DOSSIER RGPD – Que faire pour être en conformité ?

Back to Articles

DOSSIER RGPD – Que faire pour être en conformité ?

La mise en conformité avec le RGPD nécessite un certain travail au sein de toute structure collectant des données personnelles. Tout le monde est concerné ! Des associations aux entreprises du CAC 40 en passant par les TPE ou PME. Par où commencer ?

 

Etape 1 : nommer un délégué à la protection des données

Comme pour tout projet, la mise en conformité demande un minimum d’organisation.
Il est donc fortement recommandé de nommer une personne qui pourra piloter le projet au sein de la structure : le Délégué à la Protection des Données (DPD).

Cette personne aura pour mission de faire l’inventaire de tous les fichiers existants qu’il s’agisse de fichiers commerciaux mais également de fichiers RH, comptables …

 

Etape 2 : constituer un registre

La première mission du DPD pour entrer dans la démarche, et répondre ainsi aux nouvelles obligations, est de mettre en place une cartographie. Il doit constituer un registre regroupant les fichiers présents votre établissement. Un modèle de registre est proposé par la CNIL : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles.

La cartographie va permettre d’identifier où sont collectées et stockées les données. Toute organisation doit tenir une documentation interne complète sur le traitement de ces données en fonction de leur finalité. Elle doit répondre aux questions suivantes :

  • Qui : qui est le responsable du traitement et qui sont les sous-traitants ?
  • Quoi : quelles sont les données traitées et leur sensibilité ?
  • Pourquoi : pourquoi l’organisme collecte-t-il ces données ?
  • Où : où ces données sont-elles stockées ? Sont-elles transférables dans d’autres pays ?
  • Jusqu’à quand : combien de temps sont-elles conservées ?
  • Comment : quelles sont les mesures de sécurité prises pour garantir leur sécurité ?

 

Etape 3 : se conformer aux obligations actuelles et à venir

Une fois le registre effectué et tous les canaux d’alimentation des fichiers de données identifiés, il est essentiel d’identifier les actions à mettre en place afin d’être en conformité. La CNIL met en avant 6 points de vigilance :

  1. S’assurer que seules les données nécessaires à la poursuite des objectifs déterminés sont collectées et traitées
  2. Identifier la base juridique sur laquelle le traitement se fonde (consentement de l’individu, intérêt légitime, contrat, obligation légale)
  3. Réviser les mentions légales, CGV ….
  4. Vérifier que les sous-traitants répondent à leurs obligations
  5. Prévoir les modalités d’exercice des droits des individus pour lesquels les données sont collectés (droit d’accès, de rectification, droit à la portabilité, retrait du consentement …)
  6. Vérifier les mesures de sécurité

 

Etape 4 : gérer les risques

Une fois la cartographie réalisée et les moyens de collectes mis en conformité, l’heure est à la gestion des risques. Vous devrez mener pour chacun des traitements une étude d’impact sur la protection des données. On entend également parler, en anglais, de Privacy Impact Assessment ou PIA.
L’étude d’impact doit être menée sur les traitements existants et pour tout nouveau traitement.

La CNIL propose un outil pour aider les structures à réaliser leur PIA : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.

 

Etape 5 : mettre en place des processus internes

Afin de garantir la protection des données personnelles de manière durable, il est essentiel que l’organisation mette en place des processus, par exemple :

  • Que faire en cas de faille de sécurité ?
  • Comment gérer les demandes d’accès ou de rectification ?
  • Comment modifier les données collectées ?
  • Que faire en cas de changement de prestataire ?

Dès la conception d’un site web, d’une application mobile, … la protection des données personnelles doit donc dorénavant être prise en compte. Il est également essentiel de sensibiliser l’ensemble des collaborateurs sur cette problématique afin que chacun puisse mesurer l’importance du sujet.

 

Etape 6 : Documenter la conformité

Afin de pouvoir prouver sa conformité, l’organisme doit mettre en place une documentation démontrant que le traitement des données personnelles est conforme au règlement. Il devra notamment comporter les pièces suivantes (source : CNIL – https://www.cnil.fr/fr/documenter-la-conformite) :

  • Le registre des traitements
  • Les analyses d’impact sur la protection des données pour les traitements susceptibles d’engendrer des risques élevés
  • L’encadrement des transferts de données
  • Les mentions d’information des personnes dont l’organisme détient les données
  • Les modèles de recueil du consentement
  • Les procédures mises en place pour l’exercice des droits des individus
  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violation des données
  • Les preuves que les personnes concernées ont donné leur consentement

 

Retrouvez le mois prochain les conséquences du RGPD sur l’opérationnel.

Partager cet article

Back to Articles