NOTRE PROCESS
Le détail de notre méthodologie
Une méthodologie 100% personnalisée
Nous accordons une place importante à toujours délivrer des prestations personnalisées et adaptées à vos spécificités et vos problématiques.
Une méthodologie rapide
Notre méthodologie permet notamment de réduire le temps de mise en conformité d’une structure par 3 en moyenne.
Une économie financière qui est non négligeable.
INTRODUCTION
Une méthodologie qui s'adapte à vos besoins
Notre méthodologie se décompose en 4 phases pouvant être réalisées de manière indépendantes suivant le choix d’accompagnement. De ce fait, vous êtes libre de choisir de commencer par un audit complet de votre organisation, de faire votre conformité en interne et d’externaliser simplement les tâches les plus chronophages.
Les phases 2 & 3 sont souvent exécutées simultanément pour permettre une mise en conformité plus rapide.
01
AUDIT GLOBAL
Un audit complet à travers l’ensemble de votre structure et couvrant toutes les thématiques du RGPD (SI, juridique, RH, …).
ACCOMPAGNEMENT
Un accompagnement pour vous permettre de corriger rapidement les points de non-conformité grâce à nos compétences et notre expérience.
EXTERNALISATION
L’externalisation des tâches les plus longues à réaliser afin de vous faire gagner du temps et faciliter votre mise en conformité.
04
DPO/DPD
Nomination d’un Délégué à la Protection des Données (DPD/DPO) afin de maintenir votre organisme en conformité RGPD.
PHASE 1
Audit global de la structure
L’audit est la première phase essentielle de la méthodologie car il permet d’analyser une organisation en profondeur et sous tous les angles. Il sera alors possible de savoir avec plus de précision les points de non-conformité aux principes du RGPD.
01. Réunion de lancement de mission
Au cours d’une première réunion, la procédure d’audit sera présentée à l’ensemble des membres de la Direction.
Il sera alors question de son organisation : dans quel service ? quels jours ? en présence de quels interlocuteurs ? combien de temps ? …
Une courte sensibilisation sur les enjeux du RGPD est également prévue afin de pouvoir partir sur une base de connaissance minimale.
02. Réalisation de l’audit
Des entretiens seront organisés avec l’ensemble des services concernés et désignés lors de la réunion précédente. Les audits porteront sur différents sujets :
– Audit juridique (analyse des contrats clients, salariés, sous-traitants, mentions légales, …)
– Audit du système d’informations (analyse des logiciels utilisés, vérification des données sur le cloud, …)
– Audit des Ressources Humaines (process de recrutement, traitement des dossiers du personnel, …)
– Audit express de la conformité des sous-traitants directement en lien avec de la donnée personnelle
– Audit de la sécurité physique des lieux
– Audit organisationnel (gestion des habilitations, habitudes en place, …)
03. Rédaction du rapport d’audit
Une fois l’ensemble des audits réalisés, il sera temps de rédiger un rapport d’audit qui se décompose de la sorte :
– Recensement et tri des fichiers contenants des données personnelles
-Analyse du site interne
– Analyse du respect des droits des individus en interne et en externe
– Analyse de la sécurisation des données personnelles
– Analyse de la documentation de la conformité RGPD
– Brève analyse de la conformité des sous-traitants directs
– Évaluation générale de la conformité de la structure
– Listing priorisé des préconisations suivant le degré d’urgence et la charge de travail
PHASE 2
Accompagnement dans la
mise en conformité RGPD
Une fois l’audit global réalisé, il est essentiel d’amorcer rapidement une phase de mise en conformité aux principes du RGPD afin de profiter de l’inertie en interne. Notre équipe sera là pour vous accompagner à toutes les étapes de la mise en conformité RGPD pour vous permettre de gagner plusieurs jours de travail grâce à notre expérience.
04. Correction des problèmes critiques
Lors de cette première étape de l’accompagnement, il s’agit de mettre en place l’ensemble des préconisations les plus urgentes et les plus rapides à mettre en place.
Cette étape se traduit notamment par la proposition de solutions rapides à déployer, la réalisation de réunions pour expliquer les changements aux équipes, la rédaction de notes internes explicatives, …
Cela permettra de colmater les failles les plus problématiques afin de pouvoir prouver sa bonne foi dans le processus de mise en conformité au RGPD.
05. Sécurisation de la relation avec les sous-traitants
La relation avec les sous-traitants est un point majeur du RGPD. Il est nécessaire de rapidement sécuriser la relation avec chacun des sous-traitants qui ont un accès direct à de la donnée personnelle que vous possédez. Cela permettra de réduire le risque que cela représente.
Cette étape passe notamment par l’analyse des niveaux de conformité des sous-traitants, du degré d’exposition, de la sécurisation des échanges de données, de la révision des contrats, etc …
06. Correction des points complexes
Il sera alors temps de travailler sur les points de non-conformité qui sont les plus complexes dans la structure et qu’il était impossible de régler simplement dans l’étape 4.
Ces points peuvent être par exemple :
– la gestion du fichier prospects,
– la gestion de la newsletter,
– le respect des délais de conservation des données au niveau informatique
PHASE 3
Externalisation
de la mise en conformité RGPD
Durant cette phase capitale, il sera question d’externaliser à notre cabinet toutes les tâches techniques et chronophages.
Ainsi, vos équipes ne seront pas bloquées dans la réalisation de ces nombreuses sous-tâches.
07. Rédaction de la documentation
La rédaction de la documentation est un élément central dans le processus de mise en conformité RGPD en raison du principe d’Accountability (Art. 5).
Cette obligation particulièrement chronophage impose notamment la rédaction de plusieurs documents exhaustifs, à savoir :
- Un registre des traitements complet
- Une cartographie des traitements
- La rédaction d’une Analyse d’Impacts sur les Données Personnelles (AIPD ou PIA) si cela est nécessaire
- La rédaction d’une politique de conservation des données
- La rédaction d’une procédure en cas de violation des données
- Une lettre d’information à destination des clients
- Une lettre d’information à destination des salariés
- La rédaction de formulaires de recueil de consentement
- La rédaction de plusieurs procédures en cas d’exercice des 8 droits relatifs aux données personnelles (droit d’accès, de limitation, de portabilité, …)
- …
08. Modification des documents juridiques
La mise en conformité impose la révision de la plupart des documents juridiques de l’organisation afin d’inclure des clauses relatives à la gestion des données personnelles.
Les documents modifiés sont :
- Les contrats salariés (CDD, CDI, AT, …)
- Les contrats clients
- Les contrats avec les sous-traitants
- Les mentions légales
- …
Cela permet notamment de réduire les failles potentielles, de préciser les obligations de chaque partie, d’informer les personnes de leurs droits et possbilités …
09. Sensibilisation du personnel et formation des cadres dirigeants
Afin d’assurer une mise en application effective des changements provoqués par la mise en conformité RGPD par l’ensemble du personnel, il est primordial de les sensibiliser.
Des sessions de sensibilisation seront donc organisées. Ces sessions seront découpées en plusieurs parties :
- En quoi le RGPD était-il si nécessaire?
- Notions clés du RGPD
- Changements en interne
- Questions/Réponses
- Introduction à la cybersécurité et aux bonnes pratiques
- Quiz
De plus, les cadres dirigeants seront également formés plus en profondeur sur le sujet, notamment sur les principes de Privacy by Design, principe de minimisation, de limitation des finalités, …
Cette formation permettra aux cadres de bénéficier d’une base de connaissance plus importante et donc d’une plus grande aisance dans l’utilisation de ces notions et dans l’implémentation dans leurs activités quotidiennes.
Phase 4
Maintien de la conformité RGPD par le DPO
Une fois la mise en conformité effectuée, il sera nécessaire de nommer un Délégué à la Protection des Données (DPD/DPO) afin de maintenir votre organisme en conformité RGPD. Les missions sont très nombreuses. Il peut être nommé en interne ou externalisé à notre cabinet pour réduire les frais d’une embauche.