AMOA mise en conformité RGPD

Vulgarisation / sensibilisation aux attendus du RGPD :

Cette phase d’initialisation a pour but de sensibiliser les pilotes internes de la démarche de mise en conformité RGPD :

• aux objectifs de la règlementation,
• aux risques en cas de non respect,
• aux bonnes pratiques à mettre en place,

A cette occasion, sera également présentée le planning et la méthodologie d’intervention. Certains arbitrages pourront être réalisés à cette occasion.

Cette première phase d’initialisation se déroulera dans les locaux de la société auprès d’une dizaine de personnes (représentants de la direction et directeurs de services). Votre réponse précisera la durée de cette phase, son contenu pédagogique, la structure des livrables

Livrables :

• réunion de présentation (max 10 personnes),
• support recensant les règles et bonnes pratiques RGPD,
• synthèse présentant la conduite de la mission tenant compte des arbitrages décidés au cours de la présentation.

Diagnostic

Le diagnostic sera réalisé auprès des référents ayant participé à la phase de sensibilisation. Ils s’entoureront si besoin des collaborateurs aptes à répondre sur les questions très techniques. Certains sous-traitants pourront également être audités (paie, comptable, …).

Les rendez-vous seront planifiés à minima 15 jours à l’avance et une trame de questionnaire sera fournie préalablement aux personnes questionnées.

Votre réponse précisera la méthodologie de collecte de données, la planification et la durée de cette phase, l’impact en terme de plan de charges sur les équipes internes, le contenu des livrables désignés ci-après.

Livrables :

• Etat des lieux des niveaux de conformité (technique, juridique et organisationnel) par rapport aux exigences du RGPD,
• Fiches des traitements identifiant les finalités poursuivies par chaque traitement, les données collectées, leur stockage, les ayants-droits, les durées de conservation.
• Identification des écarts sur chaque fiche de traitement. Classification des écarts par risque (majeur, mineur, moyen).
• Liste des actions à mener (par ordre de priorité) sur la base des écarts relevés. Une évaluation du plan de charge accompagnera chaque action.
• Ce livrable fera l’objet d’une restitution auprès du comité de pilotage qui pourra amender le document proposé.

Registre des traitements + mise à jour des supports

Cette phase comprend 3 objectifs et autant de livrables que de documents concernés :

1. La fourniture du registre des traitement conformément aux préconisations de la CNIL et sur la base des fiches de traitement établies dans la phase précédente.
2. L’établissement d’un guide PIA (Privacy Impact Assessment) : catalogues de bonnes pratiques destinées à traiter les risques que les traitements de données personnelles peuvent faire peser sur les libertés et la vie privée des personnes concernées
3. La mise en conformité des supports tels que les contrats, les documents de référence, les sites internet des sociétés du Groupe …

Pour les contrats il s’agit de mettre en conformité les contrats passés avec différents prestataires impacté par la gestion de données personnelles (éditeurs de logiciels utilisés par le Groupe, prestataires paie, comptables, informatiques, hébergeurs, documents contractuels tels que les baux, conventions, …).

La mission consiste à identifier les contrats, assister à la rédaction des courriers ou actions auprès des structures concernées, rédaction et négociation des avenants aux contrats concernés.

Pour les documents de référence, il s’agit de mettre en conformité avec le RGPD les documents organisationnels tels que la charte informatique sur ces aspects « droits et devoirs des utilisateurs et des administrateurs », « fiche de poste DPD » et « politique de sécurité du SI ».

Enfin, après étude des 2 sites internet, le titulaire du marché fournira les modifications à réaliser pour mettre en conformité les sites, telles que :

• Mentions légales,
• Politique de confidentialité
• Les conditions générales d’utilisation des sites
• Méthodologie de recueil du consentement des internautes utilisant nos sites

Votre réponse précisera la méthodologie proposée pour réaliser ces livrables ou missions, l’impact en terme de plan de charge sur les équipes internes et leur rôle dans le dispositif, ainsi qu’un planning de réalisation.

Mission de DPD (Délégué à la Protection des Données) externalisée

Cette phase démarrera dès l’Ordre de Service prescrivant le démarrage de la mission. Le DPD externe aura, sur les activités des sociétés, pour principales missions :

• d’animer, de former et maintenir la conformité avec cette règlementation,
• de conseiller et suivre la réalisation des plans d’actions,
• de maintenir les documents règlementaires à jour,
• de contrôler via des audits le respect du registre des traitements,
• de préparer les réponses aux sollicitations en lien avec le RGPD (réagir aux différents événements : contrôle CNIL, fuite de données, …)
• de fournir semestriellement à la Direction des reportings d’avancement.

Votre offre précisera le(les) CV du(des) DPD proposé(s) et mettra en avant le large spectre de compétences permettant de répondre à tous les aspects du RGPD (sécurité, organisation et classement, animation, …). Une attention toute particulière sera apportée aux profils qui ne sont pas simplement des prescripteurs mais qui peuvent aussi proposer des solutions pragmatiques.

Votre offre (qui devra être forfaitaire) détaillera les missions proposées, la méthodologie d’intervention (précisera la part de présence sur site et à distance, quantifiera le nombre de jours prévisionnels proposés annuellement).

Enfin elle indiquera les moyens d’échange avec le DPD : appel direct, présence d’une hot-line, dépôt de tickets, …