Votre conformité au RGPD

Votre entreprise souhaite avoir un avis précis sur la conformité globale de son site internet et des données collectées par elle-même et ses sous-traitants (hébergeur, cloud, société de mailings, etc).

Depuis 2018, le règlement de la protection des données personnelles (RGPD s’applique dans chaque pays européen. La non conformité de votre société vous amène à être sanctionné juridiquement et financièrement (jusqu’à 4% de votre chiffre d’affaires mondial). Parmi les priorités de contrôle de la CNIL, la prospection commerciale en fait partie en 2022 (entre autre). L’hébergement de vos données, la durée de stockage, ainsi que le fait de respecter un prospect qui ne souhaite plus recevoir une newsletter sont autant de risques de pénalités financières si ces démarches commerciales ne respectent par le RGPD.

En commençant par un état des lieux avec vos équipes (DSI, DG, marketing, RH…), nous regardons ensemble la conformité des données collectées par votre société. Ce n’est qu’un premier aspect d’analyse auprès de votre équipe.

En cas de cyberattaque ou simple violation de données, si elles ne sont pas sécurisées ou anonymisées et qu’en plus il s’agit de données sensibles (données de santé, financières et beaucoup d’autres), vous devez mettre en œuvre une AIPD (analyse d’impact à la protection des données). Nous vous accompagnons dans cette procédure.

Ce ne sont que quelques exemples d’intervention auprès de votre organisme.

Tout au long de cette mission, nous faisons un résumé des points traités et nous établissons un reporting poste par poste concernant vos données conformes au RGPD.

En matière de protection des données, la relation de long terme est bien sûr privilégiée car la réglementation évolue et il faut impérativement travailler avec un prestataire capable d’effectuer une veille des dernières jurisprudences et préconisations de la CNIL en France.

Accompagner un client sur sa conformité RGPD prend du temps, demande une mobilisation de toutes les équipes, sans exception. Il faut donc un temps d’adaptation et de connaissance de votre marché, de vos activités, ainsi que la confiance des acteurs de votre entreprise. Une mission one shot peut être décevante pour les deux parties. Il faut prendre également en considération la conduite du changement des équipes. La DSI, la RH et le DG sont en général sensibilisées à la protection des données. Ce n’est pas toujours le cas des équipes marketing, commerciales, par exemple…

Néanmoins, pour une mission courte, il est possible dans un premier temps de réaliser un audit pour avoir un instantané de l’existant en matière de respect de la conformité de votre entreprise à un instant T. Nous effectuerons quelques préconisations à mettre en œuvre pour atteindre une conformité optimale de votre société.

Oui, la mission peut tout à fait être externalisée. La plupart des PME, PMI priorisent certains postes qu’elles estiment essentiels à la production et à son développement commercial. C’est pourquoi, avec une dizaine d’années d’expériences dans l’accompagnement d’entreprises, DG, marketing, communication, internet, transformation digitale), nous saurons être à l’écoute de vos équipes et vous proposer un accompagnement sur-mesure, aux créneaux qui vous conviennent, selon des périodes établies ensemble, afin de viser une efficacité concrète dans votre quotidien, dédié avant tout à la production et à la commercialisation de vos produits ou services.

C’est une question que se posent de nombreux décideurs avant de s’engager avec un prestataire ou un salarié, lors d’un premier contact ou d’un recrutement.

Compte tenu de l’audit qui est établi en début de mission, nous prenons en considération à vos côtés la tâche à accomplir pour atteindre une conformité de votre entreprise. Et nous vous proposons un planning de mise en place.

Pour atteindre une véritable efficacité et faire de votre conformité un réel avantage concurrentiel dans votre secteur, il est souhaitable de se projeter sur le moyen/long terme pour mettre en place une mission d’accompagnement.

Le RGPD est une réglementation européenne qui peut paraître complexe pour une entreprise. Il est donc fortement conseillé de se faire accompagné(e) pour avoir un point de vue de spécialiste juridique (certifié ou diplômé comme DPO) afin d’avoir un avis à la fois objectif et qui tiendra compte des axes de progression pour atteindre une conformité optimale pour votre site internet, vos données clients, prospects, personnelles.

Vous pourrez aussi estimer, de manière totalement impartiale, si votre sous-traitant respecte lui-même le RGPD (hébergeur cloud, société de e-mailing, prestataire commercial externalisé, etc)
En effet, selon le RGPD, vous êtes responsable non seulement des données de votre entreprise mais également de celles traitées par vos sous-traitants.

Cas concret : Pour information, la CNIL a condamné puis fait fermer une société de vente de repas qui pillait abusivement des adresses e mail (plus de 600 000) dans le cadre de sa prospection commerciale pour des livraisons de repas.

Le DPO d’une entreprise ou d’une administration demeure le référent pour la conformité de votre organisme avec qui tous les services traitent au quotidien (tenue du registre, AIPD, sensibilisation et formation au RGPD en interne et en externe, compte-rendus avec la direction…).

En fonction de la taille de votre établissement ou de la surcharge de travail à effectuer (des centaines de milliers de données à mettre en conformité, suite à un traitement des datas réparti dans de nombreuses filiales ou pas toutes encore numérisées, etc), vous pouvez avoir besoin d’un soutien ponctuel pour vous assister dans cette démarche.

N’attendez surtout pas une notification de la CNIL pour agir. Il serait sans doute trop tard ! N’hésitez pas à avoir recours à un DPO ou assistant DPO en soutien de vos démarches de conformité qui dans certains cas peuvent s’avérer fastidieuses et chronophages. Nous serons à vos côtés pour avancer en équipe de manière structurée. La confidentialité demeure la base du métier du DPO, quelque soit la catégorie de données à traiter.

Voici quelques définitions qui vous permettront d’y voir plus clair dans les mots liés au RGPD :

AIPD : analyse d’impact relative à la protection des données

Autorité chef de file : C’est lorsqu’une autorité de contrôle (cf CNIL) européenne assume la responsabilité principale de la gestion d’une activité de traitement transfrontalier.

Big data : désigne les méga données collectées par les entreprises de toutes les industries afin de dégager des informations précieuses qu’on peut croiser.

CEPD : Comité européen de la protection des données (remplace l’ancien groupe de l’article 29)

Click and collect : le client commande un produit en ligne et le retire au magasin.

Cloud : accès à des serveurs informatiques (serveurs stockage, mise en réseau logiciels)via internet

CNIL : Commission nationale de l’informatique et des libertés

DPC : Data protection commission : correspond à la CNIL irlandaise

DPO : Délégué à la protection des données (Data protection officer)

GAFAM : désigne les 5 géants du web : Google, Amazon, Facebook, Apple et Microsoft

LIL : loi informatique et libertés

Opt’in (e-mail) : le fait d’envoyer un mail en tenant compte de l’accord de la personne ayant clairement exprimé son intérêt au préalable (cocher une case par exemple).

RGPD : Règlement général sur la protection des données

RSSI : Responsable de la sécurité des systèmes d’informations

Spamming : action d’envoyer des mails non sollicités en masse à des destinataires n’ayant pas donné leur accord au préalable.