Une mise en conformité moins simple qu’il n’y paraît

Pour certaines sociétés, la mise en conformité au RGPD est un processus qui prend du temps et nécessite la production d’un nombre important de documents.

C’est notamment le cas de sociétés amenées à traiter des catégories particulières de données (santé, appartenance syndicale, opinions politiques, etc.), de sociétés traitant des données personnelles de mineurs ou encore de sociétés traitant des données financières.

Pour d’autres entreprises, la mise en conformité devrait, au vu de leurs activités, être rapide et ne pas présenter de difficultés particulières.

Pourtant, nous avons pu constater que même les sociétés semblant traiter un nombre très limité de données personnelles peuvent avoir besoin d’un accompagnement personnalisé lors de leur mise en conformité.

Lors de la mise en conformité d’un de nos clients, spécialisé dans l’import-export de produits alimentaires, nous pensions ainsi répertorier un nombre restreint de traitement de données.

Notre client nous avait lui-même indiqué avoir identifié la plupart des traitements et souhaitait simplement une vérification de ses propres conclusions.

Après discussion avec les équipes de notre client, nous avons cependant constaté que celui-ci réalisait un nombre de traitements de données beaucoup plus important que ce qu’il avait envisagé initialement.

Certains de ces traitements impliquaient par ailleurs des dispositions spécifiques, relatives notamment à la télésurveillance permanente des entrepôts, à la géolocalisation de salariés lors de livraison et à la collecte d’informations relatives à la sécurité du site d’implantation des entrepôts destinés à envoyer et recevoir les marchandises.

Nous avons donc, en complément de la documentation habituelle, analysé les spécificités de l’activité de notre client au regard des recommandations de la Cnil.

Nous avons ainsi pu produire les documents qui lui seraient demandés en cas de contrôle, ainsi que ceux devant être communiqués aux salariés.

Il convient par conséquent de procéder à une analyse détaillée de l’activité, même lorsque les flux de données paraissent limités.