• Qui sommes-nous

    • Accompagnement à la mise en conformité RGPD

    Le Règlement Général sur la Protection des Données (RGPD ou GDPR) est le règlement de l'Union Européenne, entrée en application en 2018, qui actualise dans notre pays la loi Informatique et libertés, portée par la CNIL (Commission Nationale de l’Informatique et des Libertés). Il impacte toutes les entreprises et organisations publiques opérant un traitement de données à caractère personnel pour tous résidents européens.

    Précédemment très centrée sur les données, le RGPD prend en plus en compte les traitements sur ces données (afin que seuls soient autorisés les traitements licites, loyaux et transparents) et les recense dans le registre des traitements de la CNIL.

    Le RGPD édicte six principes relatifs au traitement des données à caractère personnel et neuf droits de la personne concernée dans le respect des droits et libertés des citoyens, l’ensemble induisant des obligations pour le/la responsable des traitements.

    Le RGPD s’applique aux données informatiques mais également aux données conservées sur d’autres supports (ex : documents papier) à des fins de protection et du respect de la vie privée des citoyens.

    L’application du RGPD nécessite un cadre juridique géré par un DPO externalisé ou élu en interne. Le soutien un avocat et/ou un CSE sera toutefois bénéfique pour être bien conseillé dans le plan de mise en conformité.

    Le RGPD poursuit différents objectifs : uniformiser au niveau européen la règlementation sur la protection des données, responsabiliser davantage les entreprises et les organisations en développant l'auto-contrôle et renforcer le droit des personnes.

    contactez-nous

    Vos enjeux

    L'accompagnement à la mise en conformité RGPD d’une entreprise privée ou d'une organisation publique mobilise des enjeux multiples :

    • Au plan stratégique et managérial : dimensionner les dispositions prises au juste niveau d’exigence réglementaire, sans surinvestir dans des actions de protection qui ne seraient pas strictement nécessaires
    • Au plan organisationnel : identifier les informations à caractère personnel et les traitements qui sont licites au titre de l’activité
    • Au plan humain : la mise en conformité au RGPD impacte souvent les pratiques des équipes qui travaillent sur les données concernées
    • Au plan informatique : doter le système numérique d'un niveau de sécurisation compatible avec les recommandations du RGPD
    • Au plan juridique : analyser les contrats internes (ex : de travail) ou externes (ex : de sous-traitance) pour s'assurer que les recommandations du RGPD sont prises en compte
    • Au plan applicatif du RGPD : le règlement européen sur la protection des données personnelles ayant été rendu obligatoire en 2018, vous pouvez être accompagné pour établir les étapes de mise en conformité de votre entreprise, détecter les actions de mise en conformité et leur priorité, lister les outils de conformité RGPD nécessaires au bon déroulé de la procédure et intégrer en toute confiance votre nouveau délégué à la protection des données (ou DPO) au process. Vous vous assurez ainsi une conformité opérationnelle irréprochable.

    En savoir plus sur comment se digitaliser

    Vos bénéfices en travaillant avec Hibyrd

    La démarche Hilearn

    La démarche de mise en conformité de l'entreprise ou de l'organisation publique par rapport aux exigences du RGPD se doit d'être positionnée au bon niveau de détail : ni trop généraliste (conformité insuffisante), ni trop détaillée (conformité exagérée, surqualité). Ce juste positionnement est établi par un échange approfondi entre nos consultants et le décideur désigné au sein de l'entreprise ou de l'organisation publique. Nous procédons par écoute active, ce qui nécessite de la part de nos intervenants, en plus de leur expertise RGPD, une connaissance étendue du métier de l'entreprise ou de l'organisation publique pour que notre questionnement prenne bien en compte les enjeux et contraintes spécifiques de l'entreprise ou de l'organisation publique.

    La mise en conformité de l'entreprise ou de l'organisation publique en matière de RGPD se doit d'être pérenne, la conformité devant être maintenue même si les processus de travail de l'entreprise ou de l'organisation publique évoluent (traitements clés et données manipulées). S'inscrivant donc dans une logique d'amélioration continue, nos prestations favorisent la mise en autonomie des collaborateurs. Cette forte prise en compte de la dimension humaine se traduit par l'animation d'un dialogue approfondi avec les parties prenantes (bien comprendre les process de l'entreprise ou de l'organisation publique), dédramatiser les contraintes apportées par la réglementation (favoriser leur acceptation durable), former les collaborateurs clés (pour une appropriation interne de la lettre et de l'esprit de la réglementation en vue de pérennisation). Nos consultants experts de la relation au côté des consultants experts métiers seront être les acteurs de cette conduite du changement.

    Par définition, le conseil et l'accompagnement en matière de RGPD est une démarche hybride. Elle mobilise chez nos équipes de consultants des compétences en organisation (processus de traitement des données), en droit du numérique (comprendre le règlement) et en systèmes numériques (savoir envisager les failles de sécurité informatique menaçant les données manipulées) et également des compétences en conduite et accompagnement du changement.

    L'hybridité depuis 20 ans

    L'expérience
    et l'engagement
    d'un cabinet
    de conseil

    Des solutions
    qualitatives
    et réélement
    sur-mesure

    Les ressources
    d'une plateforme
    de compétences

    Le meilleur de deux mondes

    La démarche RGPD mobilise des compétences multiples, mais aussi des niveaux d'expertise divers chez les consultants. En effet, certaines parties du diagnostic (ex : analyse documentaire) peuvent le plus souvent être réalisées par des consultants juniors. A l'inverse, certaines parties de la démarche nécessitent au contraire une grande expérience, dont seuls sont porteurs des intervenants seniors (ex : analyse de risques). Nous appuyant sur une communauté étendue de consultants, nous pouvons mobiliser avec flexibilité tous ces profils (domaines d'expertises, niveau d'expérience), suivant des durées modulées en fonction de la nature de chaque mission. Cette flexibilité tant sur la nature des profils mobilisés que sur les durées modulées de leur mobilisation est caractéristique de notre positionnement au meilleur des 2 mondes : celui des cabinets conseil et celui d'une plateforme de consultants.

    Des experts métiers et de la relation

    Notre modèle hybride permet de mettre à disposition un panel de compétences étendu dans toutes les dimensions que requiert la problématique : conseil stratégique, organisation, impact et accompagnement des hommes, digital, juridique. Plusieurs de ces compétences peuvent être portées par le même consultant ou, dans des cas complexes, par une équipe pluridisciplinaire d'experts. Outres ces expertises techniques ou métiers, nous pouvons mobiliser si nécessaire des spécialistes des relations humaines pour animer et faciliter l'expression des parties prenantes. Un meilleur travail collaboratif au sein des équipes clients et avec nos consultants permettent une prestation particulièrement qualitative.

    Croisons nos intelligences

    Dans une prestation d'assistance à la mise en conformité au RGPD, une de nos principales valeurs ajoutées est de positionner les préconisations au niveau juste requis par les enjeux spécifiques de l'entreprise ou l'organisation publique, ni plus, ni moins. Ainsi, en collaboration étroite avec notre client, nous ajustons le niveau de détail de notre diagnostic et de nos conseils pour ne pas sur-interpréter les obligations posées par le RGPD tout en fournissant les garanties nécessaires à une mise en conformité robuste mobilisant le juste niveau de ressources. Par ailleurs, nos méthodes de questionnement avancées et notre capacité à animer la réflexion avec les équipes clients dans une logique d'intelligence collective facilitent et approfondissent la qualité des informations que nous collectons. Cela permet d'ajuster nos préconisations RGPD à la hauteur de besoins réels et d'initier l'amélioration continue dans ce domaine.

    Découvrir Hibyrd

    Quelques références pour l'accompagnement à la mise en conformité RGPD

    Analyses d'impact et AMOA dans le cadre du déploiement du RGPD

    Tierce maintenance informatique de systèmes et d'applications informatique d'une banque

    La filiale d’un grand groupe bancaire national nous sollicite pour renforcer ses équipes dans sa cellule en charge du déploiement du RGPD. Il s'agit d'un renfort à deux niveaux :

    • quantitatif : augmenter les forces vives internes pendant quelques mois pour passer le cap de la mise en place du RGPD
    • qualitatif : apporter des compétences pas déjà présentes au sein de la cellule de la banque (orientées organisation et normes de sécurité IT notamment)

    Nous accompagnons les projets de la filiale au travers d’une prise en compte by design des obligations inhérentes au RGPD, dans un contexte métier très exigent : banque banque mobile, assurance, prévoyance, API, crowdfunding, transferts digitalisés…

    Dans ce contexte, nous réalisons : audits documentaires et études d’impact, élaboration de dossiers de preuves, définition des exigences à prendre en compte par les projets afin d’assurer la conformité des développements au RGPD.

    .

    • Accompagnement de plus de 100 projets
    • Aide à la décision sur le caractère d’éligibilité des projets à une Étude d’Impact sur la Vie Privée (EIVP)
    • Réponses spécifiques apportées aux situations hors norme
    • Production d'analyses de risques métier
    • Conception de la méthode d’analyse de risques sous l’angle RGPD afin de rejoindre un formalisme de type ISO 27005

    Conseil RGPD dans le cadre de la mise en place d'un portail électronique de services

    Enseignement secondaire technique et professionnel

    Cet institut de formation met en place un nouveau portail internet multi-services auprès de ses étudiants, de ses professeurs et de ses partenaires (entreprises accueillant des stagiaires).

    Ce nouvel outil manipule de fait de nombreuses données à caractère personnel, ce qui nécessite de mener une étude de conformité au RGPD

    En complément à notre prestation d'AMOA pour l'élaboration du portail, nous conduisons le sous-projet RGPD.

    Menée auprès de représentants des métiers très peu familiers de l'informatique, la mission, en plus de se conformer aux règles imposées par le RGPD, inclut un important travail de vulgarisation en sécurité informatique auprès des membres de l'équipe client.

    .

    • Identification des données à caractère personnel (DCP)
    • Clarification des traitements et divers processus pour assurer le respect du RGPD
    • Révision du dialogue portail/utilisateur pour respecter les consignes fixées par le RGPD (ajustement des formulaires, affichage messages légaux d'alerte utilisateur,...)
    • Sensibilisation des personnels néophytes à l'entretien du système de suivi des DCP
    • DPO en cours de nomination

    Assistance d'une PME dans sa mise en conformité au RGPD

    PME industrielle

    Le client est une PME qui a commencé en interne sa démarche de mise en conformité au RGPD. Mais la pression du quotidien pour gérer d'autres priorités et le manque d'expertise interne conduisent finalement la direction générale à confier le projet RGPD à notre société de conseil.

    Nous reprenons le projet suivant une approche en 8 étapes :

    • Cadrage : identification des travaux déjà réalisés en interne et sensibilisation des personnels impactés
    • Désignation d'un DPO : nous définissons la fiche de poste du DPO nécessaire et aidons le client à identifier le collaborateur adéquat
    • Cartographie des traitements, des données et des processus
    • Priorisation des actions : impulser une logique projet à toute la démarche (tâches à réaliser, dates jalons, acteurs)
    • Identification et hiérarchisation des risques avec analyse d'impact (EIVP ou PIA)
    • Ajustement de certains processus de traitement : Mise en place des procédures internes, qui garantissent la protection des données à tout moment
    • Documentation : constituer et regrouper la documentation nécessaire
    • Accompagnement : installer un accompagnement du DPO du client pour maintenir la conformité au RGPD dans le temps

    .

    • Une entreprise qui, en cas de contrôle, pourra justifier de mesures robustes pour sa mise en conformité par rapport au RGPD
    • Des équipes internes au client sensibilisées à l'importance du suivi des données à caractère personnel
    • Une base documentaire et méthodologique bien établie à partir de laquelle l'entreprise pourra faire vivre, en toute autonomie, son dispositif de sécurité des données

    Voir toutes nos références

    Vous avez des questions

    Est-ce que le RGPD n'est pas un règlement de plus, un vœu pieux que, finalement, très peu d'organisations respectent ?

    Non, le RGPD doit être au cœur des préoccupations d'une entreprise, qu'elle soit privée ou publique. Il s'applique aux données numériques (traitées par un site web, un système d'information, etc.), mais aussi aux données stockées sur des supports papier, dans les bureaux.

    En 2019, la CNIL a enregistré plus de 14 000 plaintes pour des suspicions de non respect du RGPD. Les sanctions financières et administratives liées au non-respect du RGPD sont réelles et de plus en plus appliquées. Elles peuvent atteindre 4% du chiffre d’affaires consolidé pour une entreprise.

    Comment définir la Donnée à Caractère Personnel (DCP) qui semble au cœur de la préoccupation du RGPD ?

    L'article 4 §1 du RGPD indique qu'on désigne par données à caractère personnel, toute information se rapportant à une personne physique identifiée ou identifiable .

    Ainsi, est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

    Par exemple : est considérée comme DCP toute donnée relative à une personne physique (identité, adresse postale, coordonnées téléphoniques, données ressources humaines, données de nature sociale…) quel que soit son statut (client, fournisseur, prestataire, salarié, prospect…).

    Le G29 a par ailleurs ajouté la notion de données à caractère hautement personnel. Ces données à caractère personnel sont considérées comme sensible (au sens commun du terme) dans la mesure où elles sont liées à des activités domestiques et privées (communications électroniques dont la confidentialité doit être protégée, par exemple), dans la mesure où elles ont un impact dans l’exercice d’un droit fondamental (données de localisation dont la collecte met en cause la liberté de circulation, par exemple) ou dans la mesure où leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée (données financières susceptibles d’être utilisées pour des paiements frauduleux, par exemple).

    Qu'a-t-on le droit de faire avec les données dont on dispose ? Comment doit-on comprendre la notion de traitement licite ?

    Le RGPD nomme traitement, toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. Le traitement s'applique aux données numériques mais aussi aux données papier.

    Le RGPD précise qu'un traitement est licite si, au moins une des conditions suivantes est remplie :

    • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
    • le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.
    • le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.
    • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.
    • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
    • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.

    Quels sont les tarifs d'un DPO externalisé ?

    Suivant votre système de gouvernance, vous pouvez choisir de demander à un DPO externalisé de vous accompagner pour vous mettre en conformité au RGPD ou proposer ces nouvelles responsabilités à un collaborateur de votre entreprise. En tous les cas, piloter un projet tel que la compliance au règlement européen sur la protection des données personnelles nécessite de faire appel à une personne de confiance dont la réputation vous sécurise.
    En fonction de votre secteur d’activité, de votre avancée dans les étapes de mise en conformité et du consultant avec qui vous décidez de travailler, les tarifs d’un DPO externalisé pour l’accompagnement à la mise en conformité RGPD pourront varier.

    Quelles sont les missions de la CNIL?

    La CNIL veille à la protection des données personnelles contenus dans les fichiers numériques ou papiers aussi bien publics que privés. Ses missions :

    • La CNIL vous aide à maîtriser vos données personnelles et à exercer vos droits.
    • En cas de difficultés vous pouvez également adresser une plainte ou une réclamation à la CNIL.
    • La CNIL a un rôle de conseiller auprès des pouvoirs publics et des professionnels. Pour vous dire comment rédiger ou comment respecter le RGPD et vous assister dans votre mise en conformité.
    • La CNIL peut aussi agir en tant qu’autorité de contrôle auprès des organismes et les mettre en demeure ou les sanctionner s’ils ne respectent pas la réglementation en vigueur.

    Quelles sont les sanctions en cas de violation / d'infractions au RGPD ?

    Toute personne renseignant ses données personnelles est soumise à une certaine politique de confidentialité, souvent régie par des règles communes (notamment le droit à l’oubli, la durée de conservation des données, le refus du traitement automatisé de données comme le profilage (qui consiste à traiter les données pour prédire les comportements), etc.) qui la protège en lui garantissant une sécurité et une utilisation appropriée des données.

    Le non-respect du règlement entraînera bien entendu des sanctions voire des condamnations. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. C’est pourquoi nous vous recommandons fortement un accompagnement à la mise en conformité RGPD pour être parfaitement irréprochable et ne subir aucune sanction.

    Découvrez comment Hibyrd peut vous accompagner

    D'autres offres pour se digitaliser

    Schéma directeur des systèmes d'information Votre cabinet de conseil en AMOA SI Mise en place d'un SIRH Accompagnement à la transformation digitale Diagnostic de système d'information Open Data Intelligence artificielle : comment passer de l'intention à la mise en œuvre au sein de son organisation ? Transition vers l’IA et accompagnement du changement

    En savoir plus sur comment se digitaliser

    1. Accueil
    2. Nos offres
    3. Accompagnement à la mise en conformité RGPD

    Un projet, des questions ? Parlons-en02 47 25 84 72

    Conseil en transformation
    des organisations

          En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies afin de réaliser des statistiques d'audiences et rendre votre visite plus agréable, conformément à notre politique générale de protection des données.

          J'accepte