Jeudi 12 avril 2018
Le Règlement Général sur la Protection des Données ou RGPD, vous en avez forcément entendu parler. Cependant, dans sa mise en application au sein de votre organisme, vous ne savez peut-être pas vraiment comment vous y prendre. Voici 6 étapes à suivre pour intégrer cette nouvelle réglementation.
Infographie par EBP sur le RGPD
ÉTAPE 1 : NOMMER UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Le rôle du DPO est celui d’un véritable chef d’orchestre. Ses principales missions sont les suivantes :
- Informer le(s) responsable(s) de traitement ainsi que les employés,
- Conseiller l’organisme sur l’étude d’impact sur la protection des données,
- Contrôler le bon respect du règlement en interne.
ÉTAPE 2 : CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES
La cartographie vous permet d’établir un véritable état des lieux de vos traitements et de vous assurer que ceux-ci respectent bien le RGPD.
Pour cela, vous devez recenser :
- Vos traitements de données à caractère personnel,
- Les catégories de données traitées ainsi que le temps de conservation de ces informations,
- Les objectifs de chaque traitement,
- Les intervenants internes ou externes ayant accès et utilisant ces informations,
- Les lieux de stockage ainsi que les éventuels flux de données en indiquant leur pays d’origine et de destination (UE ou hors UE).
ÉTAPE 3 : PRIORISER LES ACTIONS À MENER
La cartographie réalisée dans l’étape 2 vous permettra d’identifier plus facilement les traitements dits « à risque ». Une fois cette action effectuée, vous devrez prendre les mesures nécessaires afin de protéger les personnes concernées par ceux-ci.
Pour cela :
- Assurez-vous que seules les informations nécessaires à l’exercice de votre activité sont collectées et traitées.
- Vérifiez vos mesures de sécurité ainsi que la bonne connaissance du règlement de la part de vos sous-traitants.
- Anticiper les éventuelles demandes des personnes dont vous traitez les données : droits d’accès, droit de rectification, droit à la portabilité, etc.
ÉTAPE 4 : GÉRER LES RISQUES
L’outil PIA (Privacy Impact Assessment), disponible au téléchargement sur le site de la CNIL, vous permettra de réaliser une étude d’impact sur tous vos traitements pouvant générer des risques élevés pour les droits des personnes concernées.
Cette analyse vous sera utile pour définir des actions correctives sur vos traitements risqués ou non sécurisés. Elle doit également être réalisée avant la collecte de nouvelles données.
ÉTAPE 5 : ORGANISER LES PROCESSUS INTERNES
La mise en place de procédures internes est nécessaire pour garantir la sécurité des données à caractère personnel que vous traitez, tout en prenant en compte tous les évènements qui peuvent survenir durant leur traitement (modifications des données, demande d’accès à celles-ci, faille de sécurité, etc.). Vos collaborateurs doivent être informés et sensibilisés à leurs nouvelles obligations. En cas d’incident, ils doivent tout de suite savoir quoi faire et à qui s’adresser.
ÉTAPE 6 : DOCUMENTER LA CONFORMITÉ
Afin de pouvoir prouver le bon respect du RGPD lors de vos traitements de données, il est nécessaire de constituer un dossier documentaire.
A cet effet, vous devez regrouper les documents suivants :
- Les contrats définissant les rôles et responsabilités de chaque acteur (contrat avec vos sous-traitants, procédures internes, etc.).
- Les documents sur vos traitements de données à caractère personnel (analyses d’impact, votre registre des traitements, etc.).
- Les informations sur les personnes (procédures mises en place, recueil de consentements, etc.).
Soyez serein face à la mise en application du RGPD en déployant dès maintenant les actions nécessaires au sein de votre organisme. N’attendez pas le 25 mai ! Il est également important de vous informer des éventuelles évolutions du règlement et d’adapter votre organisation de façon récurrente.
Pour en savoir plus, rendez-vous sur le site de la CNIL, ou regardez la vidéo ci-dessous, qui répond aux principales interrogations sur le RGPD !