L’année 2018 a été marquée par une approche pédagogique de la CNIL envers les TPE/PME. Bien que la CNIL ne souhaite pas abandonner cette approche celle-ci promet une fermeté accrue pour l’année 2019  qualifiée d’année « décisive pour crédibiliser ce nouveau cadre juridique ». De fait, si l’heure n’est plus à l’attentisme il ne faut pas céder à la panique : la mise en conformité peut être réalisée très facilement au moyen de la mise en place de diverses procédures et certains documents clés.

La mise en place du RGPD vient modifier et renforcer certaines obligations. Afin de respecter ces obligations, il est préconisé aux entreprises de mettre en place diverses procédures dont les principales sont les suivantes :

–         Procédure d’exercice des droits des personnes :  Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable de traitement a l’obligation de leur expliquer comment les exercer et de répondre à ces demandes dans délai maximal de deux mois. L’objectif de cette procédure est donc de décrire comment doivent être traitées les demandes de personnes concernées souhaitant exercer l’un de leurs droits.

–         Procédure de purge des données : Les données personnelles ne peuvent être conservées indéfiniment. Une procédure doit donc être définie et permettra de déterminer la durée de conservation en fonction de l’objectif ayant conduit à la collecte des données personnelles ou des obligations règlementaires liées à l’activité et proportionnée à la finalité du traitement.

–         Procédure de contractualisation avec les tiers : Du fait de la responsabilité qui pèse sur chacune des parties au traitement il est nécessaire de mettre en place une procédure permettant de clarifier la relation responsable de traitement / sous-traitant / coresponsable de traitement, de prendre position (par exemple, négocier différemment le contrat) et adapter les modèles de clauses.

–         Procédure de contrôle CNIL : Parce que le contrôle de la CNIL obéit à diverses règles et que les agents ne peuvent pas faire n’importe quoi, il est nécessaire de rédiger et mettre en place une procédure en cas de contrôle précisant le rôle de chacun en cas de vérification de la CNIL, permettant ainsi de limiter l’accès au périmètre de leur mission et ainsi de veiller à une stricte confidentialité.

–         Procédure d’établissement du rapport annuel : Parmi les nouveautés du RGPD figure l’obligation pour les responsables de traitement de présenter un rapport RGPD en complément du rapport de gestion annuel de la société. La mise en place d’une telle procédure permettra entre autres de fournir un modèle de rapport annuel complet.

De surcroit, la mise en place de ces procédures doit être complétée par la mise en place d’un registre des traitements, qui bien que non obligatoire pour l’ensemble des entreprises est très fortement conseillé car facilite grandement le suivi des traitements au sein de l’entreprise ce qui permet d’assurer les obligations découlant de la responsabilisation des entreprises.

Enfin, il sera nécessaire de procéder à la modification de certains documents de l’entreprise afin d’assurer correctement l’obligation d’information, sans omettre également de modifier les mentions figurant sur les sites internet.

La mise en œuvre de ces procédures et documents pourra être précédée d’un audit flash permettant de cibler rapidement les points de non-conformité.