Suite à la numérisation de la société, de nouvelles problématiques se posent notamment sur la protection des données à caractère personnel. La multiplication des services mis à notre disposition en ligne accroît le nombre de données personnelles que nous transmettons. Pour pallier tout abus de ces fournisseurs de service quant à l’utilisation et le traitement de nos données. Le Comité Européen à la Protection des Données à donc choisi de mettre en place une réglementation générale appliquée dans l’ensemble de l’Union Européenne afin de protéger ses citoyens. Elle a aussi pour objectif de favorisé le marché numérique européen à l’égard des grande sociétés étrangères. Sa mise en application est obligatoire pour toutes les société exercent des traitements de données sur le sol européen depuis le 25 mai 2018.
La mise en conformité d’une entreprise passe par plusieurs étapes cruciales. Dans un premier un audit de conformité et une sensibilisation du personnel ont lieu au sein de l’entreprise elle vise à répertoriée l’ensemble des traitement de données effectués par l’entreprise. Un registre des traitement émerge suite à des entretiens avec le personnel de l’entreprise et après l’analyse des documents utilisés. Ce registre des traitements permet d’identifier les types de données traitées par l’entreprise et de différentié les traitement ayant besoin d’une analyse d’impact sur la vie privée. Ceci génère donc une cartographie.
Suite à cela une analyse de maturité peut-être effectuée afin de déterminé les points manquant dans la manière de fonctionner de l’entreprise. Une liste exhaustive des points négatifs est donc nécessaire.
Afin de répondre à ces manquements un plan de mise en conformité est donc rédigé, des niveau de priorité d’actions sont mit en place afin de déterminer les tâches primordiales à mettre en place tel que le respect des droits des personnes énoncé par RGPD, les audits de sécurités, les procédures de fonctionnement de l’entreprise rédigée etc…
Ce plan de mise en conformité regroupe 309 actions au total, toutes les entreprises ne sont pas sujettes à l’ensemble de ses actions en fonction des traitements qu’elle peut avoir à effectuer.
Une fois les actions à mettre en place définies, il faut déterminer la nécessité ou non de la désignation d’un DPO, si le cas échéant ne l’oblige pas au regard du RGPD, un Référent à la protection de la données se doit tout de même d’être nommé au sein de l’entreprise. Ce dernier ne peut-être le responsable de traitement. Les responsables de traitement sont définit à la suite du plan de mise en conformité à l’aide d’un RACI( Responsable, Acteur, Consulté, Informé) le responsable est la personne en charge de la mise en oeuvre du traitement, l’acteur détermine et est le responsable du traitement, le consulté est un support permettant de déterminé le traitement, l’informé se doit d’être informé du traitement. La détermination du rôle de chacun au sein de l’entreprise est nécessaire afin d’identifier le niveau de responsabilité lors d’une violation de données.