L’état des lieux ou “Enchanté de faire votre connaissance !
Vous nous avez fait confiance et nous avez chargé de devenir votre délégué à la protection des données externe ? Nous commençons alors par ce que nous appelons l’état des lieux. Il s’agit de faire connaissance avec le client. Bien sûr, nous en savons déjà un peu plus sur vous grâce aux entretiens que nous avons eus ensemble. Mais cela ne suffit pas. C’est pourquoi nous commençons par analyser l’organisation de l’entreprise, c’est-à-dire les différents services et vos tâches. Comment ceux-ci fonctionnent-ils ? Quels systèmes sont utilisés ? Y a-t-il des interfaces, des réseaux particuliers ou des domaines de responsabilité qui se chevauchent ?
Tout d’abord, legitimis se penche naturellement sur les départements qui travaillent de plus en plus avec des données personnelles. Il est important pour nous de connaître personnellement les personnes qui dirigent ces services. En effet, non seulement pendant l’inventaire, mais aussi par la suite, nous serons toujours en contact pour soutenir et mettre en œuvre les mesures nécessaires. Pour ce faire, Legitimis organise des entretiens personnels, mais travaille aussi avec des questionnaires et analyse les descriptions de processus et les directives existantes.
En outre, il est possible de se faire une idée de la culture d’entreprise et de la culture des données qui y est liée. Comment les services et vos collaborateurs traitent-ils les données personnelles ? Les données sont-elles utilisées avec parcimonie ou chaque document est-il conservé en double ou en triple exemplaire à différents endroits ? Les mêmes systèmes sont-ils utilisés dans tous les départements ou chaque service fait-il les choses à sa façon avec des systèmes et des lieux de stockage différents ? Les possibilités de gestion, qu’elles soient préfabriquées ou programmées en interne, sont grandes.
L’attention se porte sur l’observation et la documentation des sous-traitants. De nombreuses entreprises ont recours à des solutions basées sur le cloud et gèrent leurs données dans leur navigateur plutôt que sur leurs propres serveurs. Qu’il s’agisse des dossiers personnels numériques, de la gestion des données clients ou de la formation continue et de la sensibilisation des collaborateurs, beaucoup de choses se trouvent dans le “nuage” ou sont externalisées à des prestataires de services. Pourquoi l’accent est-il mis sur les prestataires de services ? Eh bien, la documentation dans le registre des activités de traitement comprend également la transmission de données à des sous-traitants et à des tiers. Il faut également savoir si les données sont transférées vers des pays tiers.
L’une des questions les plus fréquentes, également dans le cadre de l’état des lieux, est celle de la suppression, c’est-à-dire combien de temps les données peuvent être conservées. Collecter des données à caractère personnel n’est pas difficile. Mais il n’est pas toujours facile de supprimer des données en tenant compte des délais de conservation en vigueur. Legitimis vous aide ici en vous fournissant les informations nécessaires.
Le service du personnel, qui gère les données des collaborateurs, fait l’objet d’une attention particulière. Les obligations en matière de protection des données sont-elles à jour ? Comment les données des candidats et des collaborateurs sont-elles traitées et les obligations d’information envers les collaborateurs et les candidats sont-elles respectées à tous les égards ? Il convient également d’examiner les mesures de sensibilisation et de formation continues. Y a-t-il déjà eu des formations sur la protection des données ? Est-il possible de recourir à un système interne de gestion de l’apprentissage (LMS) ?
Le service marketing exploite généralement un système de gestion des données clients qui contient une multitude de données sur les interlocuteurs, les personnes intéressées ou les abonnés à des offres d’information telles que les newsletters ou les webinaires. Une analyse du site web et des différentes apparitions dans les médias sociaux du point de vue de la protection des données personnelles est indispensable pour évaluer l’image de l’entreprise vers l’extérieur et identifier les mesures à prendre. Souvent, une présence interne sur l’intranet est également assurée, avec une multitude d’informations sur l’entreprise et son personnel. Legitimis ne manque pas d’en avoir un aperçu.
Ces deux services sont des points de contact importants pour faire le point. Mais les finances, le contrôle de gestion, la comptabilité salariale, la protection du travail, la représentation des travailleurs, sans oublier le service informatique, sont également les cibles d’une analyse approfondie. En principe, nous pouvons aussi commencer par formuler les 5 interrogations de la protection des données. QUI fait QUOI, avec QUELLES données personnelles, POUR QUOI et sur QUELLE base juridique ?
Bien sûr, nous pourrions rassembler toutes ces informations dans d’innombrables visioconférences et e-mails. En outre, nous pourions envoyer des quantités de tableaux Excel ou de formulaires en ligne. C’est ce que nous avons fait. Mais nous accordons aussi de l’importance aux personnes et à l’aspect personnel. C’est pourquoi vous ne pouvez pas faire l’économie d’une visite sur place. Car la protection des données doit aussi être considérée sur place. Notamment pour pouvoir évaluer correctement vos mesures techniques et organisationnelles existantes. Vidéosurveillance ou gestion des visiteurs ? Nous y regardons de plus près.
L’état des lieux se termine par un rapport à la direction, associé à un catalogue de mesures pour la mise en œuvre du futur système de gestion de la protection des données. Découvrir une entreprise avec ses personnes, ses processus et ses systèmes est passionnant et constitue toujours une nouvelle expérience pour nous. C’est passionnant, tout comme la protection des données.