Menu

Audit RGPD : une méthode simple pour identifier vos priorités

Le traitement des données personnelles est devenu une préoccupation de premier rang pour les Français. 69 % d’entre eux y sont attentifs selon l’IFOP. Autant dire que vos prospects et clients risquent de vous solliciter (très bientôt) à ce sujet.

Les directions juridiques ont conscience que le respect du RGPD est une priorité. Mais, par où commencer lorsqu’il existe des milliers de données ? Et comment une solution de contract management peut vous aider dans cette mission ?

Le respect du RGPD : pourquoi s’y mettre dès aujourd’hui ?

Cela fait plusieurs mois que vous alertez la direction générale sur l’importance de prendre le RGPD à bras le corps. Malheureusement, vous n’avez aucun retour concret de leur part. Alors, voici quelques arguments qui pourraient les convaincre.

✨ Bon à savoir : Les contrôles de la CNIL sont de plus en plus fréquents (135 pour l’année 2021), et ils concernent aussi bien les grandes structures que les PME ou start-up.

La mise en conformité avec le RGPD : un atout marketing

Les internautes sont confrontés en permanence à du hameçonnage, des publicités non désirées par mail ou des appels intempestifs. Face à ces pratiques intrusives, de plus en plus de personnes se demandent dans quelles mains leurs informations vont se retrouver.

Moralité : être respectueux des données qui vous sont confiées – et le faire savoir – devient un avantage concurrentiel évident. Cela est d’autant plus important si l’entreprise souhaite développer une relation de proximité et de confiance avec les clients.

Un contrôle CNIL : un risque réel

À partir du moment où vous avez en votre possession une information relative à une personne physique identifiée (nom, prénom) ou identifiable (e-mail, téléphone, image), vous rentrez dans le giron de la CNIL.

Aucune entreprise n’est épargnée. Il suffit d’une réclamation ou d’un signalement pour que cet éminent organisme vienne frapper à votre porte.

La Commission, quel que soit le type de contrôle effectué (sur place, sur convocation, en ligne ou sur pièces), va évaluer vos processus internes et les documents y afférant. Mieux vaut avoir préparé le terrain.

Les 3 piliers d’un audit RGPD réussi

Avant de mener ce chantier, il est indispensable de vous organiser. Voici nos 3 recommandations pour mettre le pied à l’étrier.

1) Nommez un référent à la protection des données, et donnez-lui des moyens de réussir ! 🦸

Une personne dans l’entreprise doit absolument revêtir cette casquette. En général, c’est le juriste ou le DSI à qui incombe la tâche. Mais, selon l’importance et la sensibilité des données en question, engager ou nommer un Délégué à la Protection des Données, aussi appelé DPO (en interne ou en prestataire) est recommandé.

Ce référent jouera donc le rôle de chef d’orchestre et recensera tous les services qui traitent directement ou indirectement des données (marketing, SAV, commercial etc). Pour lui, le plus dur sera d’avoir la coopération des opérationnels. C’est pourquoi l’entreprise devra non seulement le former, mais également lui fournir les ressources nécessaires pour sa mission.

2) Listez les partenaires et sous-traitants qui ne sont pas conformes au RGPD ✅

Les acteurs soumis au RGPD doivent tenir à jour un registre des sous-traitants. Il est donc nécessaire de vérifier que tous les sous-traitants qui traitent de la donnée personnelle :

  • sujet RGPD anticipé contractuellement (ex : aient signé une clause RGPD) ;
  • figurent dans le registre des sous-traitants.

✨ Notre conseil : privilégiez des partenaires et des sous-traitants qui ont des certifications et une totale conformité avec le RGPD. A défaut, il pourrait vous être reproché de confier des données à une structure qui n’est pas assez sécurisée ou qui ne respecte pas la vie privée de vos clients. De la même façon, soyez attentif à la souveraineté numérique. La CNIL est assez hostile à l’hébergement des données hors Union Européenne. Elle vient même de mettre en demeure un gestionnaire de site français qui utilise Google Analytics. En conclusion, travaillez avec des structures qui évoluent sur notre territoire ou celui de l’UE.

3) Mettez-vous en règle sur les basiques : cookies et politique de confidentialité 🍪

Certains cookies nécessitent le consentement des visiteurs (affichage de la publicité personnalisée ou le partage sur les réseaux sociaux). Si l’utilisateur les refuse, ces traceurs ne peuvent être déposés sur son terminal. Afin d’être en règle, mettez en place un système de bandeau recommandé par la CNIL. Plus d’informations à ce sujet ici.

La politique de confidentialité demande davantage de réflexion. Elle sera le résultat d’une enquête menée en interne, puisque ce document obligatoire et accessible depuis votre site décrit la façon dont les éléments récoltés sur ce dernier sont utilisés.
Elle doit comporter des mentions obligatoires telles que les coordonnées du référent du traitement des données, la finalité et la destination des données, le droit du client à s’opposer, à accéder et à rectifier etc.

DiliTrust : un audit automatisé pour mettre en place une feuille de route efficace

Le plus dur reste à faire ! Vous devez épurer le passif en passant en revue le contenu de vos contrats. L’enjeu ? L’analyse, et ainsi mettre en place les actions correctives pour traiter les données des utilisateurs conformément au RGPD.

Comment une solution de gestion des contrats comme DiliTrust veut vous aider dans votre audit RGPD ?

Le saviez-vous ? DiliTrust est une solution clé en main qui identifie automatiquement les renseignements clés de vos contrats en fonction de certains critères (un droit applicable, un niveau de responsabilité, etc.). Vous aurez ainsi une vue globale sur les actions à mener en priorité comme l’obtention du consentement d’un segment de client, la signature d’un avenant pour l’exploitation de telle donnée etc.

Vos pires ennemis dans un audit RGPD : le manque de temps et les erreurs

Sans une solution comme DiliTrust, la tâche qui vous attend s’avère être aussi indispensable que fastidieuse. Votre fonction consiste ici à relever manuellement dans un Excel, contrat par contrat, les données qui sont concernées par le RGPD. Le travail est donc colossal, surtout s’il existe des succursales en France ou à l’étranger.

La récolte à la main de milliers de contrats n’est pas l’idéal d’autant plus si vous êtes dans un contexte d’urgence (tel est le cas d’une convocation par la CNIL ou bien encore si un investisseur estime que la conformité est une condition essentielle). A ce stade, les erreurs et le manque d’exhaustivité sont monnaie courante.

DiliTrust : l’intelligence artificielle et l’automatisation pour une récolte rapide et fiable

Le nerf de la guerre dans un audit RGPD ? Identifier, puis extraire rapidement les données contractuelles.

Pour cela, vous avez la possibilité de paramétrer des champs, comme la date de signature, les clauses spécifiques, la période, les parties etc, pour retrouver en quelques clics toutes les données recherchées et les exporter sous Excel. La technologie vous épaule intelligemment dans ce travail et diminue drastiquement les oublis et les erreurs.

Par exemple : vous souhaitez comparer automatiquement les clauses existantes dans les contrats avec les clauses contractuelles types de l’Union Européenne, afin de savoir si vos clauses sont conformes aux exigences de l’UE. DiliTrust le fait pour vous !

✨ Bon à savoir : La commission Européenne a mis à disposition et actualisé des clauses contractuelles types sur le sujet : plus d’informations à ce sujet ici.

Les clauses types RGPD doivent contenir 7 éléments :

  • 1/ description du traitement
  • 2/ obligations du prestataire vis-à-vis du bénéficiaire
  • 3/ sous-traitance
  • 4/ transfert de données
  • 5/ droit d’information des personnes concernées
  • 6/ mesures de sécurité
  • 7/ documentation et audit

Est-ce que DiliTrust respecte le RGPD et la vie privée de ses utilisateurs ?

La réponse est oui ! Notre legaltech a obtenu la certification internationale ISO/IEC 27001:2013 sur les systèmes de management de la sécurité des informations et son extension relative à la protection de la vie privée ISO 27701:2019.

Concrètement ? Avec DiliTrust, vos données sont managées dans un cadre très protecteur (la sécurité de l’hébergement) et surtout, sont traitées dans le respect du RGPD (votre vie privée nous importe).

Vous souhaitez voir comment DiliTrust vous aide à vous mettre en conformité RGPD ?