• Qui sommes-nous

    • La mise en place du RGPD en entreprise en 6 étapes

    Depuis 2018, les entreprises ont l’obligation de se conformer au Règlement Général sur la Protection des Données qui vise à favoriser un traitement responsable des données personnelles par les organisations. Même si la loi est déjà entrée en vigueur, certaines entreprises n’ont pas encore mené les actions nécessaires pour se mettre en conformité. D’autres ont pris des mesures sans effectuer de réel suivi de leur démarche de mise en conformité au fil des ans. Pour garantir la sécurité des données personnelles que vous collectez et traitez et éviter toute sanction financière, voici les 6 étapes nécessaires à la mise en place d’une démarche RGPD, seul ou accompagné.

    RGPD en entreprise : que dit la loi ?

    Depuis 2018, la réglementation européenne fixe un cadre sur la protection des données à caractère personnel. Elle vise à garantir que le traitement des données effectué par les organisations est respectueux de la vie privée des personnes physiques. La CNIL (Commission Nationale de l’Informatique et des Libertés) est le régulateur des données personnelles en France. Elle veille au respect de la loi dans ce domaine en accompagnant les entreprises dans leur mise en conformité via la mise à disposition d’informations. En parallèle, elle aide les personnes physiques à mieux connaître leurs droits dans ce domaine et à faire valoir leurs droits.

    1e étape : Dimensionner le projet

    La mise en place du RGPD commence par une évaluation des besoins. La stratégie de RGPD doit être correctement calibrée afin de permettre à l’entreprise de rentrer dans le cadre réglementaire. Le projet doit être positionné au bon niveau de détail afin de ne pas générer de dépenses inutiles via la mise en place de mesures surprotectrices. Au cours de cet état des lieux, il faut identifier le type d’actions préalablement mises en place, les types de données qui vont entrer dans la stratégie de mise en conformité, ainsi que les principales opérations de traitement.

    2e étape : Désigner un référent RGPD

    Le DPO (Data Protection Officer) va être l’ambassadeur de la mise en place du RGPD dans l’entreprise. Il impulse et coordonne la mise en œuvre de la stratégie de mise en conformité tout en sensibilisant les autres collaborateurs au projet. Le DPO peut être désigné en interne comme en externe. S’il est déjà présent dans l’entreprise, il a l’avantage de connaître l’entreprise et son environnement. D’un autre côté, un DPO externalisé ne nécessite pas de formation en matière de RGPD, il est déjà compétent sur les questions techniques. De plus, le DPO externe possède l’expérience de la mise en place du RGPD en entreprise. Chez Hibyrd, nous prenons soin de répondre aux demandes des entreprises en mettant à disposition des consultants experts du domaine d’activité. Nous travaillons avec des organisations issues de secteurs aussi variés que l’agroalimentaire, le secteur bancaire, les assurances, le domaine de l’énergie, le transport, l’industrie ou la distribution.

    3e étape : Faire un bilan des données collectées et des processus existants

    Durant cette étape, on établit une cartographie des données et pratiques relatives à leur exploitation. Le RGPD concerne les données à caractère personnel, c’est-à-dire les informations qui sont liées à des personnes identifiées ou identifiables (nom, adresse postale, numéro de téléphone, numéro de sécurité sociale, etc.). Ces données peuvent provenir de différentes catégories de personnes en lien avec l’entreprise (clients, prospects, partenaires, salariés…), il est donc nécessaire d’effectuer ce travail de bilan avec l’ensemble des services.

    Plusieurs éléments doivent être recensés concernant les données traitées :
    Les types d’opérations de traitement liées à ces données (la collecte, l’enregistrement, la conservation, la consultation, la diffusion…) ;
    Les catégories de données (identité, situation familiale, informations bancaires, données de connexion, localisation…) ;
    L’objectif des opérations de traitement des données (gestion des relations clients, gestion RH, enquêtes de satisfaction…)
    Les services internes et organismes externes amenés à traiter ces données ainsi que leur situation géographique.

    Il faut aussi dresser un bilan juridique en relisant les contrats établis par l’entreprise en interne et en externe, pour s’assurer de leur conformité avec les recommandations RGPD.

    4e étape : Définir un plan d’action

    Ce plan détermine les actions qui doivent être mises en œuvre pour assurer la mise en conformité au RGPD. Il s’agit de définir les actions, les outils nécessaires, les besoins en formation interne et la méthode d’intégration du DPO dans le processus. Comme pour tout plan stratégique, on définit des tâches précises, des dates butoir et on identifie les personnes impliquées durant chaque étape. Des procédures internes sont définies afin de traiter les données en accord avec le RGPD. On définit aussi les procédures à mettre en place en cas d’événement courant (demande de rectification des données) ou exceptionnel (faille de sécurité).

    Pour que les processus soient correctement intégrés et appliqués au sein des équipes, il est essentiel de faire circuler l’information et de sensibiliser les personnes aux enjeux du RGPD. Chez Hibyrd, nous avons développé une méthode d’accompagnement au changement qui allie prise en charge technique et coaching. Nous avons la conviction que la prise en compte des enjeux humains est au cœur d’une stratégie de changement efficace et durable. Lorsque nous accompagnons les entreprises dans la mise en conformité au RGPD, nous veillons à créer un dialogue avec l'ensemble des acteurs.

    5e étape : Régler en priorité les situations à risque

    L’étape précédente a permis de définir des actions précises nécessaires à la mise en œuvre du projet. La stratégie de mise en conformité doit commencer par des actions visant à remédier à des situations présentant des risques élevés. Il faut donc identifier les types de traitements de données susceptibles de générer les risques les plus importants. Les risques concernent le respect de la vie privée des personnes, et par extension les entreprises gérant ces données. En cas d’infraction au RGPD, des sanctions monétaires peuvent s’appliquer.

    Selon l’article 35 du RGPD, lorsque le risque est élevé, l’entreprise doit mener une AIPD (Analyse d’Impact sur la Protection des Données). L’AIPD, plus connue sous le nom de DPIA (Data Protection Impact Assessment) en anglais, permet d’évaluer les risques et les menaces potentielles à partir des moyens supports à disposition (matériels, logiciels…) et du type de traitement dont il est question. Cette démarche aide l’entreprise à définir des méthodes de travail permettant de se conformer à la législation.

    Pour aider à déterminer le niveau de risque, la CNIL a défini deux listes indiquant les types d’opérations de traitement pour lesquelles la réalisation de l’AIPD est obligatoire ou non. Par exemple, l'AIPD est obligatoire pour le traitement de données de santé au sein d’établissements de santé, comme la gestion des dossiers patients. À contrario, elle est, par exemple, facultative dans le cadre d’opérations liées aux ressources humaines telles que l’émission de bulletins de salaire ou le remboursement de frais professionnels.

    6e étape : Constituer une documentation

    La documentation apporte la preuve de la mise en place du RGPD dans l’entreprise. La documentation compte tout d’abord les documents relatifs au traitement des données personnelles :
    Le registre des traitements ;
    -  Les AIPD ;
    -  Les documents relatifs à l’encadrement des transferts de données hors Union Européenne, qui font l’objet d’une législation particulière.

    D’autres documents doivent être conservés et mis à jour :
    -  Le modèle de recueil du consentement des personnes ainsi que la preuve qu’elles ont bien donné leur consentement ;
    Les mentions informant sur le recueil des données ;
    Les procédures permettant aux personnes d’exercer leur droit de suppression ou de rectification ;
    Les contrats avec les sous-traitants impliquant la gestion de données ;
    -  Les procédures internes relatives aux failles de sécurité entraînant une violation des données.

    Hibyrd s’est spécialisé dans l’accompagnement des organisations en associant le meilleur d’un cabinet de conseil et d’une plateforme de consultants. Nous apportons des réponses sur mesure à nos clients en mettant à disposition des consultants experts de leur domaine. Prenez contact avec nous pour en apprendre davantage sur nos solutions de mise en place du RGPD.

    Publié le 25 juillet 2023par Hibyrd

    Ces contenus peuvent aussi vous intéresser

    L'IA, une opportunité pour les collectivités territoriales
    21 mai 2025
    L'IA, une opportunité pour les collectivités territoriales

    Change management : voici la diversité des projets derrière ce mot
    22 nov. 2024
    Change management : voici la diversité des projets derrière ce mot

    Face à l'essor de l'intelligence artificielle, comment Hibyrd accompagne-t-il ses clients dans ce projet de transformation ?
    3 nov. 2024
    Face à l'essor de l'intelligence artificielle, comment Hibyrd accompagne-t-il ses clients dans ce projet de transformation ?

    Consulting RSE : top 10 des projets accompagnés par les cabinets de conseil
    23 oct. 2024
    Consulting RSE : top 10 des projets accompagnés par les cabinets de conseil

    Qu’est-ce que l’intelligence artificielle générative ? Définition, atouts et limites
    13 sept. 2024
    Qu’est-ce que l’intelligence artificielle générative ? Définition, atouts et limites

    Nos dernières actualités

    Bilan de la loi 2019 de transformation de la fonction publique : où en sont les collectivités ?
    17 avr. 2025
    Bilan de la loi 2019 de transformation de la fonction publique : où en sont les collectivités ?

    Nouvelle convention collective de la métallurgie : quels changements pour les cadres et non-cadres et quels impacts sur le management ?
    19 févr. 2025
    Nouvelle convention collective de la métallurgie : quels changements pour les cadres et non-cadres et quels impacts sur le management ?

    Quelle est la place de l'humain dans l'IA ?
    22 janv. 2025
    Quelle est la place de l'humain dans l'IA ?

    La GPEC/GPEEC dans le secteur public : bonnes pratiques et outils pour une mise en œuvre réussie
    6 déc. 2024
    La GPEC/GPEEC dans le secteur public : bonnes pratiques et outils pour une mise en œuvre réussie

    Diagnostic fonctionnel sécurité : évaluez votre niveau de maturité en matière de cybersécurité
    3 déc. 2024
    Diagnostic fonctionnel sécurité : évaluez votre niveau de maturité en matière de cybersécurité

    Contactez-nous

    1. Accueil
    2. Actualités
    3. La mise en place du RGPD en entreprise en 6 étapes

    Un projet, des questions ? Parlons-en02 47 25 84 72

    Conseil en transformation
    des organisations

          En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies afin de réaliser des statistiques d'audiences et rendre votre visite plus agréable, conformément à notre politique générale de protection des données.

          J'accepte