mesures de sécurité obligatoires ? Je n’oublie pas je suis responsable des données de mes prospects et de mes clients qui ne m’appartiennent pas !!!

Phase 4 : Les données de mes salariés

Les renseignements, notamment contenus dans les fiches de paie ou les entretiens annuels, entrent également dans le champ de la RGPD.

Si vous envoyez vos fiches de paie par mail, vous êtes dans l’obligation de supprimer ce document par la suite surtout, si plusieurs personnes peuvent avoir accès à la boite mail (ne serait-ce que parce que la session ne se ferme pas régulièrement ou que le mot de passe n’est pas suffisamment sécurisé). Il faut également penser à sécuriser l’archivage.

Phase 5 : Explications pratiques sur la conservation, l’archivage et la destruction

Que puis-je conserver ? Que dois-je archiver ? Données papier et données numérisées Que dois-je détruire ? A confronter RGPD et autres obligations réglementaires notamment Droit du Travail, paie etc…