Mise en conformité Protection des données personnelles

Opérationnel et sans tuer la performance

IACOLARE Vincent

Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018. Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français.
Si certain l'aborde sous un angle purement juridique ou en mode silo (un sujet de plus, à part entière), Synertal l'aborde sous un angle plus pragmatique et opérationnel.

        Sur-mesure et adapté aux besoins de chacun

        Une approche sur-mesure structuré en 8 axes :

        • axe "contexte " (caractéristiques de l'organisme, du pilote; politique, contexte de mise en œuvre...)

        • axe "DCP" (supports informationnels, données personnelles, sensibilité, utilité, caractéristiques de la données, traitement réalisé...)

        • axe "traitement" (groupes de données, sensibilité, finalité du traitement, caractéristiques du traitement, destinataires, sous-traitants impliqués...)

        • axe " analyse de risque (PIA)" (traitement, risques, évaluation, mesures existantes, niveau de risques, actions de traitement, risque résiduel...)

        • axe "sous-traitant" (Sous-traitant, donnée/ traitement concerné, caractéristiques, pilote, contrat, moyens de maîtrise...)

        • axe "plan d'action résultante" (quoi, qui, quand, avancement...)

        • axe "rapport d'activité" (Date, nature action/ activité, libellé...)

        • axe "conformité" (démonstration de conformité)

        Selon vos compétences, intérêts et possibilités nous vous accompagnons à quatre niveaux :

        •     nous vous formons à la mise en conformité RGPD, et vous vous chargez de la mise en œuvre en toute autonomie

        •     nous vous formons à la mise en conformité RGPD et vous proposons un pack support niveau 2 et  3 pour vous accompagner sur les questions/ validation/ cas particuliers...

        •     nous vous formons à la mise en conformité RGPD et mettons à votre disposition d'un kit de mise en œuvre sur-mesure et pratique (Si ce kit doit être réutilisé plusieurs fois, pour plusieurs entité, chaque utilisation supplémentaire nécessite le paiement d'une redevance).

        •  nous prenons en charge la mise en conformité RGPD (DPO externalisé).

        Texte Odoo et bloc d'image
            Odoo image et bloc de texte

            Un kit de mise en œuvre  sur-mesure et pratique

            A partir de votre contexte et existant, notre kit permet de mettre en œuvre le juste nécessaire en s'appuyant sur des recommandations, grilles, matrices... pré-définies permettant de cartographier les données à caractère personnel, de cartographier les traitements, d'établir l'analyse de risques et d'impacts, de définir les moyens de maîtrise adaptée (maîtrise de la sous-traitance, documentation, surveillance-mesure, clauses contractuelles...), de démontrer la conformité.
            Le kit se compose :
            - d'un support de formation,
            - d'un registre complet adaptable au contexte pour la mise en application, étape par étape limité à des feuilles de type tableur, logiques et simples mais très complètes : données, traitements liés aux données, risques associés aux traitements, mesures pour éviter les risques, démonstration de conformité, pilotage et suivi de mise en œuvre
            - de documents et clauses juridiques type.

            Plan d'actions de mise en œuvre

             1) Présentation de la méthodologie RGPD
            2) Etat des lieux :  Réunion de démarrage avec la Direction, cartographie des données personnelles et des traitements, rédaction du registre des traitements, analyse d'impact et de risques pour les traitements critiques et la protection des données personnelles, identification des dispositions existantes en réponses aux risques, mobilisation des sous-traitants (co-responsables de traitement), plan d'actions pour les dispositions manquantes (avec recommandations, consignes, modeles...) (a),

            3) Réunion de restitution avec la direction

            4) Mise en conformité :  priorisation des actions de mise en conformité RGPD, sensibilisation  de(s) dirigeant(s) et managers

            5) Maintien en conformité : documentation de la conformité

            (a) L'écriture des dispositions manquantes n'est pas incluses.
            (b) mises à disposition  des méthodes, outils, modèles, guides, support de formation… propriété de Synertal , protégées par copyright et déposés (protection propriété intellectuelle), sans qu'ils puissent être diffusés, communiqués, reproduits sous quelque forme que ce soit, ré-utilisés sans accord écrit de Synertal.  

            Texte Odoo et bloc d'image

             Nos atouts : opérationnel et conforme sans tuer la performance

            La mise en œuvre du RGPD n'est pas si compliquée que ça :

            • le site de la CNIL propose un arsenal de guides, modèles, bonnes pratiques, ...

            • de nombreux MOOC existent (donc le MOOC de la CNIL)

            • des formations de DPO sont proposées par divers organismes

            • les avocats, conseils juridiques, direction juridiques apportent un soutien utile

            L'approche Synertal est tout autre :

            • nous ne faisons pas du RGPD un sujet à part entière mais un sujet intégré dans le management naturel de l'entreprise, accessible à tous, utile aux dirigeants

            • nous agissons en phase avec les valeurs de responsabilité et intégrité, nécessaires à garantir une relation de confiance avec les propriétaires de données  (éviter la collecte de données, puis réduire les traitements et les risques de ce qui ne peut être éviter, opter pour des options en faveur des propriétaires de données....)

            • nous faisons du RGPD un atout plus qu'une contrainte

            • notre boite à outils RGPD (kit de mise en œuvre présenté ci-avant) est pratico-pratique, simple mais très complet

            • notre approche est modulable et adaptable au contexte, type et nature des données de chaque entreprise

            • notre mise en œuvre est logique : on s'intéresse aux données, puis aux traitements, aux risques, aux mesures, au suivi de mise en œuvre et enfin à la conformité à la conformité

            • notre démarche RGPD est intégrée au système de management de l'organisme (voir Ignite talk sur le site beeznet)

            • notre dynamique intègre les aspects juridique, sensibilisation, responsabilisation, démonstration de conformité...

            • nous mobilisons tous les acteurs concernés (la direction, le pilote ou délégué à la protection des données, les responsables de traitement, les sous-traitants...) et leur transférons les compétences pour les rendre autonomes.

            Le principe de mise en œuvre, adapté et ajusté au contexte de chacun s'appuie sur le diagnostic-formation-action visant à bâtir un système simple et facile à entretenir et à maintenir dans la durée.