Mise en conformité RGPD & e-Privacy et optimisation des process métiers

Une vison opérationnelle. La mise en conformité aux exigences du RGPD est obligatoire et votre entreprise est souvent sans le savoir une machine à collecter des données et vos DATA sont la richesse de votre entreprise. Le RGPD est surtout une chance de mieux exploiter vos données commerciales ou RH et ainsi d’optimiser vos process métiers et renforcer votre efficience organisationnelle. 

Nous accompagnons votre stratégie d’entreprise et vos services administratifs, commerciaux, marketing et RH de la démarche de mise en conformité RGPD, à la production des registres et au respect des règles ePrivacy dans le but d’optimiser vos process métiers et accompagner votre développement.

ACCOMPAGNER LA MISE EN CONFORMITE RGPD DE VOTRE ORGANISATION (FORMULES PACKS)

Nous pouvons intervenir en tout ou partie des phases de mise en oeuvre de la conformité au RGPD :

    • information et sensibilisation des acteurs sur les principes fondamentaux du RGPD
    • Audit des traitements de données personnelles de l’Organisation
    • Recommandations et préconisations à mettre en oeuvre par piorités
    • interrogation et suivi des sous-traitants concernés par le RGPD
    • création et mise à jour des registres de traitement et fiches associées
    • lancement et coordination d’études d’impacts / analyse de risques
    • mise en place d’une gestion des demandes d’exercice des droits des personnes
    • création des procédures de gestion d’incidents
    • refonte des politiques de confidentialité
    • audit de contrôle de la conformité, missions de surveillance

Avec nos 4 « formules Packs » ci-après, vous placez votre propre curseur entre niveau d’accompagnement recherché et niveau d’autonomie souhaité : 

START : Après une sensibilisation préalable aux exigences du RGPD et responsabilités qui en découlent, nos consultants lors d’un ou plusieurs entretiens présentiels ou distants, procèdent à un audit des traitements des données personnelles de votre structure. A l’issue de cet audit , un rapport de préconisations et recommandations vous est remis qui vous permet de lancer vote propre démarche de mise en conformité au RGPD, d’orienter et prioriser vos actions de mise en oeuvre.

Programme :

Information des personnels et collaborateurs

    • Sensibilisation au RGPD et à la gestion opérationnelle des données personnelles

Diagnostic : Connaissance de l’environnement

    • Organigrammes
    • Cartographie logicielle et numérique (sites, réseaux, mobilité, …)
    • Liste des process intrusifs (géolocalisation, surveillance, badgeuses, écoutes, …)
    • Recensement des sous-traitants informatiques et autres partenaires
    • Recueil des contrats ST, Chartes et Politiques
    • Organisation documentaire papier
    • Compilation d’un référentiel

Audit des traitements de DCP (Donnés à Caractère Personnel)

    • Définition des activités (approche processus) et schématisation
    • Recensement des traitements de Données personnelles
    • Définition des finalités et des sous finalités liées à chaque traitement
    • Définition des statuts de responsabilités liées à chaque traitement

Préconisations et recommandations à mettre en œuvre (*)

    • Elaboration du tableau des préconisations et recommandations (To Do List)
    • Restitution et revue des risques et priorités à définir avec la Direction

Formation à la création et à l’utilisation des registres « cadres » de traitements

    • Création des registres de traitements « Responsable de traitement » et/ou « sous-traitant »
    • Informations Générale liées au registre
    • Définition de la liste des traitements
    • Formation à la création et à la mise à jour d’une fiche de traitement détaillée

SILVER : en complément de la formule précédente, suite à l’audit des traitements et au rapport de préconisations, nos consultants créent et alimentent les registres et fiches de traitement en documentant l’état actuel de la conformité.

Programme (Formule Start + options supplémentaires suivantes en bleu)  :

Information des personnels et collaborateurs

    • Sensibilisation au RGPD et à la gestion opérationnelle des données personnelles

Diagnostic : Connaissance de l’environnement

    • Organigrammes
    • Cartographie logicielle et numérique (sites, réseaux, mobilité, …)
    • Liste des process intrusifs (géolocalisation, surveillance, badgeuses, écoutes, …)
    • Recensement des sous-traitants informatiques et autres partenaires
    • Recueil des contrats ST, Chartes et Politiques
    • Organisation documentaire papier
    • Compilation d’un référentiel

Audit des traitements de DCP (Donnés à Caractère Personnel)

    • Définition des activités (approche processus) et schématisation
    • Recensement des traitements de Données personnelles
    • Définition des finalités et des sous finalités liées à chaque traitement
    • Définition des statuts de responsabilités liées à chaque traitement

Préconisations et recommandations à mettre en œuvre (*)

    • Elaboration du tableau des préconisations et recommandations (To Do List)
    • Restitution et revue des risques et priorités à définir avec la Direction

Formation à la création et à l’utilisation des registres « cadres » de traitements

    • Création des registres de traitements « Responsable de traitement » et/ou « sous-traitant »
    • Informations Générale liées au registre
    • Définition de la liste des traitements
    • Formation à la création et à la mise à jour d’une fiche de traitement détaillée
  • + Documentation de la conformité initiale
    • Création du Registre interne (Responsable de traitement) et liste des traitements
    • Création du Registre externe (sous-traitants) et liste des traitements
    • Création des fiches d’activité liées aux différentes listes de traitements
    • Description des mesures de sécurité organisationnelles et techniques actuelles

+ Transfert de compétences sur la tenue des registres

    • Validation des registres actuels
    • Auditer de nouvelles activités
    • créer et mettre à jour de nouvelles fiches de traitement détaillée

GOLD : en complément de la formule précédente une fois créés et alimentés les registres et fiches de traitement associés, nos consultants, à partir de nos propres questionnaires personnalisés, interrogent vos sous-traitants impliqués dans la collecte et le traitement de données personnelles au sens du RGPD, suivent et analysent sur plusieurs semaines ou mois les réponses apportées, complètent et actualisent les fiches de traitement de vos différents registres en fonction de ces réponses et des mesures mises en oeuvres par ces différents prestataire concernés.

Programme (Formule Silver + options supplémentaires)  :

Information des personnels

    • Sensibilisation au RGPD et à la gestion opérationnelle des données personnelles

Diagnostic : Connaissance de l’environnement

    • Organigrammes
    • Cartographie logicielle et numérique (sites, réseaux, mobilité, …)
    • Liste des process intrusifs (géolocalisation, surveillance, badgeuses, écoutes, …)
    • Recensement des sous-traitants informatiques et autres partenaires
    • Recueil des contrats ST, Chartes et Politiques
    • Organisation documentaire papier
    • Compilation d’un référentiel

Audit des traitements de DCP (Donnés à Caractère Personnel)

    • Définition des activités (approche processus) et schématisation
    • Recensement des traitements de Données personnelles
    • Définition des finalités et des sous finalités liées à chaque traitement
    • Définition des statuts de responsabilités liées à chaque traitement

Préconisations et recommandations à mettre en œuvre (*)

    • Elaboration du tableau des préconisations et recommandations (To Do List)
    • Restitution et revue des risques et priorités à définir avec la Direction

Formation à la création et à l’utilisation des registres « cadres » de traitements

    • Création des registres de traitements « Responsable de traitement » et/ou « sous-traitant »
    • Informations Générale liées au registre
    • Définition de la liste des traitements
    • Formation à la création et à la mise à jour d’une fiche de traitement détaillée

Documentation de la conformité initiale

    • Création du Registre interne (Responsable de traitement) et liste des traitements
    • Création du Registre externe (sous-traitants) et liste des traitements
    • Création des fiches d’activité liées aux différentes listes de traitements
    • Description des mesures de sécurité organisationnelles et techniques actuelles

Transfert de compétences sur la tenue des registres

    • Validation des registres actuels
    • Auditer de nouvelles activités
    • créer et mettre à jour de nouvelles fiches de traitement détaillée

+ Interrogation des acteurs sous-traitants de DCP au sens du RGPD

    • Envoi des questionnaires personnalisés et suivi des retours (hors plans d’action)

+ Suivi et relance auprès des acteurs de la chaîne DCP

    • Suivi effectué durant 3 mois après l’envoi des questionnaires

+ Mise à jour des fiches d’activité des registres

    • Mise à jour continue sur la même période selon retours et pertinence des réponses reçues.

PREMIUM : en complément de la formule précédente qui comprend toutes les étapes de l’audit des traitements et des recommandations jusqu’à à la documentation initiale de la conformité et à la mise à jour des registres auprès des sous-traitants concernés, nos consultants vous accompagnent pour initier votre politique de gouvernance des données personnelles »

Programme (Formule Gold + options supplémentaires)  :

Information des personnels

    • Sensibilisation au RGPD et à la gestion opérationnelle des données personnelles

Diagnostic : Connaissance de l’environnement

    • Organigrammes
    • Cartographie logicielle et numérique (sites, réseaux, mobilité, …)
    • Liste des process intrusifs (géolocalisation, surveillance, badgeuses, écoutes, …)
    • Recensement des sous-traitants informatiques et autres partenaires
    • Recueil des contrats ST, Chartes et Politiques
    • Organisation documentaire papier
    • Compilation d’un référentiel

Audit des traitements de DACP (Donnés à Caractère Personnel)

    • Définition des activités (approche processus) et schématisation
    • Recensement des traitements de Données personnelles
    • Définition des finalités et des sous finalités liées à chaque traitement
    • Définition des statuts de responsabilités liées à chaque traitement

Préconisations et recommandations à mettre en œuvre (*)

    • Elaboration du tableau des préconisations et recommandations (To Do List)
    • Restitution et revue des risques et priorités à définir avec la Direction

Formation à la création et à l’utilisation des registres « cadres » de traitements

    • Création des registres de traitements « Responsable de traitement » et/ou « sous-traitant »
    • Informations Générale liées au registre
    • Définition de la liste des traitements
    • Formation à la création et à la mise à jour d’une fiche de traitement détaillée

Documentation de la conformité initiale

    • Création du Registre interne (Responsable de traitement) et liste des traitements
    • Création du Registre externe (sous-traitants) et liste des traitements
    • Création des fiches d’activité liées aux différentes listes de traitements
    • Description des mesures de sécurité organisationnelles et techniques actuelles

Transfert de compétences sur la tenue des registres

    • Validation des registres actuels
    • Auditer de nouvelles activités
    • créer et mettre à jour de nouvelles fiches de traitement détaillée

Interrogation des acteurs sous-traitants de DACP au sens du RGPD

    • Envoi des questionnaires personnalisés et suivi des retours (hors plans d’action)

Suivi et relance auprès des acteurs de la chaine DACP

    • Suivi effectué durant 3 mois après l’envoi des questionnaires

Mise à jour des fiches d’activité registres fiches

    • Mise à jour continue sur la même période selon retours et pertinence des réponses reçues.

+ Accompagnement à la mise en oeuvre d’un Gestion des incidents

    • Aide à l’élaboration d’une procédure de gestion des incidents à mettre en œuvre lorsqu’une violation de données personnelles apparaît.

+ Assistance à la mise en place d’une Gestion des demandes d’exercice des Droits

    • Aide à l’élaboration d’une procédure interne de gestion des demandes d’accès et d’exercice des droits des personnes concernées (salariés, clients, prospects, internautes, Etc…).

APPROCHES DU RGPD PAR ACTIVITES, PROCESSUS METIERS OU PROCEDURES TYPES 

La période est au changement ? Vous souhaitez adopter une nouvelle stratégie de développement, vous adapter au changement et bousculer vos pratiques actuelles en tenant compte des obligations liées au RGPD, à la directive e-Privacy et autres procédures de contrôle qui y sont liées :

  • exploitation des données commerciales, optimisation du Cycle de vente et gestion de la relation client 
  • démarches marketing et approches innovantes compatibles avec l’exercice du droit des personnes
  • Gestion des ressources humaines, management et information des personnes 
  • vente en ligne et e-Commerce
  • démarche Privacy By Design appliquée au développement de solutions logicielles ou web
  • gestion de données personnelles sensibles (profiling de personnes , données de santé,…)
  • traitements automatisés algorithmiques, de géolocalisation ou de suivi comportemental 
  • activés de vidéo surveillance et procédés biométriques
  • gouvernance des données personnelles (procédures internes de gestion d’exercice des droits, notification de violation de données)
  • gouvernance des données d’entreprise (démarches PCA et PRA)

Nous pouvons vous accompagner pour auditer, formaliser votre stratégie, définir vos objectifs, quantifier vos indicateurs d’analyse et mettre en oeuvre les plans d’action qui en découlent, « conformité comprise » ! 

ACCOMPAGNEMENT AU LONG COURS : DPO (DATA PROTECTION OFFICER) EXTERNALISE ET CERTIFIE

Le DPO encore appelé Délégué à la Protection des Données est une fonction transverse stratégique pour l’Organisation dans les missions de conseil et de coordination qu’il apporte à l’entreprise sur la protection,  la confidentialité et la sécurité des données qui sont collectées et utilisées tout au long des process de fonctionnement mis en oeuvre au sein du SI.   

et sa nomination est obligatoire dans certains cas et elle est conseillée par la CNIL dans tous les autres cas.

Le DPO peut être désigné en interne, mais cela demande de mobiliser une ressource au minimum à à tiers temps ou à mi-temps. En outre, la personne désignée devra maîtriser le règlement RGPD et la directive e-Privacy afin d’auditer les traitements, mettre en oeuvre la démarche de mise en conformité, décider des plans d’action, coordonner leur mise en oeuvre en relation avec les services internes et les tiers extérieurs.

Recourir à un DPO externalisé permet à votre entreprise de bénéficier d’un avantage économique, de la disponibilité de vos équipes, d’un accompagnement conseil à long terme dans votre démarche de mise en conformité permanente, du contrôle de votre conformité. Déclaré auprès de la CNIL, il est un relais de représentation à l’égard des tiers et auprès de l’autorité de contrôle en cas d’incident.

Nos DPO externalisés interviennent dans le cadre de contrats de missions à engagement annuel, durées négociées et échéances de paiement mensualisées. 

Les accompagnements DPO Externalisé sont chiffrés après diagnostic et entretien.

En savoir plus sur la mission de DPO externalisé

Vous souhaitez échanger sur votre stratégie ?