La mise en conformité (7ème étape) : le plan d’actions

La mise en conformité (7ème étape) : le plan d’actions
Minute RGPD Vidéo

Dans nos épisodes précédents, on vous a guidé pour :

  • Réaliser votre registre des activités de traitements &
  • Evaluer vos activités de traitement

Vous le savez déjà, nous suivons la méthode du « PLAN – DO – CHECK – ACT »

Aujourd’hui, on vous parle de la réalisation du plan d’actions !

Pendant toute l’étape d’état des lieux et d’évaluation, vous avez déjà commencé à noter les tâches à réaliser, voire avez commencé à en réaliser certaines.

Le plan d’actions vous permettra de formaliser ces tâches et participera aussi à démontrer la conformité de votre organisme.

Voyez votre plan d’actions comme votre feuille de route de la conformité : il vous permettra d’avoir une vision claire de ce qui est déjà fait, en cours et ce qu’il reste à faire.

Quelques conseils :

Votre plan d’actions doit être le plus clair possible :

  • Par exemple, vous pouvez regrouper les actions par catégories d’obligations : transparence, contrat, PIA, etc.

OU

  • Vous pouvez les regrouper par activités de traitement : choisissez le visuel qui sera le plus simple à comprendre, pour vous, mais aussi pour les autres personnes qui devront suivre ce plan d’actions.

Chaque action doit avoir un ordre de priorité :

  • Par exemple : les sujets touchant les droits des personnes concernées sont une priorité n°1 ! Il faudra les traiter le plus rapidement possible
  • La conformité d’un site internet est aussi une priorité n°1 : c’est un sujet d’actu pour la CNIL ; il ne faut pas traîner non plus !

Chaque action doit être associée à un délai de réalisation et aux acteurs adaptés :

L’idée ici est d’avoir des dates butoirs qui permettront de faire le point le jour J avec les acteurs en charge de réaliser l’action. Les tâches doivent être attribuées de manière logique (ce n’est pas au DSI de vérifier le contenu d’une mention RH par exemple).

Ça dépend… 

Chaque action aboutit sur un « livrable » ou plutôt, sur du concret. On ne peut pas se contenter du « Ok, c’est fait. » On veut la preuve de ce qui a été fait ! Et croyez-nous, la CNIL la voudra aussi…  

Enfin, le plan d’actions est un outil de communication : il sera à présenter impérativement au responsable du traitement pour valider les actions à réaliser, puis, il vous servira pour impliquer les acteurs concernés.

Un dernier conseil : il peut aussi vous servir pour mettre en avant les questions de « bénéfices – risques » pour motiver les troupes. Si certaines actions ne sont pas réalisées : quels sont les risques pour l’organisme ? » Gardez à l’esprit que la CNIL n’est pas la seule source de risques, on est certain que vous avez d’autres arguments sous le coude 😉 !

Alors à vous de jouer ! Et n’hésitez pas à revenir vers nous pour poser des questions ou discuter !

Partager l'article

Articles similaires

Minute RGPD : pourquoi se former au RGPD  
Article RGPD Minute RGPD

Minute RGPD : pourquoi se former au RGPD  

Plongez-vous dans le scénario d'une entreprise prospère où les données client constituent une précieuse monnaie. Tout semble bien se passer jusqu'à ce qu'une nouvelle fuite de données massive éclate dans une entreprise concurrente. Face à cette réalité, comment assurer la sécurité des données de vos propres clients ?
Lire la suite
Mission sécurité : protéger les données de l’équipe  
Article RGPD Minute RGPD

Mission sécurité : protéger les données de l’équipe  

Dans le cadre d’un recrutement, les recruteurs sont amenés à collecter et utiliser des données personnelles des candidats. Comment garantir la conformité RGPD lors des recrutements ? Comment assurer la sécurité des données de vos employés ? En tant que professionnel RH, quelles informations pouvez-vous légitimement conserver ?
Lire la suite