Par François Guérard, Expert RGPD
♦ A tout seigneur tout honneur l’audit démarrera par le site internet (https://marseillemdc.com/rgpd-article-francois-guerard-expert-mmdc/), vitrine de l’entreprise.
♦ Le second axe sera les RH.
Quand on sait que 80% des contrôles de la CNIL sont effectués à la suite de saisine (information bien intentionnée 😉) il vaut mieux être solide sur ses bases à moins de n’avoir ou n’avoir eu que des collaborateurs avec qui tout s’est toujours bien passé. Au-delà de cette considération le service RH collecte et à tendance à stocker des données personnelles qui en cas d’usurpation peuvent porter préjudice aux salariés (CNI, NIR, photocopie de permis de conduire…). Il est important d’identifier au sein de l’entreprise qui collecte des données personnelles concernant les salariés, où elles sont stockées (informatique mais également PAPIER !), qui y accède, combien de temps sont-elles conservées et comment elles sont sécurisées. L’effort de transparence et de responsabilisation se traduira par la mise en place d’une note de service ou d’un avenant au contrat de travail.
♦ Ensuite on s’intéressera au marketing.
S’il se contente d’animer les réseaux sociaux tout va bien. En revanche s’il envoie des newsletters, des mailings ou e-mailings il faudra s’assurer d’un certain nombre de points (dispose-t-on et peut-on prouver avoir les accords préalables et explicites, les fameux opt-in des destinataires que l’on soit en B2C ou en B2B…). D’autres questions comme le mode de collecte de ces données (formulaire contact du site avec opt-in collecté grâce à la solution d’Axeptio, visite du stand lors d’un salon…?), leur localisation au sein de l’entreprise et/ou à l’extérieur, leur durée de conservation, leur sécurisation… se poseront et devront trouver des réponses.
♦ Puis viendra le tour du commercial
À qui il faudra expliquer et réexpliquer que le RGPD ne va l’empêcher de travailler…
♦ Il ne faudra pas oublier les sous-traitants,
Aux termes de l’article 28 du RGPD, auxquels on adressera de jolies lettres en A/R afin de leur demander les mesures mises en place afin de nous rassurer car nous sommes potentiellement co-responsables.
♦ Et l’informatique dans tout ça ?
Elle est là tapie, partout, pour toutes et tous ou presque. Pour le coup on traitera ce point en filigrane. Et puis pour encadrer les bons usages on soumettra aux salariés une jolie charte NTIC appelée de manière restrictive charte informatique. Il y a plein de questions à se poser (stratégie d’identifiant et de mots de passe, privilèges, sauvegardes…)
♦ Mais il ne faut surtout pas oublier ce que j’appelle la papiétique !
A quoi bon blinder la sécurité informatique autour des données personnelles, garantir que l’on peut les supprimer ou anonymiser si ces mêmes informations sont stockées, dans des placards, sur des bureaux, aux archives depuis des temps immémoriaux ?
♦ Et la relation client, fournisseurs, la logistique, le service pose, le SAV…? Il est évident que l’audit les concernera également…
On n’oubliera pas de documenter sa démarche de mise en conformité avec des rapports d’audit, les courriers aux sous-traitants et leur réponse, les registres de traitement (les voilà enfin 😉)…
Pour vous aider voici une matrice qui reprend les questions auxquelles il faut pouvoir répondre
Bref, un beau chantier en perspective pour lequel il vaut mieux se faire accompagner…
[bctt tweet= »Bref, un beau chantier en perspective pour lequel il vaut mieux se faire accompagner… Par @FGuerard34 #MarseilleMDC #RGPD » username= »MarseilleMDC »]
Ah oui ! N’oubliez pas de désigner un DPO (DPD en français, pour Délégué à la Protection des Données) externe car peu nombreuses sont les entreprises en capacité d’en avoir un en interne.
Vous voulez savoir comment faire pour faire savoir vos savoir-faire ? RDV sur le site de notre expert François !
Vous êtes dans le marketing digital ? Alors rejoignez-nous !
avril, 2024