27/03/2018

4 étapes pour se conformer au GDPR

Les entreprises disposent encore de quelques semaines pour se conformer au nouveau règlement européen en matière de protection des données (GDPR). Voici une formule en 4 étapes pour être fin prêt le 25 mai…

Le GDPR est le nouveau règlement européen visant à simplifier, renforcer et harmoniser la législation en matière de protection des données au sein de l’Union européenne, grâce à une série de mesures et de dispositifs. Obligatoire ? Oui ! De la PME aux organismes publics, à partir du moment où des données de clients, fournisseurs ou employés sont collectées, stockées ou traitées. Même si tout le monde en parle, toutes les entreprises ne sont pas forcément encore prêtes. Alors que le compte à rebours a commencé, l’essentiel est d’entreprendre un minimum de démarches prioritaires…

Étape 1 : nommer un pilote « data »

Le GDPR prévoit, dans certains cas, l’obligation de désigner un délégué à la protection des données (DPO). Mais, même lorsque l’entreprise n’y est pas contrainte, il est crucial de nommer un responsable « data », en charge de piloter le plan d’action, de garder un œil attentif sur le GDPR et d’informer la structure.

Étape 2 : dresser un inventaire des processus liés aux données

L’idée est de prendre conscience, de façon documentée et structurée, de toutes les activités de l’entreprise qui sont, de près ou de loin, liées à la collecte, à la gestion ou au stockage de données personnelles. Un outil fondamental pour la suite des opérations.

Étape 3 : évaluer la sécurité

Le GDPR ne badine pas avec la violation des données, surtout pour celles dites « sensibles ». L’entreprise doit donc absolument se pencher sur les risques potentiels (lieux de stockage, failles des systèmes, etc.), notamment en réalisant un audit d’impact sur la protection des données et en mettant en place des processus internes pour réagir en cas de problème.

Étape 4 : établir un plan d’action

Sur base de l’inventaire et de l’audit d’impact, l’entreprise pourra identifier les opérations à mener pour être en conformité avec le GDPR. Tout ne pourra pas être réalisé en même temps, il est donc important d’échelonner, prioriser les actions et définir les ressources à mettre en œuvre.

Voici quelques exemples :

  • Priorité 1 : revoir le CRM (avec le service IT) pour pouvoir fournir un fichier informatique des data appartenant à tout client demandeur (une obligation) ;
  • Priorité 2 : adapter (avec le webdesigner) le formulaire d’inscription à la newsletter sur le site Internet pour respecter les règles sur le consentement positif ;
  • etc.

Dernier enseignement : il ne sera jamais trop tard pour agir et éviter ainsi de lourdes sanctions prévues par la réglementation (jusqu’à 4% du chiffre d’affaires). Pour les entreprises prises au dépourvu, une offre pléthorique a vu le jour au cours des derniers mois pour les accompagner à se mettre en conformité. Last but not least, les mesures du GDPR ne sont pas que des « contraintes », mais également une opportunité d’appréhender différemment les « data » au sein des entreprises…

Pour diminuer les coûts de cette transformation numérique à hauteur de 75%, pensez à utiliser les chèques-entreprises !