La Revue initiale de Conformité

Cette première phase consiste à mesurer les écarts entre les pratiques recensées (d’un point de vue technique, organisationnel et juridique) et les exigences de la règlementation ; afin de définir les objectifs, les références et matériaux (cadres et modèles appropriés) ainsi que les processus nécessaires à la mise en conformité.

Une étude du niveau de risque de caque traitement de données à caractère personnel sera réalisé en parallèle afin d’identifier les activités de traitement “à risque”.

Elle vise également à introduire la démarche de mise en conformité au RGPD auprès du Comité de direction et des acteurs de l’entreprise et mettre en place une organisation interne qui aura la charge du programme de conformité au RGPD et de son maintien dans le temps.

Pour cela il est impératif de désigner un DPO ou à minima un Référent RGPD qui aura en charge d’orchestrer la mise en œuvre du programme, conseiller la direction générale et faire le lien entre les différents protagonistes pour toutes questions ou problématiques relatives à la protection des données à caractère personnel.

Run Office Assistance vous conseille pour la désignation de votre DPO interne, assure sa formation et l’accompagne à la prise de poste.

Il est important de noter que la désignation d’un DPO est obligatoire si vous êtes dans l’un des cas ci-après :

  • Vous appartenez au secteur public ;
  • Votre activité principale vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle* ;
  • Votre activité principale vous amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Selon la taille et la structuration de l’organisme, le DPO pourra (et même devra) être seconder par un ou plusieurs relais au sein des différents services ou sites afin d’optimiser la transmissions des informations et l’effectivité des actions.

Il est également recommandé de mettre en place un comité de pilotage dont les missions seraient :

  • d’analyser les écarts
  • de faire le point sur les ressources et les problématiques rencontrées
  • d’émettre des alertes.

*traitement à grande échelle : le WP29 recommande que les facteurs suivants soient pris en compte pour déterminer si le traitement des données est effectué à grande échelle : nombre de personnes concernées, volume des données et éventail des données traitées, durée de l’activité de traitement, champs d’application géographique de l’activité de traitement des données personnelles.