EPISODE 5.

Par Laurent Baudart, Délégué général de Syntec Numérique.

Quelles sont les dernières étapes ?

Dans des articles précédents, j’ai présenté notre cheminement pour veiller à ce que Syntec Numérique soit au rendez-vous du RGPD en mai 2018 :

Comment se mettre en conformité ?

Comment débuter le projet ?

Quel plan de travail ?

Comment construire le registre des traitements ?

Nous sommes maintenant dans la dernière ligne droite avec 3 actions à compléter :

  • Préciser encore notre registre des traitements de données,
  • Revoir les contrats avec nos sous-traitants pour inclure le RGPD,
  • Réaliser un audit de sécurité prenant en compte le volet RGPD

Pour le registre des traitements de données :

Pour le finaliser nous sommes en train de préciser chaque finalité de traitement. Nous avons constaté que parfois nous devions aller plus loin dans la description pour mieux visualiser les traitements que nous effectuons. Cela nous permettra de confirmer ou de revoir parfois les règles associées à ces données : durée de conservation par exemple, mentions d’informations à destination des personnes concernées, etc.

Pour les fournisseurs :

Nous avons recensé de manière exhaustive tous nos fournisseurs réalisant des prestations ou fournissant des services pour le fonctionnement ou le support de notre système d’information.

Il s’agit donc maintenant d’obtenir pour certains leurs nouvelles conditions générales de vente prenant en compte le RGPD. Nous irons plus dans le détail avec notre fournisseur de CRM afin de réaliser un atelier permettant d’automatiser les procédures nous permettant d’assurer notre conformité sur le volet des données personnelles. Le but est de communiquer à notre fournisseur CRM des instructions précises au regard de notre qualité de responsable du traitement.

Ce travail avec nos prestataires pour la mise en œuvre du RGPD nous a aussi permis de constater d’autres points à traiter qui sont connexes : par exemple signer des accords de confidentialité avec certains de nos prestataires pour renforcer davantage le niveau de confiance entre les deux parties.

Pour l’audit de sécurité :

Nous avons sélectionné un prestataire afin de réaliser un audit technique et organisationnel de notre système d’information qui couvrira notamment :

  • Une analyse globale de notre niveau de sécurité
  • Des tests d’intrusion sur nos sites internet
  • La configuration des composants clés de notre système informatique

Cette phase indispensable à la mise en conformité au RGPD nous permettra d’identifier, à l’issue de cet audit les risques éventuels au regard du RGPD et ensuite de définir des plans d’actions pour réduire voire supprimer tous ces risques.

Pour conclure :

Nous avons géré ce projet de mise en conformité de Syntec Numérique avec le RGPD sur 5 mois. Même si l’essentiel dans ce temps imparti a été fait, nous savons que nous devons poursuivre pour améliorer encore certains aspects. Le RGPD doit encore devenir un réflexe chez tous ceux concernés dans notre équipe. Lorsque nous avons mis en œuvre la démarche Quali’op (certification qualité), il en a été de même et 12 mois ont été nécessaires pour que la culture qualité soit ancrée complètement.