Comment se préparer au mieux au GDPR ?
 

Thibaut D’hulst, avocat au sein du cabinet Van Bael & Bellis : « Chaque société doit se rendre compte du champ d’application du GDPR et réaliser que cela ne concerne pas uniquement certains secteurs. Chaque entreprise traite des données à caractère personnel, par exemple dans son département RH, IT, marketing ou finance. Toutefois, toutes les organisations ne sont pas impactées dans la même mesure par le GDPR, et toutes les activités ne présentent pas les mêmes risques. Enfin, le règlement est bien conçu, car il impose des sanctions impressionnantes qui forcent les organisations à prêter attention aux données personnelles qu'elles détiennent. »

 

Il faut donc une approche au cas par cas…
 

« Effectivement ! Les organisations ne doivent pas se limiter à prendre quelques mesures standardisées, comme une charte de respect de la vie privée. Il n’y a pas de solution type ! Il faut miser sur un plan individuel sur-mesure et sur une approche planifiée. »

 

Comment cela se traduit-il ?
 

« Il faut établir une structure interne et déterminer le responsable du respect de la conformité pour l’entreprise, ainsi qu’une personne de contact pour chaque département, chargée de la protection des données personnelles. Ensuite, au niveau opérationnel, il faut déterminer, éventuellement via un audit, les données dont dispose l’organisation et le traitement qu’elle leur applique. Sur cette base, l’entreprise peut procéder à une "gap analysis", qui consiste à comparer toutes les activités identifiées avec les obligations imposées par le GDPR afin de déterminer, in fine, les mesures nécessaires à la mise en conformité. Enfin, étant donné que chaque employé gère des données à caractère personnel, il faut que tout le monde soit informé de ses propres obligations pour adopter les bons réflexes. »

 

Avec quel suivi par la suite ?
 

« La mise en conformité nécessite une attention continue. Pour de nouveaux projets, par exemple le déploiement d’un nouveau logiciel, l’article 35 du règlement impose une analyse d’impact et de risques, ainsi que l’adoption de mesures pour atténuer ces derniers. Il faut aussi disposer de tous les documents démontrant qu’on a tenu compte des obligations du règlement. »