Dans l’article précédent, nous avons expliqué l’état des lieux, les questions que nous nous posons et le personnel clé avec lequel nous échangeons pour connaître l’entreprise, ses processus et ses personnes. Cela a donné lieu à un rapport qui servira de base à des optimisations et des adaptations pour notre client dans les semaines et les mois à venir.
Mettre en œuvre les mesures signifie effectuer des adaptations dans l’entreprise à de nombreux niveaux et avec différents moyens. En fonction de la taille de l’entreprise, la désignation d’un coordinateur ou d’un coordinateur à la protection des données (CPD) est une bonne solution. Pour les grandes entreprises, des comités de pilotage complets (SteCo) sont un moyen efficace de mettre en œuvre les mesures avec des méthodes de gestion de projet. Les paquets de mesures sont ficelés sur la base du rapport susmentionné, avec des responsables de la mise en œuvre et du suivi. Pour cela, nous utilisons volontiers des outils déjà existants. Par exemple, le logiciel de planification de la suite M365. Pourquoi faisons-nous cela ? Parce qu’un grand nombre d’entreprises sont déjà familiarisées avec ce type de solutions et les utilisent déjà pour leurs propres projets internes. Des Jour Fixes sont organisés avec le SteCo ou le CPD pour discuter des mesures, les surveiller, les adapter et les finaliser. Le déroulement est documenté.
Lors de la priorisation des mesures, nous respectons le principe “l’impact externe avant l’impact interne”. Cela signifie mettre en œuvre les mesures qui ont un impact extérieur sur le client et le public ou qui présentent des risques ou des obligations en matière de protection des données.
Il s’agit par exemple de la présence publique de l’entreprise sur ses sites web et sur les canaux sociaux. Quelles sont les fonctionnalités et les technicités de la présence sur le web ? Quelles solutions sont utilisées pour suivre les visiteurs et comment interagit-on avec les clients et les personnes intéressées ? Existe-t-il des formulaires basés sur le web ou bien une newsletter est-elle proposée ? Comment le consentement est-il donné et comment répond-on aux obligations de transparence ? Pour cel ;q, des échanges ont lieu avec le service responsable et les agences web mandatées, et les paquets de mesures en question sont ficelés et adressés.
L’accent est également mis sur le registre des activités de traitement (RAT) que nous tenons dans le système du client. Legitimis suit l’approche “votre protection des données – votre documentation”. C’est pourquoi nous renonçons aux solutions de protection des données hébergées en interne et utilisons les systèmes du client. Ce faisant, nous travaillons en toute confiance avec des accès invités dans les systèmes du client, comme le prévoient la suite Google ou M365. Lors de l’élaboration du RAT nous utilisons des modèles pour orienter les collaborateurs. Néanmoins, même les modèles ne sont jamais la solution définitive, car il y a toujours un besoin d’adaptation au niveau des descriptions, des systèmes utilisés et des sous-traitants.
A propos des sous-traitants : comme nous l’avons déjà décrit dans l’état des lieux, nous documentons les sous-traitants. Pour ce faire, nous examinons également les contrats correspondants. Les contrats existants depuis longtemps doivent justement être examinés et, même après cinq ans, des clauses obsolètes ou des références à des lois qui ne sont plus valides sont parfois identifiées. D’ailleurs, à la question de nos clients “Quand pourrons-nous enfin conclure le RAT ?”, nous répondons en général : “Jamais, car c’est un document vivant qui doit être adapté, étendu, partiellement archivé et dont l’actualité doit être vérifiée au moins une fois par an”. En effet, les entreprises évoluent en termes de processus, de solutions utilisées et de structures. Le RAT doit refléter tout cela. Le RAT constitue en quelque sorte le cœur du droit de la protection des données, car tous les processus, données, systèmes, sous-traitants, délais de suppression et autres y sont représentés.
Tout comme les informations relatives à la protection des données sur les sites web, les documents internes doivent être vérifiés et adaptés (mot-clé : transparence. Tous les collaborateurs sont-ils correctement informés du traitement de leurs propres données ? L’offre d’information est-elle disponible pour tous les collaborateurs de l’entreprise (mot-clé : portail de protection des données) et les coordonnées du responsable de la protection des données sont-elles communiquées de manière adéquate ? Nous mettons volontiers notre expérience et nos connaissances à votre service pour vous aider à créer une place adéquate pour la protection des données dans votre intranet.
En outre, il convient de vérifier si la directive sur la protection des données est disponible et toujours d’actualité ou si d’autres règles relatives à la protection des données doivent être édictées (traitement des demandes de renseignements, accords de traitement des commandes, etc.)
Un autre point important est celui de la formation et de la sensibilisation. En effet, les directives et les instructions de processus ne sont pas efficaces si l’attitude au sein de l’entreprise vis-à-vis de la protection des données n’est pas correcte ou si les réglementations ne sont pas connues des collaborateurs. Cela ne peut être réalisé qu’avec des mesures de formation appropriées, variées et parfois spécifiques à l’entreprise et orientées vers des groupes cibles.
Pour cela, legitimis propose, outre la formation en présentiel par nos conseillers, des vidéos de formation, de courtes vidéos thématiques (legitimis KOMPAKT), des quiz sur la protection des données et du matériel d’information complémentaire (legitimis InfoDocs). Nos formats vidéo peuvent bien entendu être intégrés dans les systèmes de gestion de l’apprentissage de l’entreprise.
La mise en œuvre doit être abordée de manière transparente avec nos interlocuteurs. La compréhension et le suivi des mesures sont déterminants pour la mise en œuvre et il s’agit parfois de rompre avec des processus établis et de les repenser. Accompagner une entreprise dans cette démarche est passionnant. Alors, faisons ensemble la protection des données dans votre entreprise.
