RGPD : Rendre vos Télécoms (Standards, Mobiles, Accès Internet) Conformes [Guide Complet]


RGPD : Rendre vos Télécoms (Standards, Mobiles, Accès Internet) Conformes [Guide Complet]
4.9 (97.69%) 26 votes

RDGP et entreprise: Comment mettre en conformité vos télécoms avec le RGPD ? Comment vous assurer que vos télécommunications (téléphones, standards, flotte mobile, internet) sont conformes vis-à-vis du Règlement Général sur la Protection des Données ?

Comme la plupart d’entre nous, vous n’avez pas lu les 88 pages du RGPD…!

Le RGPD (Règlement Général sur la Protection des Données) remplace la loi Informatique et libertés de la CNIL. Néanmoins l’échéance du 25 mai 2018 approche, date à laquelle nous devrons tous être en conformité.

Des dizaines d’articles existent sur le sujet. Mais aucun d’entre eux ne vous donne les étapes concrètes à appliquer dans votre structure.

Vous trouverez ci-dessous une méthodologie simple et efficace pour vous mettre en conformité et ne pas subir les sanctions applicables.

Nous ferons un focus sur les télécoms. Et nous  vous expliquerons comment rendre vos télécoms et votre Accès Internet conformes au RGPD.

Lors de l’élaboration de cet article, nous avons conclu que la mise en place du RGPD n’est pas simple.

Alors pour vous aider, nous avons voulu avoir l’avis d’un professionnel qui aide les entreprises à se mettre en conformité par rapport au RGPD.

Alors nous terminerons par le témoignage d’Olivier Mondin, directeur de IMPACT-RGPD qui viendra nous apporter des précisions concrètes sur la mise en place du RGPD.

Et l’interview de Sandrine RIEUSSEC Présidente d’OPTIMEX DATA .

RGPD La Méthode Expliquée pour Rendre vos télécoms et votre Accès Internet conformes ?

Mais le RGPD (Règlement Général à la Protection des Données) c’est quoi exactement ?

Le RGPD (ou GDPR en anglais : General Data Protection Regulation) est le texte de loi Européen qui régit la protection des données personnelle.

Ce texte de loi a été adopté par la Parlement Européen le 14 avril 2016. Il rentre en vigueur dans Tous les Etats membres à partir du 25 mai 2018.

onneIl s’agit d’une nouvelle réglementation, dans la continuité de la loi Informatique et Libertés (1978 amendée en 2004).

Il vise à renforcer et harmoniser le cadre de la protection des données privées dans le contexte d’évolutions technologiques que nous vivons actuellement (Big Data, Objets connectés, etc.).

L’individu est placé au centre de ce dispositif et verra la protection de ses données privées renforcée (obligation d’information, droit à la portabilité ou effacement des données…).

Le traitement d’une donnée personnelle c’est par exemple:

  • recevoir des formulaires de contact de vos prospects via votre site Web
  • ou encore les informations à destination des RH sur vos collaborateurs en interne.
  • Toutes les données liées à la géo localisation, aux photos, aux accès aux locaux …

En définitive, tout ce que vous récoltez comme information privée sur une personne (nom, prénom, âge, sexe, nationalité, adresse, coordonnées bancaires, etc.).

Le RGPD impose 3 engagements aux entreprises vis-à-vis du traitement des données personnelles :

  1. Le consentement des individus quant à la collecte et au traitement des données à caractère personnel. Il s’agit par exemple d’une case à cocher ou d’un libellé explicite lorsqu’un individu donne ses coordonnées sur votre site web.
  2. La transparence de l’utilisation des données : dans les conditions générales de ventes, dans les formulaires de contact sur un site, sur un contrat, etc.
  3. La responsabilité: la personne concernée doit pouvoir vous demander à n’importe quel moment un état de ses données. Elle peut également vous demander la suppression ainsi que la portabilité de celles-ci. Et vous devenez responsables de ce que vous faites ainsi que de ce que peut faire un sous-traitant de ces mêmes données.

Comment vous assurer que les télécoms de votre entreprise sont conformes au RGPD ?

Si vous manipulez les données de vos clients ou collaborateurs tel que des adresses IP, des numéros de téléphone ou encore des adresses.

Le principe de base en matière de RGPD est de s’assurer que l’on ne collecte que ce dont on a réellement besoin pour opérer son métier et que les données récoltées sont maîtrisées. Prenons quelques exemples concrets:

  • D’un point de vue téléphonie, assurez-vous de fournir à vos collaborateurs des factures détaillées où les 4 derniers chiffres des numéros appelants/appelés sont cachés (exemple : 062107XXXX).
  • Assurez vous aussi d’uniformiser la sécurité des parcs mobiles en proposant par exemple des solutions MDM : Mobile Device Management. Grâce à ce système, le gestionnaire de flotte peut contrôler à distance la sécurité des mobiles de son parc, les mises à jour logiciels, empêcher aux utilisateurs d’installer des applications douteuses, verrouiller les terminaux et ainsi garantir la sécurité de toutes les données qui transitent par les mobiles.
  • Pour vos accès internet : assurez-vous de mettre en place un système de firewall pour sécuriser au maximum votre réseau ainsi que les données qui s’y trouvent.
  • Concernant l’hébergement de votre site web, les différents prestataires chargés d’héberger vos données ou celles de vos clients doivent eux aussi entrer en conformité puisque vous leur déléguez d’une certaine manière une partie de la responsabilité sur la protection des données de vos clients.

Vous trouverez ci-après la méthode pas à pas pour rendre conforme les télécommunications et votre connexion internet de votre entreprise au RGPD.

DSI Thriller – RGPD, la lutte finale from Best Practices SI on Vimeo.

Le RGPD impose un devoir d’information

Dans le cas où les systèmes d’information de votre entreprise ont subi une attaque et/ou en cas de violation de données à caractère personnel, vous devez avertir dans les 72 heures:

  • L’autorité de surveillance de la CNIL
  • ainsi que les personnes concernées par le piratage.

Sources:
Nextinpact
Les Échos

Qui est concerné par ce règlement ?

Les règles du RGPD s’appliqueront, à compter du 25 mai 2018. Toutes les entreprises privées ou publiques, personnes morales et associations qui traitent des données personnelles de citoyens européens sont concernées.

Par exemple une société américaine qui vend en Europe et récolte des données de citoyens européens sera elle aussi concernée.

Le RGPD implique également la conformité de différents sous-traitants des entreprises

Comment faire pour se mettre en conformité ?

Voici la méthodologie proposée par la CNIL en 6 étapes :

1. Désigner un chef de projet:

Cette personne peut être le dirigeant ou un collaborateur issu du service du service technique ou informatique.

1.1 Le rôle du Chef de Projet

Il a le rôle de chef d’orchestre de la mise en conformité.

Le chef de projet doit donc être une personne de confiance, techniquement et juridiquement avertie.

Il doit avoir une bonne connaissance du sujet ainsi qu’un accès à toutes les données de l’entreprise.

Attention à ne pas confondre Chef de Projet et DPO !

Dans certaines entreprises ou sous certaines conditions, l’entreprise devra désigner un DPO (Délégué à la Protection des données), sorte de Chef de Projet ++ avec des prérequis et fonctions définies clairement par le règlement.

Cette personne, ne pouvant être juge et partie, sera sous la responsabilité directe du dirigeant d’entreprise qui est authentifié comme le RT (Responsable des Traitements). Le DPO doit être indépendant, avec les moyens de travailler et sera le correspondant privilégié de l’autorité de contrôle : la CNIL.

1.2 Le DPO endossera 3 missions :

  1. INFORMATION ET CONSEIL: il est l’ambassadeur de la conformité en entreprise, il a obligation d’informer le responsable de traitement et les collaborateurs, mais aussi ses sous-traitants sur les obligations et droits en matière de traitement de données.
  2. CONTRÔLE : il est responsable de la bonne application du RGPD. Il doit par un contrôle régulier s’assurer que les données privées recueillies par la société sont traitées conformément au règlement.
  3. VEILLE : il est interlocuteur entre son entreprise et les autorités du RGPD (CNIL). Il a donc le devoir de se mettre en relation avec celles-ci lorsqu’une faille a été détectée lors d’un contrôle d’application.

Même si vous n’êtes pas dans le cas où vous DEVEZ désigner un DPO, il est utile que votre Chef de Projet endosse les mêmes habits, travaille avec les mêmes méthodes, afin de faciliter votre travail de mise en conformité.

Bonne nouvelle : des formations existent pour votre futur Chef de Projet ou futur DPO !

  • OPTIMEX DATA, labellisée par la CNIL pour ses formations
  • Sciences Po Paris délivre par exemple une formation de 14 jours répartis sur cinq mois.
  • L’université Paris II Panthéon Assas propose quant à elle un diplôme en 120 heures réparties sur l’année.
  • La société DPMS, précurseur dans le conseil en protection des données privées, délivre aussi une formation en 2 fois 3 jours ouvrant la possibilité de se faire certifier DPO par Bureau Veritas, seule certification disponible à ce jour.
  • Au-delà de ces formations courtes, on voit même apparaître des Masters spécialisés comme celui de l’ISEP (Institut supérieur d’électronique de Paris) intitulé : « Management et protection des données personnelles ».
  • Les DPO français peuvent adhérer à la l‘UDPO, la fédération française des DPO.
  • Les formations de Thiébaut Devergranne, docteur en droit, expert en matière de protection des données personnelles

Sources :
Les Échos
Daf Mag

2. Cartographier vos traitements de données personnelles

Toutes les activités de traitement de données personnelles faites par votre société ainsi que vos sous-traitants devraient être recensées via un registre.

Cette étape sera ainsi l’occasion de notifier les mesures de sécurité précises déployées pour minimiser les risques d’accès non autorisés aux données. Prenez un moment avec vos responsables RH, Financier, Technique, Commercial et Marketing pour lister toutes les sources de données privées dans votre société.

Détaillez pour chacune d’elle, la finalité et la légitimité de la collecte et du traitement, le degré de sensibilité de ces données, les données dites ultra-sensibles concernent par exemple les coordonnées bancaires, la religion, l’orientation sexuelle.

La mise en conformité de celles-ci doit être votre priorité.

3. Prioriser vos actions

Une fois l’ensemble des traitements des données recensées dans le registre, votre chef de projet va devoir observer les zones où il y a non-conformité aux obligations légales de protection des données et des processus et/ou outils informatiques devront être mises en œuvre pour garantir la sécurité de celles-ci.

Une hiérarchisation devra être effectuée en tenant compte des risques pour les atteintes aux droits et libertés des personnes concernées.

RGPD EUROPE

4. Gérer les risques

Si, au moment de répertorier les traitements, vous avez cerné des zones de risques pour les droits et libertés des personnes concernées, vous devrez effectuer une analyse d’impact sur la vie privée pour chacune de ces activités.

En clair, l’idée est de trouver quels sont les traitements pour lesquels une perte ou un vol de données mettraient en danger les personnes concernées. (Exemple perte d’information CB, numéro Insee, données biométriques, etc..)

Mettez en place tous les systèmes possibles pour y pallier ! un Firewall par exemple. Pensez aussi à sécuriser tous les accès : boites mail, identifiants ERP/CRM, accès mobiles… Il existe même aujourd’hui des systèmes d’authentification à deux facteurs !

Si toutes les mesures mises en place ne permettent pas de réduire les risques en dessous d’un seuil acceptable (défini dans l’outil EIVP de la CNIL)…vous devrez demander à la CNIL de valider et autoriser votre traitement…et ceci préalablement à sa mise en place.

5. Organiser les processus internes

Il s’agit maintenant de rédiger des procédures internes à respecter en permanence par tous les collaborateurs pour garantir la confidentialité et la sécurité continue dans le traitement des données.

N’oubliez pas que la sécurité des données peut aussi être imposée à vos collaborateurs dans la Charte Informatique de votre entreprise, laquelle doit être soumise aux IRP (CE, CHSCT) et déposée auprès du Greffe du Tribunal des Prud’hommes.

6. Documenter

Vous êtes en conformité, ou en cours de l’être, et c’est tant mieux, encore faut-il que vous puissiez le prouver !

Votre DPO (si vous êtes concerné) ou votre Chef de Projet, doit régulièrement tenir à jour des comptes rendus des actions de sécurisation avec l’état des lieux des risques et menaces et l’avancement de votre plan d’action de mise en conformité.

La CNIL sera en droit de demander à n’importe quel moment un historique de votre gestion de la protection de données.

Sources :
CNIL
L’usine Digitale
Orange Business Services

Par ou commencer pour rendre votre entreprise conforme au RGPD ?

Alors le mieux est d’écouter le témoignage de T Devergranne, Docteur en Droit. Il donne une réponse simple et pragmatique.

Vous pouvez consulter son blog ici

Et combien ça coûte ?

Le cabinet de conseil en management Sia Partners a évalué le coût de la mise en conformité à 30 M d’euros en moyenne pour un groupe du CAC 40 et plusieurs milliers d’euros pour une PME.

Il est encore difficile à ce jour d’avoir une idée très précise de la note, car selon une étude réalisée par Symantec auprès de 900 entreprises de toutes tailles, seulement 10% d’entre elles estiment être prêtes.

Source :
Les Échos article 1

Les Échos article 2

Si je ne suis pas en conformité au 25 mai 2018, que se passe-t-il ?

En théorie et selon le règlement, les sanctions applicables en cas de manquement au RGPD s’élèvent à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel (la valeur la plus élevée étant retenue).

Néanmoins pas de panique !

La CNIL a conscience du grand retard des entreprises dans leur mise en conformité et fera preuve de souplesse et d’accompagnement.

Dans un entretien publié par Les Échos, Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés affirme que « Le 25 mai ne sera pas une date couperet annonciatrice d’une pluie de sanctions ».

  • Un guide d’accompagnement sera même coédité avec la Banque publique d’investissement (BPI) à destination des petites et moyennes entreprises qui n’ont pas les moyens de s’offrir les services de consultants externes.
  • De même, l’AFNOR est en cours de rédaction d’un Guide des Bonnes Pratiques RGPD à l’usage des TPE et PME qui devrait être publié d’ici fin 2018.

Sources :
Les Échos
La Tribune

Place désormais au témoignage d’Olivier Mondin, qui accompagne les sociétés dans la sensibilisation, la formation et l’audit aux problématiques RGPD:

1. Selon vous, quelles sociétés sont concernées par ce règlement ?

PME comme grands groupes sont concernées.

Pour faire une image simple, tout le monde est concerné par le Code de la route, que vous soyez transporteur routier ou simple conducteur occasionnel et même cycliste.

Les activités BtoB comme BtoC sont concernées.

Il faut regarder le RGPD non pas comme un cadre qui définit qui doit se conformer…

Mais comme un guide qui dit « Vous collectez ou traités des données privées… Prenez-en soin et assurez la sécurité des données qui vous sont confiées ».

Un petit laboratoire d’analyse médicales de 3 personnes fait courir plus de risques à ses patients (personnes concernées) qu’une ETI de 250 personnes qui fabrique des cartons d’emballages vendus à des grossistes.

Les deux doivent répertorier ce qu’elles collectent comme données privées.

Puis prendre le temps de définir ce qui doit être collecté et ne collecter que cela.

Et enfin, définir des moyens de protection et des durées de conservation qui ont du sens.

2. Par quoi une société doit-elle commencer pour se mettre en conformité du RGPD ?

Elle doit avant tout regarder ce qu’elle a déjà fait pour être conforme à la Loi Informatique et Liberté.

Mais beaucoup d’entre elles n’ont rien fait depuis 40 que la loi existe. Ensuite, se poser quelques questions :

  • Quels sont mes traitements ?
  • Pourquoi les fais-je ?
  • Les personnes concernées sont elles au courant ?
  • Ai je bien la légitimité de faire cela ?
  • Fais je cela tout seul…ou avec des intervenants extérieurs ?

Une fois que l’on a répondu à ces questions, on a déjà fait une grosse partie du travail.

On peut passer ensuite à l’analyse des risques liés à ces traitements.

3. Les 6 étapes de mise en conformité proposées par la CNIL sont-elles applicables à toutes les entreprises?

La CNIL est l’autorité de contrôle en France.

Nous avons de la chance, le travail de la CNIL depuis 40 ans est considérable.

Et il existe beaucoup de traitements généraux, que toutes les entreprises utilisent qui sont très bien documentées et expliquées sur son site internet.

Les traitements comme le recrutement, la gestion client fournisseur, la compta, la paye, etc.suivent des normes simplifiées (NS) ou même des dispenses (DI) que tout le monde peut consulter.

Et dont il est très facile de mesurer l’écart entre ce qui est autorisé…et ce que l’entreprise fait réellement.

Quant à la démarche de mise en conformité en 6 étapes de la CNIL, elle est bien évidemment applicable à toutes les sociétés.

Mais elle reste très générale. Ce n’est finalement rien d’autre qu’une démarche de gestion de projets.

Dans les TPE et PME, une démarche Light et rapide suffit souvent à identifier les points de non-conformité.

Et d’y trouver des solutions pragmatiques et peu coûteuses…

À condition d’en avoir la volonté et de connaître le cadre juridique existant ainsi que les contraintes légales du métier concerné.

Olivier Mondin RGPD

Olivier Mondin RGPD

4. Avez-vous des exemples concrets d’actions à mettre en place ?

Premièrement, regardez sur le site de la CNIL l’ensemble des Normes Simplifiées et des Dispenses. Vous pourrez vérifier que vous faites déjà cela dans les clous.

Ensuite…répertoriez tout le reste de vos activités traitants des données personnelles. Et notamment celles qui ne tombent pas dans le cas de Normes Simplifiées ou de Dispenses.

Notez quelque part quelles sont les contraintes réglementaires (s’il y en a) que votre secteur ou métier impose.

Je pense qu’une fois ce travail fait vous avez déjà pas mal avancé. La mise en conformité devient ensuite beaucoup plus simple.

5. Pensez-vous que les sociétés peuvent les appliquer seules?

Toute société peut se mettre en conformité toute seule… mais cela dépend de son degré de maturité à la contrainte règlementaire. Certains secteurs sont très réglementés, ils ont l’habitude de ce genre d’exercice.

Cela dépend aussi de la connaissance du Règlement RGPD en interne. La courbe d’apprentissage peut être assez longue.

Pour ne pas se disperser de son activité cœur de métier un conseil externe peut finalement être une solution rapide.

6. À quel moment une société peut elle se faire accompagner ?

Elle peut se faire accompagner à tout moment. Ce n’est pas la question finalement.

Ce que nous voyons sur le terrain c’est à quel moment elles demandent à se faire accompagner et pour quelles raisons.

Et là nous avons 3 cas de figure :

  1. Le dirigeant a peur de la lourdeur des sanctions de ce règlement
  2. Le dirigeant voit dans la mise en conformité un avantage concurrentiel
  3. La société est sous-traitant d’un donneur d’ordre qui exige la mise en conformité

En tant que conseil il est évident que la démarche est beaucoup plus agréable dans les 2 derniers cas.

7. Doivent-elles travailler avec un conseiller spécialisé?

Ce n’est pas obligatoire, mais ça peut être très utile.

Un consultant spécialisé pour mettre mes traitements en conformité et vous trouver des solutions process fera très bien l’affaire.

Pour vos contrats, vos informations légales ou un audit en cours de votre démarche, un avocat peut aussi être très utile.

En revanche je vous déconseille de prendre uniquement un avocat.

Si vous ne voulez pas vous retrouver avec 200 pages de textes qui pointent par le menu toutes vos « non-conformités », mais qui ne vous accompagne pas dans vos activités, vos process, vos documentations.

La conformité au RGPD est réellement un travail conjoint entre un conseil juridique et une démarche sur les hommes et l’organisation.

8. Une TPE ou PME peut-elle envisager de se mettre en conformité sans aide extérieure ?

Absolument, si elle ne traite pas de données sensibles elle peut envisager de faire le travail seule. En revanche, renseignez-vous, formez-vous, il y a quelques subtilités à côté desquelles il faudrait ne pas passer.

Un exemple parmi d’autres est l’utilisation de Cookies sur votre site… Qui peut très bien vous faire passer d’une simple TPE sans obligation à une cible potentielle pour une grosse amende.

9. Quel est votre rôle de conseil et d’accompagnement des entreprises dans la mise en conformité du RGPD?

Initialement je suis ingénieur et consultant en organisation spécialisé en management et optimisation des activités. J’ai donc utilisé cette compétence pour regarder les activités des entreprises sous la loupe du RGPD. Nous travaillons avec une approche très pragmatique.

  • Savoir ce que l’on traite
  • Pourquoi on le traite
  • Supprimer ce qui est inutile
  • Se concentrer sur l’essentiel
  • Ensuite on vient mettre en place tout ce qui réduit le risque et met nos clients en conformité.

Pour cela nous travaillons avec un réseau de spécialistes métiers (exemple Livraison du dernier kilomètre) et process (exemple : RSSI).

10. Quel est le coût d’un accompagnement externe ?

Il y a le coût d’un audit initial (5 à 10 jours hommes), puis le suivi des plans d’actions.
Cela peut aller pour une petite entreprise de 3000 euros pour un simple audit. Et jusqu’à plusieurs dizaines de milliers d’euros en fonction du nombre de traitements et de leur criticité.

La plupart des PME et TPE ont entre 5 et 10 traitements, cela peut aller très vite.

Ensuite il y a nos prestations de DPO externalisé, et cela est un Fixe mensuel en fonction du nombre de jours de travail mensuel, forfaitisé.

11. Comment s’assurer que ma société est conforme à 100% au RGPD et ne risque pas d’amende?

Pour l’instant il n’existe aucun organisme certificateur et je ne suis pas sûr qu’il en existe un jour.

Comme pour la qualité, vous pourrez, je pense, être certifié dans votre démarche et vos méthodes pour la mise en conformité.

Mais probablement jamais dans votre conformité elle-même.

De même que personne ne vous certifiera jamais que votre sécurité informatique est fiable à 100%.

Je pense qu’il faut oublier l’amende quelques secondes et se poser la question essentielle pour tout chef d’entreprise.

« Est-ce que je risque de perdre mes clients si je ne fais pas l’effort ? »

Le RGPD arrive à un moment où finalement le consommateur en a marre d’être traqué du matin au soir.

Et où le parent a peur que la techno asservisse ses enfants, où l’acheteur se méfie du vendeur…etc..

Rassurez-le, et assurez-le (ou votre donneur d’ordre si vous êtes sous-traitant) qu’il peut vous confier ses données et qu’elles ne seront pas dans les 5 prochaines minutes en balade dans la nature pour qu’un escroc, un colporteur, ou qui que ce soit d’autre puisse y avoir accès, en fasse un usage détourné, ou les revende à un tiers.

Qui est Olivier Mondin ?

Olivier Mondin accompagne les sociétés à la sensibilisation, à la formation, à l’audit, et au conseil autour du sujet du RGPD.

Vous pouvez prendre contact avec Olivier Mondin via Linkedin

Témoignage de la société OPTIMEX DATA  présenté par sa Présidente Sandrine RIEUSSEC

Selon vous, quelles sociétés sont concernées par ce règlement?

  1. PME, grands groupes ?… Mais pas qu’eux !
    • PME ou grands groupes
    • collectivités publiques
    • mairies ou métropoles
    • communautés de communes
    • petites ou grandes associations
    • tout le monde est concerné par le RGPD et la protection des données. Car l’objectif de ce texte européen et de ce droit fondamental est de protéger les citoyens.
  2. Leurs activités sont elles en BtoB, en BtoC ?
    • Toutes les activités BtoB et BtoC qui traitent des données personnelles sont concernées.

Afin de définir le niveau d’implication, il convient d’analyser les critères suivants :

  • Taille de l’organisme
  • Secteur d’activité
  • Quantité de données
  • Données sensibles (appartenance syndicale, dossiers médicaux, appartenance religieuse …)

Logo Optimex Data RGPD

Par quoi une société doit elle commencer pour se mettre en conformité du RGPD ?

La conformité au RGPD, c’est avant tout une démarche et une preuve de bonne volonté.

On commence par s’informer sur le sujet en parcourant le site de la CNIL puis on initie des démarches avec les moyens dont on dispose. (Ex : réunion d’information, sensibilisation, formation).

Les 6 étapes de mise en conformité proposées par la CNIL sont elles applicables à toutes les entreprises?

Bien sûr, c’est la raison pour laquelle on parle de « pilote » et non de Délégué à la protection des données.

De « Cartographie » et non de Registre.

Toutefois, les étapes seront plus ou moins contraignantes en fonction de la société (secteur d’activité, taille, quantité de données traitées).

Avez-vous des exemples concrets d’actions à mettre en place ?

La sensibilisation est la mesure indispensable à mettre en place.

C’est elle qui permet d’initier la démarche de conformité et c’est sur cette sensibilisation que repose tout le processus de conformité.

En effet, on voit mal comment un projet RGPD peut fonctionner sans l’appui de toutes les personnes qui traitent les données.

Dans un second temps, il faut réaliser un audit de ses traitements en commençant par la cartographie (faire une liste des traitements réalisés par l’organisme, avec données traitées et finalité), l’analyse de cette cartographie au regard des principes du RGPD et la réalisation d’un plan d’actions correctives.

Enfin, il faut mettre en œuvre les actions correctives par des mesures concrètes dans chacun des services (création d’une politique de confidentialité pour garantir le droit à l’information des personnes, créer une procédure pour répondre à une demande de droit émanent d’un citoyen, revoir les contrats de travail, fournisseurs, sous-traitants, clients, etc.)

Pensez vous que les sociétés peuvent les appliquer seules?

Rien n’empêche les organismes d’avancer en autonomie sur la protection des données.

Toutefois, cela demande d’avoir une personne avec des compétences multiples (juridiques, financières, organisationnelles et humaines) et une personne qui dispose du temps nécessaire à la formation au RGPD, à la mise en place du RGPD, à la mise à jour du RGPD et au contact avec la CNIL.

Malgré sa complexité, le RGPD est un texte rempli de bon sens.

Bien entendu, nous conseillons à l’organisme de se faire accompagner et de rester dans son cœur de cible et de métier.

A quel moment une société peut elle se faire accompagner ?

Certaines sociétés décident d’internaliser leur projet RGPD et d’avancer en autonomie.

D’autres n’ont pas envie de se saisir de la question et persistent à croire que le RGPD est une nouvelle contrainte pour les PME.

D’autres y voient une opportunité (gagner en confiance auprès de leurs clients ou leurs salariés par exemple).

Actuellement, les demandes émanent souvent de dirigeants qui se font interroger ou interpeller par leurs clients et fournisseurs par rapport à leur conformité au RGPD, en tant que sous-traitant

Doivent-elles travailler avec un conseiller spécialisé?

Dans tous les cas, elles peuvent se faire accompagner à n’importe quel moment par un conseiller spécialisé dans la mise en œuvre des mesures de conformité.

Mieux vaut être bien accompagné lorsque l’on veut se mettre en conformité avec le RGPD.

Pour rappel : 4 ans de négociation au parlement entre les différents acteurs de la data sur un sujet mondial et très sensible, ce n’est pas rien.

Cette mise en conformité va demander l’implication de tous les services internes à l’organisme.

C’est pourquoi, OPTIMEX DATA parle de « Projet RGPD ».

Comment savoir que le conseiller est compétent pour mener à bien cette mission ?

La protection des données est un sujet qui touche à l’organisation des organismes et qui passe par des solutions techniques et organisationnelles mais un bon conseiller doit surtout avoir des compétences juridiques solides afin de traduire les articles du Règlement en solutions adaptées à l’organisme.

C’est d’ailleurs ce que le RGPD rappelle dans son article 37 sur le DPO.

De plus, certains conseillers sont labellisés par la CNIL, gage de sérieux pour les organismes.

C’est le cas de la société OPTIMEX DATA.

Sandrine RIEUSSEC Présidente d'Optimex Data RGPD

Sandrine RIEUSSEC Présidente d’Optimex Data

Une TPE ou PME peut elle envisager de se mettre en conformité sans aide extérieure?

Tout dépend de la stratégie qu’elle a adoptée et des moyens dont elle dispose pour mettre en œuvre sa conformité.

Dans tous les cas, un projet RGPD nécessite un investissement certain pour les entreprises et varie selon ses besoins (secteur d’activité, taille de l’organisme, nombre de site).

Quel est votre rôle de conseil et d’accompagnement des entreprises dans la mise en conformité du RGPD?

Chez OPTIMEX DATA, nous proposons autant l’externalisation des projets RGPD des organismes que l’accompagnement ponctuel de ces derniers.

Nous avons des solutions adaptées à tous les types d’organismes, quelle que soit leur taille et leur secteur d’activité (nous disposons de conseillers spécialisés dans chacun des domaines).

Nous travaillons avec les conseillers de l’entreprise et ses sous-traitants, et également en partenariat avec des sociétés spécialisées en sécurité des systèmes d’information.

Quel est le coût d’un accompagnement externe ?

Le coût varie selon l’ampleur du projet RGPD et dépend autant du nombre de traitement de l’organisme que de la spécificité de ce dernier..

Il faut dans tous les cas garder en tête que la conformité nécessite plusieurs jours de travail.

  • Pour un audit RGPD, il faut compter de 2 à 3 jours minimum pour une TPE
  • et à partir d’une dizaine de jours pour les grandes entreprises, soit un audit RGPD à partir de 2500 € HT.
  • Pour une mission DPO Externe, chaque organisme étant différent, OPTIMEX DATA propose une offre personnalisée, en fonction du nombre de jour à consacrer par an.

Il faut prévoir un budget basé sur un tarif journalier de 800 € HT à 850 € HT.

Qu’est ce cela comprend concrètement?

Un audit RGPD comprend:

  • la sensibilisation des salariés
  • la cartographie des traitements de l’organisme
  • et la feuille de route avec les actions correctives à mettre en place pour être en conformité au RGPD.

Un accompagnement DPO externe comprend :

  1. L’information et le conseil sous forme de sensibilisation et de formation
  2. La mise en place du registre des traitements et de sa mise à jour régulière
  3. La mise en place de documentations techniques et organisationnelles
  4. Le contrôle du respect du RGPD à la fois en interne mais aussi en externe et notamment vis-à-vis des sous-traitants de l’organisme.
  5. Le contact permanent avec l’autorité de contrôle : la CNIL
  6. La gestion des litiges ou des questions, éventuellement.

Comment s’assurer que ma société est conforme à 100% au RGPD et ne risque pas d’amende?

La conformité est un travail de tous les jours puisque l’objectif est de garantir la protection des données personnelles des citoyens.

Une société conforme à 100% est une société qui a intégré la problématique RGPD au sein de son entreprise dans sa globalité (aucun service ne doit être mis de côté) et qui n’a négligé aucun aspect de la protection des données.

En clair, une fois que toutes les actions correctives du projet RGPD de l’entreprise sont réalisées, il n’y a plus lieu de se préoccuper d’un pourcentage de conformité au RGPD.

Comment Contacter Sandrine RIEUSSEC Présidente d’Optimex Data ?

Vous pouvez prendre contact avec Sandrine RIEUSSEC via Linkedin

Alors, comment mettre en conformité mes télécoms ?

Alors à la lecture de ce dossier, mettre en place en conformité votre entreprise au RGPD n’est pas simple.

En ce qui concerne vos télécommunications (votre accès internet, votre standard téléphonique, votre flotte mobile…), nous pouvons vous accompagner pour les sécuriser et vous aider à les rendre conformes au RGPD.

Chez IPEXIA nous accompagnons nos clients depuis plus de 10 ans dans la sécurisation de leurs infrastructures téléphoniques et réseau alors n’hésitez pas à nous contacter si vous sentez le besoin de vous faire accompagner dans vos démarches de mise en conformité RGPD.

Nous vous remercions pour la lecture de ce dossier. Vous pouvez aussi consulter notre Guide « Best Seller » qui explique comment de manière simple vous pouvez augmenter votre débit internet.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *