Cette nouvelle réforme a pour but d’assurer la protection des données personnelles, tant physique que numérique de tous les citoyens européens. En France, les entreprises quelques soient leur secteur devront garantir la sécurité des données personnelles de leurs clients, partenaires commerciaux et salariés avant le 25 mai 2018. Etes-vous en conformité avec le règlement mis en place par la RGPD ? Votre entreprise est-elle cybersécurisée ? Si ce n’est pas le cas suivez les étapes.
Etape 1 : Désignez un responsable.
La désignation d’un délégué à la protection des données est obligatoire si :
– Vous êtes un organisme public ;
– Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Il aura pour rôle :
– D’informer le responsable des traitements, ainsi que les employés ;
– De conseiller sur la réalisation d’étude d’impact sur la protection des données et d’en vérifier l’exécution ;
– De contrôler le respect du règlement et du droit national en matière de protection des données ;
Etape 2 : Cartographiez vos traitements de données personnelles
Les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.
Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :
– Les différents traitements de données personnelles,
– Les catégories de données personnelles traitées,
– Les objectifs poursuivis par les opérations de traitement de données,
– Les acteurs (internes ou externes) qui traitent ces données ; vous devrez notamment clairement identifier les prestataires sous-traitants,
– Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
Etape 3 : Priorisez les actions
Après avoir identifié les traitements de données personnelles mis en œuvre, vous devez, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en oeuvre et vous permettront de progresser rapidement.
Les actions devant susciter votre attention :
– Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées ;
– Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) ;
– Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement ;
– Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées ;
– Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) ;
– Vérifiez les mesures de sécurité mises en place.
Etape 4 : Gérez les risques
Après avoir identifié les traitements de données pouvant causer des risques pour la protection des données il faudra mener une étude d’impact sur la protection des données.
L’étude d’impact permet de :
– Bâtir un traitement de données respectueux de la vie privée
– Mesurer les impacts sur la vie privée des personnes concernées ;
– Démontrer le respect du règlement.
Elle contient :
– Une description du traitement et de ses finalités,
– Une évaluation de la nécessité et de la proportionnalité du traitement,
– Une appréciation des risques sur les droits et libertés des personnes concernées,
– Les mesures envisagées pour traiter ces risques et se conformer au règlement.
La CNIL met à votre disposition sur son site les guides, catalogues de bonnes pratiques qui vous aident à déterminer les mesures proportionnées aux risques identifiés. https://www.cnil.fr/fr/comprendre-le-rgpd
Etape 5 : Organisez des processus internes
Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment.
Organiser les processus impliquent de :
– Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durées de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en oeuvre de traitements de données) ; pour cela, appuyez-vous sur les conseils du délégué à la protection des données ;
– Sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs,
– Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen),
– Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
Etape 6 : Documentez votre conformité
Afin de prouver votre conformité, vous devez constituer un dossier documentaire permettant de démontrer que le traitement de données personnelles est conforme au règlement. Les mesures organisationnelles et techniques sont réexaminées et actualisées si nécessaire.
Votre dossier devra notamment comporter les éléments suivants :
La documentation sur vos traitements de données personnelles
– Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants),
– Les analyses d’impact sur la protection des données (PIA ; voir étape 4) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes,
– L’encadrement des transferts de données hors de l’Union européenne (notamment les clauses contractuelles types ou les BCR).
L’information des personnes
– Les mentions d’information,
– Les modèles de recueil du consentement des personnes concernées,
– Les procédures mises en place pour l’exercice des droits des personnes.
Les contrats qui définissent les rôles et les responsabilités des acteurs
– Les contrats avec les sous-traitants,
– Les procédures internes en cas de violations de données,
– Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.