RGPD Flash

1 journée pour déployer le RGPD

Depuis mai 2018, vous êtes responsable des données personnelles qui passent entre vos mains.

Le RGPD génère pour les entreprises un haut risque de réputation et d'amende. 

Pourtant les dirigeants ont du mal à prendre en main ce sujet très technique.

Nous venons 1 journée sur place pour faire ce qui est nécessaire.

R-G-P-D : 4 lettres qui font frémir les patrons de toute l'Europe 😨😱😰

Le Règlement Général sur la Protection des Données : c'est la législation européenne qui encadre les données personnelles.

Elle s'applique aux entreprises, aux associations et aux collectivités.

 

Elle modifie profondément votre responsabilité en terme de respect de la vie privée.  Que ce soit envers vos prospects, clients ou salariés.

Aujourd'hui tous les métiers manipulent des données personnelles :

  • Que ce soit le fleuriste du coin de la rue pour gérer sa carte fidélité. Livrer des fleurs pour la fête des mères ou avoir une activité de relais-colis.

  • Une usine de décolletage qui a besoin de gérer les paies de sa vingtaine de salariés. De trouver régulièrement des CV et mobiliser des intérimaires pendant la saison forte.

  • L'hôtel où vous passerez vos prochaines vacances d'hiver. Qui aura besoin de données pour suivre votre réservation, mais aussi informer l'office de tourisme et vendre des forfaits de ski en option.

  • Un dentiste qui garde en archive votre dernière radiographie dans le dossier médical. Et qui a besoin de se souvenir de votre allergie.

La motivation de cette législation est de protéger le consommateur : Elle valorise le fait qu'un professionnel ne traitera que les informations pour lesquelles il est légitime.

L'intention est louable, mais la mise en place pose énormément de questions :

  • Qu'est ce que je dois faire concrètement ?

  • Est-ce qu'il faut que je nomme un Délégué à la Protection des Données ?

  • Est-ce que je vais pouvoir continuer à faire du marketing ?

  • Est-ce que c'est obligatoire ?

  • Comment respecter le RGPD ?

  • Combien de temps est-ce que je peux garder les données sur mes clients ?

  • Est-ce que je peux continuer à utiliser ce logiciel très pratique basé aux états unis ?

  • Est-ce que je peux mettre en oeuvre une vidéosurveillance pour surveiller mon personnel ?

  • Combien est-ce que ça va me coûter ?

  • Est-ce que le RGPD peut apporter quelque chose à ma boite ?

Notre méthode RGPD Flash est probablement la meilleure opportunité pour les organisations qui veulent que quelqu'un s'occupe du sujet avec elle. Tout en leur donnant la culture nécessaire pour comprendre les enjeux et règles.

Vous êtes en retard ! 😢

Le projet n'est pas vraiment nouveau. Il est en gestation dans les instances de l'Union Européenne depuis début 2012.

Nous avons par ailleurs en France depuis 1978 la loi Informatique et Liberté.

Le grand public entendra largement parler du RGPD depuis le 25 mai 2018 qui est la date de mise en application.

Que s'est-il passé depuis ?

 
 

Vous devez consacrer de l'énergie pour traiter le RGPD

Le règlement a le défaut d'être massif : 99 articles (pdf). Quand on l'imprime, cela représente un lourd pavé de 88 pages. 😪

Les PME sont mal outillées pour pouvoir l'analyser, en tirer la substance et se mettre en conformité.

Pour prendre en main le sujet, il faut l'alliance de 3 expertises pointues :

  1. - Juridique

  2. - Marketing

  3. - Informatique

Il est rare d'avoir une personne qui soit à l'aise sur les 3 sujets et qui puisse y consacrer du temps.

Les grandes entreprises on pu allouer du budget et recruter des services spécialisés. Mais c'est compliqué, voir impossible pour les structures plus petites.

De grands pouvoirs impliquent de grandes responsabilités

La principale critique autour du RGPD est qu'il ne fait pas vraiment de différence entre les petites entreprises et les multinationales :

Que vous ayez 5 salariés ou des milliers de personnes dans le monde entier, vous êtes logés à la même enseigne.

Il y a cependant une hiérarchie dans la nature des données personnelles traitées.

  • Plus vous avez du volume de données et plus vous êtes en risque

  • Plus vous détenez des données sensibles, et plus vous êtes en risque

Nous venons une journée sur place pour faire ce qu'il faut 🎈

Dans les 6 mois qui précédaient la mise en application du RGPD (2018), nous avons fait plancher notre équipe d'experts pour créer une méthode.

Elle a été conçue conjointement par notre équipe SI, juridique et de consultants en organisation.

 

Elle permet de faire un état des lieux et de mettre en place les principales briques demandées par la loi.

Nous avons fait évoluer la méthode au fil des 2 dernières années pour la rendre de plus en plus performante.

 

Le résultat : Nous sommes maintenant capable d'intervenir en 1 journée sur place dans la plupart des PME. Alors qu'il faut habituellement plusieurs jours.

Comment se déroule un audit RGPD Flash en 1 journée ? 🦾

Le matin :

  • Vous former aux obligations principales du RGPD

  • Comprendre comment vous travaillez (organigramme, logiciels, sous-traitants...)

  • Dessiner les contours de la cartographie des données personnelles traitées dans l'entreprise

 

L'après midi :

  • Nous commençons à rédiger le registre des traitements

  • Revue technique des points sensibles de votre infrastructure informatique

  • Identifier les failles dans vos documents (site internet, contrats clients, contrats avec des partenaires...)

  • En fin de journée : faire un bilan sur les points forts et risques dans votre entreprise

Dans les jours qui suivent nous vous remettons :

  • Un rapport d'audit RGPD attestant de votre démarche et des actions mises en place

  • Votre cartographie des données à caractères personnelles

  • Votre registre de traitement des données personnelles

  • Votre registre des sous-traitants et partenaires

Notre méthode est idéale pour ceux qui veulent comprendre l'essentiel et avoir un résultat rapide. En général, nous vous livrons notre rapport et registre dans les 10 jours qui suivent notre audit.

 

💌 Ce que nos clients en pensent :

Depuis 2018, nous avons mis en place le RGPD dans une centaine d'entreprises : agences immobilières, hôtels, usines, e-commerces, agences de communication, etc...

"Tout a été très bien présenté avec professionnalisme, efficacité et avec le sourire en plus !
Le plus utile dans cette formation a été les solutions apportées pour la sécurisation des données sensibles (copie carte d'identité, permis de conduire, données clients…)."
- Distribution, Albertville

"Nous sommes une petite structure et notre formateur nous a bien expliqué les finalités du RPGD. Ce qui nous a été utile : les explications détaillées sur la méthodologie après avoir été formé sur la finalité du RGPD." 

- Industrie, Scionzier

"Le traitement des données personnelles de notre base client (...) a été particulièrement bien présenté"

- Tourisme, Aix-les-Bains

"Tout était clair et concis. Nous avons eu les réponses à nos questions concernant l'intégration de la RGPD sur notre site e-commerce + le risque pour l'entreprise vis à vis de ses salariés et de l'image client en cas de mauvaise protection des données personnelles". 

- Distributeur + e-commerce, Lyon

"Du début a la fin - clair et précis ! Merci"

- Hôtel, Megève

Devis gratuit - Paiement sur facture à 30 jours

Mentions Légales / CGV

RGPD Flash ⚡⚡

Une mission efficace pour les TPE et PME

1 jour sur site.

Rédaction et remise des documents dans les jours qui suivent.

------------------

1380 € HT + Frais de Déplacement

✅ Audit sur site par un consultant qualifié

Mini-formation RGPD de votre/vos salarié(s) impliqué(s) dans le projet

Cartographie de vos traitements de données personnelles

Rédaction du traitement représentant votre cœur de métier

  • Justification des finalités et de la licéité du traitement

  • Identification du type de données personnelles mobilisées

  • Identification des données sensibles

  • Recensement des supports et des sources de données

  • Détermination des catégories de personnes concernées

  • Exercice des droits

  • Destinataires et sous-traitants

  • Analyse d'impact préalable

✅Rédaction du traitement de gestion du personnel (paie, recrutement...)

✅ Création du registre des traitements

✅ Création du registre des sous-traitants

✅ Procédure de gestion des demandes

✅ Procédure de gestion des violations

Diagnostic général de conformité RGPD

✅ Astuces et opportunités

✅ Contrôle qualité de notre audit (ISO 9001)

Inclus : Fichiers modifiables

Pas de frais annuels. Pas d'abonnement.

Paiement à J+30 sur facture.

Devis gratuit - Paiement sur facture à 30 jours

RGPD Structures complexes 🗻

Une mission pour les structures de grande taille ou complexes (cliniques, sociétés technologiques, groupes, entreprises multi-sites...)

------------------

Sur devis (à partir de 3500 €)

Idem RGPD Flash +

✅ Analyse d'impact relative à la protection des Données (Méthode Privacy Impact Assessment)

✅ Audit multi-traitements

✅ DPO Externalisé

✅ Formation collective

Devis gratuit - Paiement sur facture à 30 jours

 

Notre zone d'intervention habituelle pour cet audit

Questions Fréquentes 

 

Le RGPD ?

Le RGPD ou Règlement Général sur la Protection des Données Personnelles est la nouvelle référence en matière de protection des données à caractère personnel. Il unifie les règles sur la protection des données qui concernent les individus dans l’Union Européenne. L’objet est de protéger les libertés et droits des personnes physiques en responsabilisant les organisations qui les détiennent.

Qui est concerné ?

C’est une obligation qui s’applique à partir du 25 mai 2018 aux organisations ayant un établissement ou proposant des prestations à des individus se trouvant sur le territoire de l’Union Européenne. Il n’y a pas de critère de taille ou de secteur d’activité. Ainsi pour faire simple, toutes les entreprises ou associations sont concernées dès lors qu’elles manipulent des données personnelles.

Depuis quand ?

25 mai 2018

Qu'est ce qu'une donnée personnelle ?

Les données personnelles sont les informations qui se rapportent à une personne physique identifiée ou identifiable.

Exemples de données personnelles : nom, adresse, immatriculation, numéro de téléphone, photographie, adresse IP, commune de résidence, empreinte digitale, géolocalisation, pages consultées, e-mails envoyés/reçus…

Exemples de données personnelles permettant l'identification par recoupement : date de naissance associée à une commune de résidence…

Ou se trouvent généralement ses données personnelles dans les organisations ?

  • Bases de clients/membres et de prospects, CRM, outils de gestion de la relation commerciale

  • Formulaires : type formulaire de contact sur le site internet, inscription à un évènement

  • Gestion RH : dossiers sur les salariés, paies

  • Outils de newsletter

  • Carte fidélité

  • Infrastructure informatique

  • Vidéo surveillance

  • Export/Import, archives

Est-ce un sujet uniquement informatique ?

Aujourd'hui la majorité des données personnelles sont détenues et traitées sur des systèmes informatiques (logiciels, base de données…).

Néanmoins toutes les formes de supports sont concernées telles vos archives, fichiers papiers, classeurs, affichages…  Il faut donc organiser les données papiers selon les règles du RGPD notamment en statuant sur leur délai de conservation, savoir les données que vous détenez.

Quelles sont mes obligations ?

Le règlement comporte au total 99 dispositions. Elles concernent le fait que les données à caractères personnelles soient collectées de manière licite, loyale et transparente. Elles doivent l'être pour des finalités déterminées et dans un intérêt légitime.

Vous devez avoir le consentement explicite des personnes au moment où vous collectez les données.

Il faut que vous soyez en capacité de répondre à un certain nombre de demandes qu’elles peuvent vous demander, notamment le fameux « droit à l’oubli » ou à la portabilité.

Vous devez limiter le volume de données traitées et les sécuriser. Vous devez avoir une méthodologie pour détruire les documents à la suite du délai de conservation défini et pouvoir identifier d’éventuels vols de données et pouvoir le signaler à la CNIL dans les 72h. Des obligations particulières existent si vous êtes en relation avec des enfants ou des personnes vulnérables.

Qui doit s'en charger dans l'entreprise ?

D'une manière générale il est bon de désigner un pilote dans l’entreprise qui va s’assurer de piloter la gouvernance des données personnelles dans votre structure.

Le RGPD prévoit la nomination d’un DPO ou Délégué à la Protection des Données qui réalise l’inventaire des traitements de données, contrôle le respect du règlement, effectue des actions de sensibilisation auprès de la direction, des salariés et des sous-traitants éventuels. Les compétences nécessaires sont d’avoir une appétence informatique et juridique. Il sera associé ensuite à tous les sujets qui peuvent impacter les données personnelles. D'une manière générale dans les TPE et les PME ce sera une mission complémentaire pour un poste existant.

La responsabilité est portée sur le « responsable de traitement », c'est-à-dire de manière générale la Direction de l'organisation. Vous pouvez être aussi co-responsable de vos sous-traitants éventuels.

Toutes les personnes dans l’entreprise qui manipulent de près ou de loin des données personnelles sont concernées ensuite par la mise en place de bonnes pratiques.

Quels sont les risques ?

En cas de non maîtrise de vos données, le risque de réputation est important. Comment réagiriez-vous si des données personnelles fuyaient vers l’extérieur ? Comment réagiraient vos clients ou partenaires ? Quel impact cela aurait sur vos affaires ?

L’autorité de contrôle pour la France est la CNIL.

Deux types de sanctions sont prévus dans le règlement :

  • Jusqu’à 2% du chiffre d’affaires annuel mondial en cas de défaut de mise en conformité

  • Jusqu’à 4% du chiffre d’affaires annuel mondial en cas de défaut de consentement ou de défaut dans l’exercice des droits à la personne.

Qu'est ce que le RGPD peut apporter à mon entreprise ?

91% des entreprises mises en conformité ont accru leur capacité de défense face aux attaques informatiques​ (Cap Gemini 2019). 

Est-ce que je peux peux lire le règlement ?

 

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

En savoir-plus :

On s'appelle ?

MG Consulting - Mentions Légales Vie Privée

Document non contractuel, nos CGV s'appliquent.

Une mission proposée par MG

Partenaire conseil des entrepreneurs

 

400 collaborateurs en Savoie, Haute-Savoie, Isère, Rhône...

Nos compétences utiles pour le RGPD :

  • Organisation d'entreprise

  • Avocats

  • Systèmes d'informations

MG.jpg