Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute organisation (entrepreneurs indépendants, TPE, PME, TGE, collectivités, associations, organismes publics) qui collecte, stocke ou traite des données personnelles sur des citoyens européens, quelle que soit sa taille ou son activité.
La première étape de la mise en conformité RGPD (entrée en vigueur le 25 mai 2018) consiste de façon obligatoire à la mise en oeuvre et réalisation des "registres des activités de traitement" de l'entreprise ou l'organisation (recensement des traitements de données et vue d'ensemble de leur utilisation). En pratique ces registres sont à mettre à jour dès qu'il y a une modification aux conditions de mise en oeuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire, ...). Cela permet aussi de montrer l'amélioration continue à travers le suivi des plans d'action qui en découlent.
La seconde étape consiste en la documentation (registres de traitement mais aussi tous les dossiers et documents réalisés lors de la mise en conformité).
Enfin en tant que sous-traitant vous devez tenir un registre sous-traitant qui reprend les catégories d'activités de traitement que vous effectuez pour le compte de vos clients.
Après avoir réalisé ces 3 premières étapes, l'entreprise est en mesure de déterminer les actions complémentaires à réaliser selon qu'elle est concernée ou non. C'est également à cette étape qu'elle est en mesure de définir si son prestataire informatique doit intervenir pour renforcer la sécurité informatique.