Tout d'abord, le Règlement Général sur la Protection des Données (RGPD) est avant tout un panel juridique obligeant tout organisme de l'Union Européenne quel qu'il soit, dès lors qu'il traite des données à caractère personnel, à notamment mettre en place toute sorte de documentations, de procédures, de registres, etc... dont le nombre et le temps de mise en place varie en fonction de l'organisme (entreprise, association, administration), de sa taille (TPE, PME, ETI…), du type et du volume de données personnelles qu’il traite. Cet éventail d’outils, dont la plupart sont soumis à des règles très strictes, nécessitent une certaine maîtrise et un travail de fond.
La mise en place de toutes ces obligations en matière de respect de la règlementation et de la protection des données demande donc beaucoup de connaissances, de temps et de ressources. C'est pourquoi, faire appel à un consultant RGPD vous mettra sur la bonne voie et vous fera économiser ennormément de ce temps.
Donc oui, c'est possible de tout faire par vous-même.
Mais non, vous n’avez « pas que ça à faire ».
Le premier point essentiel est de désigner une personne (ou un service) qui sera le/la pilote de la gouvernance des données personnelles de votre organisme. La personne en charge de ce pilotage devra bien évidemment avoir les connaissances nécessaires pour parfaire à sa mission car ce sera elle qui organisera les actions à mener pour maintenir une bonne conformité sur la durée.
Ensuite, il est primordial voire même indispensable, et ce de manière rigoureuse, d'établir une cartographie des traitements de données à caractère personnel au sein de votre structure. C'est après avoir réalisé ce travail de fond que vous obtiendrez une meilleure visibilité des données que vous traitez (leurs types, leurs volumes, leurs durées...) et que vous pourrez commencer à mettre en place votre documentation interne comme notamment le Registre des activités de traitement et celui de vos sous-traitants, dont leur mise en place sont par ailleurs obligatoires pour tout organismes, public comme privé, dès lors qu'il traite des données personnelles.
De plus, vous devrez mettre en place et diffuser l'ensemble des politiques pour vos clients (de confidentialité, de cookies sur votre site...), des procédures pour vos salariés/collaborateurs (droits des personnes concernées, contrôles d'accès, charte informatique...), de clauses dans les contrats de sous-traitances, de preuves de consentements...
En bref, vous l'aurez compris : il y a beaucoup de choses à faire et à mettre en œuvre !
Mais rassurez-vous : toutes ces choses qui seraient une corvée pour vous, AS Privacy peut le faire pour vous !
Enfin, vous devez être informé qu'en cas de manquement(s) aux obligations vis-à-vis du RGPD ou de la Loi Informatique et Libertés, votre structure qui est considérée comme "Responsable de traitement" peut être sanctionnée administrativement et financièrement dont le montant peut aller jusqu'à 20 000 000 € ou 4% du chiffre d'affaires de votre organisme.