La première étape dans la compréhension du RGPD et dans son application est d'abord de désigner une personne qui sera chargé d'assurer la mise en conformité réglement européen: un délégué à la protection des données (DPD ou DPO en anglais). Cette personne peut être interne à l'entreprise, si elle dispose des qualifications nécessaires, ou externe en faisant appelle à un cabinet de conseils.

Le DPD aura pour mission d'informer l'organisme sur les notions à appliquer, de contrôler le respect de ces notions et coopérer avec l'autorité de contrôle. Le délégué agit ici comme levier principal pour l'entreprise en sensibilisant, en informant sur le RGPD et en concevant des actions de sensibilisations sur le sujet afin que l'entreprise et ses sous-traitants saisissent les tenants et aboutissants du réglement européen.

La deuxième étape est d'identifier toutes les données concernées par la réglementation:

• - Les données de collaborateurs (infos personnelles, RIB, géolocalisation, documents, ...)
• - Les données de consommateurs (coordonnées, données marketing, commandes, RIB, ...)
• - Les données des entreprises ne sont pas directement concernées par la réglementation mais vous pouvez peut être collecter des informations personnelles dans certains cadres professionnels (coordonnées de contacts, données marketing, documents personnels, ...)

La troisième étape consiste à identifier des pratiques à risque pour les droits et libertés des personnes concernées. Après avoir identifier ces pratiques, votre DPD et une équipe devront réaliser une AIPD (analyse d'impact relative à la protection des données). Une AIPD est une analyse "aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD." (source CNIL). Cette dernière repose sur 2 piliers:

• Les principes et droits fondamentaux non négociables fixés par la loi, ne pouvant faire en aucun cas l'objet d'une modulation.
• La gestion des risques sur la vie privée des personnes concernées permettant de déterminer les mesures à adopter afin de protéger les données personnelles.

La quatrième étape est de réorganiser les méthodes et processus de travail en lien avec les traitements de données personnelles afin que dans le futur ces derniers soient en accord avec le RGPD. En réorganisant ces processus, le DPD met l'accent sur la prise en compte de la protection des données personnelles dès le début d'un traitement, sur l'organisation des informations liées à ces traitements en communicant plus efficacement vis-à-vis de ces données au sein de l'organisme et enfin sur les procédures à appliquer lors des réclamations des personnes concernées quant à l'exercice de leurs droits (retractation, droit d'accès, de rectification, ...).

Enfin la dernière étape repose sur votre communication sur votre conformité au réglement, pour cela une documentation sera constitué avec l'aide du DPD avec comme contenu une liste des étapes réalisées lors de cette analyse, leurs encadrements, les informations concernées et vos contrats avec vos sous-traitants entre autres.