Être RGPD compliant, c'est non seulement avoir mené à bien son programme de conformité, mais aussi savoir la démontrer. Notamment en cas de contrôle de la CNIL ou d'une autre autorité nationale de protection des données personnelles.
La directrice de la conformité de la CNIL, Sophie Nerbonne, liste les outils dont peut se prévaloir une entreprise pour prouver qu'elle est à jour :
- un registre complet de ses traitements,
- ses impact assessment, lorsque nécessaire,
- mais également le suivi de codes de conduite, en cours de développement dans certains secteurs,
- ou le recours à la certification.
Démontrer une protection adéquate des données personnelles, traitées par l'entreprise, requiert aussi d'avoir formé ses équipes au RGPD. Valentine Poylo, la DPO de SNCF Réseau, présente le Chatbot que lance aujourd'hui son entreprise afin de sensibiliser ses salariés. Il pourrait rapidement être étendu aux deux autres maisons du groupe : SNCF Mobilités et SNCF.
Enfin, la non conformité peut coûter chère. Gerard Haas, fondateur du cabinet Haas Avocats, revient sur les sanctions qui pourraient tomber.