Le RGDP ? Une passion !
16 novembre, 2022 |
RGDP |
Au sein de l’équipe Consultel, Corine Deyries est spécialiste du RGPD, ce règlement général sur la protection des données instauré par l’Europe en 2018. Conformité, qualité, sécurité… lorsqu’elle intervient dans une entreprise, Corine passe tout l’état de vos données en revue.
Corine Deyries
Pendant 30 ans, Corine fut DAF et DRH dans le domaine de la santé. Un parcours qui lui a apporté une vision tournée vers la qualité et beaucoup de rigueur. « J’aime les process, que ce soit carré, partir de rien et élaborer un plan d’actions avec des résultats aboutis ». Autant dire qu’elle s’est lancée avec beaucoup d’enthousiasme dans la mise en place de la conformité RGPD.
Audit RGPD auprès des services concernés
Corine agit à plusieurs niveaux au sein d’une organisation :
Dans chaque cas, Corine étudie l’adéquation entre la collecte des données et leur utilisation finale : qu’est-ce qu’on récupère et pourquoi faire ? « Si on récolte la date de naissance d’un client, est-ce justifié ? Oui si c’est un site e-commerce qui propose une remise le jour de l’anniversaire. » Ou encore une copie du permis de conduire des collaborateurs. « Il est plus judicieux de demander au salarié de remplir un questionnaire annuel, où il s’engage sur l’honneur à avoir un permis à jour avec des points dessus. Car une copie ne sert à rien s’il fait l’objet entretemps d’un retrait de permis. »
Puis une fois l’usage de la donnée défini, il faut encore s’assurer de sa sécurisation et des conditions de sauvegarde. « Une data sur un prospect doit être détruite au bout de 3 ans, par exemple. »
Tout est tracé dans le registre de traitement des données
Le rôle du DPO est d’enregistrer tous les mouvements autour des données personnelles dans un support réglementaire, le registre de traitement des données. « En cas de contrôle de la CNIL, il faut pouvoir présenter le registre actualisé, avec le process de gestion des data et la preuve. Tout doit être documenté. » Après les deux premières années de mise en place pendant lesquelles la CNIL a été indulgente, les contrôles se multiplient désormais. « Le point de départ est souvent le site internet, et entre autres la conformité des cookies, qui fait partie du RGPD, avec la possibilité pour l’internaute de tout accepter, tout refuser, d'autoriser partiellement et de revenir sur son choix. Si la CNIL constate un manquement à ce niveau-là, elle peut lancer une procédure de contrôle, débouchant sur une amende (pouvant aller jusqu’à 4 % du chiffre d’affaires annuel), voire une fermeture administrative dans les cas les plus graves. Sans compter que la CNIL peut publier sur les « mauvais élèves » et c’est une publicité bien négative pour l’entreprise. De plus, il faut savoir que les contrôles sont aléatoires mais peuvent être déclenchés suite à des plaintes effectuées directement auprès de la CNIL lorsqu’un organisme est en défaut »
Bien sûr, LE RGPD est souvent vécu par les dirigeants comme une contrainte. « Toutes les structures sont concernées, quelle que soit leur taille, rappelle Corine, et ce n’est pas une option, c’est une obligation légale, mais qui constitue aussi une opportunité pour l’entreprise. En travaillant sur sa conformité, elle envoie un signal de confiance à toutes ses parties prenantes. Elle montre ainsi qu’elle se soucie de la confidentialité et la sécurité des données qu’on lui fournit et c’est une démarche très positive. »
Corine Deyries
Pendant 30 ans, Corine fut DAF et DRH dans le domaine de la santé. Un parcours qui lui a apporté une vision tournée vers la qualité et beaucoup de rigueur. « J’aime les process, que ce soit carré, partir de rien et élaborer un plan d’actions avec des résultats aboutis ». Autant dire qu’elle s’est lancée avec beaucoup d’enthousiasme dans la mise en place de la conformité RGPD.
Audit RGPD auprès des services concernés
Corine agit à plusieurs niveaux au sein d’une organisation :
- une mission d’audit et de prestation de mise en conformité,
- des formations sur-mesure, majoritairement auprès de dirigeants de TPE qui géreront ensuite eux-mêmes leur conformité,
- ou encore la fonction de DPO (délégué à la protection des données) externalisé.
Dans chaque cas, Corine étudie l’adéquation entre la collecte des données et leur utilisation finale : qu’est-ce qu’on récupère et pourquoi faire ? « Si on récolte la date de naissance d’un client, est-ce justifié ? Oui si c’est un site e-commerce qui propose une remise le jour de l’anniversaire. » Ou encore une copie du permis de conduire des collaborateurs. « Il est plus judicieux de demander au salarié de remplir un questionnaire annuel, où il s’engage sur l’honneur à avoir un permis à jour avec des points dessus. Car une copie ne sert à rien s’il fait l’objet entretemps d’un retrait de permis. »
Puis une fois l’usage de la donnée défini, il faut encore s’assurer de sa sécurisation et des conditions de sauvegarde. « Une data sur un prospect doit être détruite au bout de 3 ans, par exemple. »
Tout est tracé dans le registre de traitement des données
Afficher sa conformité
Partager sur les réseaux sociaux
Nos autres articles suceptibles de vous interesser
Non ci sono ancora articoli