Le contexte
L’entreprise agroalimentaire produit elle même certaines matières premières et en achète d’autres en vue de les transformer pour obtenir un produit fini qui sera commercialisé par les différents canaux de distribution (GMS, commerces de proximité, internet, et exporté).
Pour ce faire, l’entreprise :
- recrute, emploie et se sépare de salariés suivant le type de contrats (à temps plein ou partiel, CDI, CDD, intérimaire)
- formalise les documents pour l’export (services des Douanes) pour l’expédition de ses produits dans le monde entier (50 pays)
- contractualise
→ ses abonnements (téléphonie, internet, EDF..),
→ ses relations avec ses fournisseurs de matières premières, ses transporteurs et commissionnaires de transport (export), ses distributeurs, ses prestataires de services (liste non exhaustive) : expert-comptable en charge de la réalisation des bulletins de salaire et déclarations sociales, société d’infogérance pour la gestion du parc informatique, paysagiste pour l’entretien des espaces verts, société de nettoyage des locaux, sociétés de maintenance des conditions de sécurité (DUERP, vérification annuelle des extincteurs, vérification annuelle des installations électriques, contrôle technique des engins de manutention, contrôle des lignes de production…)
La définition des besoins
Le client nous a retenu car il a considéré que :
- les connaissances de la réglementation RGPD lui manquaient
- externaliser cette mission de conformité était la solution pertinente pour y répondre
- son temps se devait d’être consacré à son cœur de métier
- les bénéfices exposés de la mise en conformité justifiaient d’entamer la démarche : un réel retour sur investissement
- Le client n’a pas retenu la prestation de diagnostic cyber-sécurité malgré nos recommandations. Toutefois, nous avons attiré son attention sur le fait qu’il est fortement recommandé de le faire réaliser, la cyber-sécurité étant un des piliers indissociables pour remplir les conditions de conformité.
Le process
Par la signature du contrat conclu, le DPD (Délégué à la Protection des Données) est nommé et validé par le client.
A partir de ce moment, Le DPD peut entamer la démarche pour se déclarer auprès de la CNIL comme étant l’interlocuteur de référence entre la CNIL et l’entreprise.
Il s’agit d’ un contrat de prestations (engagement de moyens) dont la mission est précisément définie par le Règlement et rappelée dans le contrat.
La première étape a consisté à présenter le RGPD (fondamentaux …) au dirigeant et ses responsables de service (administration et finance, informatique, marketing. Il manquait le responsable commercial en déplacement mais celui ci fera ultérieurement l’objet de l’ information). On remarque donc que c’est l’ensemble des équipes qui doit être impliquée dans le processus.
La deuxième étape en cours d’instruction a eu pour objectif l’élaboration du registre des traitements composés des différentes fiches de traitements. Le registre sera remis et expliqué au client. Un plan d’actions priorisées complètera ce document dématérialisé.
Les étapes suivantes consisteront à travailler sur :
l’information aux personnes (mise à jour du site web, conditions générales de vente à revoir…)
les relations contractuelles avec les sous-traitants (prestataires de services évoqués précédemment)
le suivi de la sécurisation des données (hébergement, sauvegarde…)
le suivi de la mise à jour régulière des fichiers comportant des données personnelles
En conclusion :
Pour être en conformité, cette prestation s’inscrit dans le temps et la continuité. Ce ne peut-être une prestation « one-shot » et qui ne se règle pas par la mise en place d’un logiciel !