Le Règlement Européen sur la Protection des Données Personnelles (RGPD) entre en vigueur le 25 mai prochain. L’objectif du RGPD est de créer un cadre pour la protection des données personnelles tenant compte des technologiques actuelles et de leurs évolutions (objets connectés, Intelligence Artificielle, Big Data, …).
Il place l’individu au coeur de ce dispositif et renforce ses droits : consolidation des obligations d’information, restrictions en matière de recueil de consentement, droit à la portabilité des données, à l’effacement, etc.
ETIC revient pour vous sur les 8 étapes clés pour être en conformité avec le RGPD.
1/ Sensibiliser le personnel au RGPD
Commencez par sensibiliser l’ensemble du personnel aux enjeux de la protection des données personnelles, au changement de philosophie (principe de responsabilisation) ainsi qu’à ses nouvelles règles.
Cette campagne de sensibilisation doit être adaptée au métier de chacun tout en mettant l’accent sur les employés les plus exposés aux données personnelles. Elle peut prendre des formes diverses : sessions de formations, newsletter interne, vidéo explicative, etc.
Impliquer le personnel dès le début du processus c’est s’assurer de son adhésion.
2/ Désigner un pilote DPD (Délégué à la Protection des Données)
Vous êtes dans l’obligation de nommer un DPD dans 3 cas de figure :
- Si vous êtes une autorité publique ou un organisme public
- Si vos activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
- Si vos activités de base consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, biométriques, opinions politiques, …)
Le DPD est à la fois » le chef d’orchestre » et » le garant » de la conformité de la protection des données au sein de son organisation / entreprise. La fonction DPD peut être externalisée librement (exemple : fonction assurée par un prestataire externe) ou mutualisée (exemple : partage d’un DPD entre plusieurs communes).
3/ Faire un état des lieux sur la sécurité des données
Avant de construire votre plan d’actions, procédez à un état des lieux de l’ensemble de vos traitements pour chaque donnée personnelle en votre possession. L’objectif est d’obtenir une vison globale de votre mise en conformité.
Cela passe par un audit à la fois technique et organisationnel (exemples : la sécurité des systèmes d’information, les flux de données avec vos différents partenaires, la gestion des données personnelles des salariés, … )
4/ Cartographier les traitements de vos données
Cette étape consiste à recenser de façon précise les traitements de données personnelles que vous mettez en œuvre afin de vous assurer que ces traitements respectent bien les nouvelles obligations légales.
La cartographie de vos données personnelles mènera à votre futur registre des traitements. Des outils SaaS spécialisés existent et peuvent vous faciliter cette tâche.
5/ Prioriser les actions à mener
Sur la base de votre registre des traitements, identifiez les actions à mener pour vous conformer aux obligations du RGPD.
Priorisez ensuite ces actions en fonction des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
6/ Gérer les risques
Pour les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, réalisez, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
7/ Rédiger la documentation RGPD
Afin de prouver à tout moment auprès de la CNIL votre conformité au RGPD, vous devez constituer une base documentaire composée au minimum du Registre des traitements et des PIA.
En complément, des documents informatifs doivent être produits tels que : les modalités d’exercice des droits des personnes, les clauses des contrats des sous-traitants, un mémo des principes RGPD applicables, …
8 /Organiser les processus internes
Pour garantir un haut niveau de protection des données personnelles, mettez en place des procédures internes qui garantissent la protection des données en continu.
Vos procédures doivent prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, modification des données collectées, changement de prestataire, …).
Etic Consulting vous propose un cadre complet et personnalisé pour vous accompagner dans la mise en conformité au RGPD.
N’hésitez pas à nous contacter pour de plus amples informations.
