Depuis l’entrée en application du règlement général sur la protection des données (RGPD) en 2018, les conférences et articles se multiplient. Pourtant, il n’est pas toujours facile de s’y retrouver, et de comprendre les réelles implications de ce nouveau règlement sur votre cabinet et les missions exercées auprès de vos clients. L’Ordre de Paris IDF a donc développé un outil dédié, adapté aux besoins de la profession.
Isabelle Faujour
secrétaire générale adjointe et DPO de l’Ordre des experts-comptables Paris Île-de-France
Vous avez été nombreux à nous demander (notamment lors des rendez-vous au 50) une solution pour vous accompagner concrètement sur votre mise en conformité RGPD. C’est donc tout naturellement que nous avons intégré un outil dédié sur le site Cap Performance. Il a pour objectif de démystifier, simplifier le RGPD en listant les essentiels de ce règlement (comprenant 99 articles et 173 considérants !) en 10 points.
Il vous informe par des réponses concrètes et ciblées sur vos véritables obligations à l’égard de vos collaborateurs, vos clients dans le cadre de la gestion du cabinet et des différentes missions.
L’accompagnement proposé par l’Ordre Paris Ile-de-France va ainsi
- Vous permettre d’évaluer votre degré d’avancement dans votre mise en conformité par un diagnostic rapide
- Vous proposer un plan d’action à l’issue de votre diagnostic
- Vous fournir des aides concrètes : une FAQ, des exemples de clauses de mise à jour de votre manuel cabinet , un registre de traitement recensant précisément les données traitées par type de mission.
Et une fois votre conformité achevée, vous proposerez peut-être à vos clients des nouvelles missions de mise en conformité RGPD…
L’outil RGPD à la loupe
Diagnostic et plan d’action
30 questions pour savoir où vous en êtes et générer un plan d’action adapté à la situation de votre cabinet.
Base documentaire
La base documentaire de l’outil RGPD structure les nombreuses informations existantes, en vous renvoyant vers des ressources existantes (guide du Conseil supérieur par exemple).
Vous avez également à votre disposition dans cette base documentaire une FAQ et un guide de sensibilisation.
Votre registre des traitements
Un outil pour générer votre propre registre sous forme d’un tableau, en fonction de vos missions et des mesures de sécurité de votre cabinet.
Manuel du cabinet à jour
Le manuel du cabinet proposé par Cap Performance s’enrichit de nouveaux paragraphes dédiés aux obligations liées au RGPD. Ces paragraphes peuvent également être récupérés en format texte depuis la base documentaire RGPD.
Check-list des 10 règles essentielles à respecter pour assurer votre conformité RGPD
1 – Sensibiliser, informer sur les règles du RGPD
L’organisation doit informer ses salariés de leurs obligations liées aux traitements de données et de leurs droits concernant le traitement de leurs propres données personnelles (RH notamment). Elle doit également prouver la sensibilisation du personnel.
2 – Nommer un responsable
L’organisation doit nommer un référent en matière de gestion des données à caractère personnel qui, selon sa taille et la nature des données traitées est soit simplement désigné en interne, soit déclaré à la CNIL sous la fonction officielle de délégué à la protection des données (DPD/DPO).
3 – Cartographier les traitements de données à caractère personnel
Les données à caractère personnel sont bien souvent éparpillées dans l’organisation, il faut les recenser. Ensuite, en fonction de sa taille et du caractère des données, elle doit décrire, pour chaque traitement référencé, le type de données.
4 – Collecter les données en respectant les règles
L’organisation doit adopter une « base légale de traitement », il en existe 6 : consentement de la personne, contrat avec la personne concernée, exécution d’une obligation légale, intérêt vital d’une personne physique, intérêt public, intérêt légitime à réaliser ce traitement.
La personne concernée doit donc, sauf cas exceptionnel, être informée du traitement et disposer de toutes les informations lui permettant d’exercer ses droits sur ses données à caractère personnel (accès, rectification, oubli, limitation, portabilité, opposition).
Enfin, la collecte des données doit être réduite au strict nécessaire.
5 – Adapter le stockage et l’archivage des données à caractère personnel
L’organisation doit sécuriser le stockage des données en limitant l’accès aux personnes autorisées. La solution d’archivage doit permettre de supprimer ou anonymiser les données à caractère personnel (l’anonymisation permet de conserver les données à des fins statistiques). Pour chaque traitement, des délais de conservation des données doivent être définis.
6 – Analyser les risques internes et externes sur la sécurité des données
Les données de l’organisation, particulièrement celles à caractère personnel, doivent faire l’objet d’une sécurité renforcée.
7 – Mettre à jour les contrats conclus avec les sous-traitants
Au sens RGPD, les organisations à qui sont confiées des données à caractère personnel par une autre organisation ont le statut de sous-traitant. À ce titre, elles doivent prouver à l’organisation qui confie les données qu’elles respectent les règles mises en place par le RGPD.
8 – Mettre à jour les documents à destination des tiers
L’organisation doit mettre à jour différents documents à destination du public ou des clients (GV, mentions légales, contrats…). Le principe est d’indiquer dans chacun des documents contractuels les droits du destinataire en matière de RGPD, si celui-ci fait l’objet d’une collecte ou d’un traitement de ses données à caractère personnel.
9 – Mettre en oeuvre les politiques de « privacy by default » et « privacy by design »
L’organisation doit prendre en compte en permanence la protection des données à caractère personnel dans leur fonctionnement général (privacy by default) et dès qu’elles mettent en oeuvre un traitement de données à caractère personnel (privacy by design). Ainsi, la protection des données à caractère personnel doit devenir un réflexe naturel dans le fonctionnement.
10 – Formaliser et documenter ses actions RGPD dans un manuel de procédures
L’organisation doit pouvoir expliquer son organisation visant à respecter les règles de protection des données à caractère personnel. La formalisation de toutes ces actions présentées dans ce document doit donc être documentée dans un manuel de procédures spécifiques, ou compléter de façon explicite le manuel de procédures qui existerait déjà dans l’organisation.
Sommaire du dossier :
- Cap Performance, fiche d’identité
- Neuf outils pour doper la performance de votre cabinet
- À l’origine de Cap Performance
- Contrôle qualité : comment Cap Performance vous aide à mieux vous préparer
- Ma lettre de mission : rédiger et assurer le suivi de vos lettres de mission en tout sécurité
- Le décodeur des normes : pour enfin tout comprendre sur les normes et mieux les appliquer
- Mon Document unique : pour accompagner la reprise de votre activité