Le RGPD demande à chaque organisation de suivre les obligations légales pour la protection des données personnelles. Il en va de la sauvegarde de la vie privée, et de la sécurisation des données informatiques sensibles.
1. Désigner un Chef de projet
C’est une des mesures phares du RGPD : la désignation en interne d’un Délégué à la Protection des Données (DPO).
Le délégué est désigné sur la base de ses qualités professionnelles et de ses connaissances en droit. Il peut être un membre du personnel ou un prestataire extérieur (consultant, avocat, prestataire spécialisé…).
Pilote de la gouvernance des données personnelles de votre structure, ce « chef d’orchestre » a pour tâche importante de coordonner toutes les actions de mise en conformité.
Ses missions principales :
- Informer et conseiller le responsable de traitement ou le sous-traitant
- Contrôler le respect du RGPD et de toute réglementation applicable aux données personnelles
- Dispenser des conseils, sur demande, en ce qui concerne l’Étude d’Impact
- Coopérer avec la CNIL et être le contact référent avec celle-ci Il devra également s’informer sur le contenu des nouvelles obligations, sensibiliser les décideurs, concevoir des actions de sensibilisation…
Il devra également s’informer sur le contenu des nouvelles obligations, sensibiliser les décideurs, concevoir des actions de sensibilisation,…
2. Cartographier
Vous pouvez dès maintenant commencer à recenser de façon précise les traitements de données personnelles que vous mettez en œuvre, pour cela il vous faudra élaborer un registre des traitements. En pratique, ces registres peuvent prendre une forme électronique et doivent être mis à disposition de la CNIL sur simple demande.
Objectif : Mesurer l’impact du règlement sur votre activité et répondre à cette exigence.
Prenons un cas précis avec un formulaire d’inscription à une newsletter :
Les noms et coordonnées de la personne gérant le traitement
Ex : Nom, prénom et coordonnées du responsable marketing
La finalité du traitement
Ex : Newsletter mensuelle dans le but d’informer les utilisateurs sur les nouveaux produits, les actualités de la marque les offres exclusives,…
La segmentation des personnes et des données
Ex : Contient les noms, prénoms, adresses email, numéros de téléphone professionnel des utilisateurs qui sont des employés ou des dirigeants
Les catégories de destinataires
Ex : Transmis à l’équipe marketing de l’entreprise et au partenaire, entreprise de routage mail, dont le siège social est en France
Dans la mesure du possible, les délais prévus de conservation des données
Ex : Jusqu’au désabonnement de l’internaute
Dans la mesure du possible, une description des mesures de sécurité techniques et opérationnelles mises en place
Ex : Conservation sur un serveur sécurisé en France
3. Prioriser
Vous avez identifié les traitements de données personnelles mis en œuvre au sein de votre structure, il faut ensuite, sur la base de votre registre, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Exemples :
- Associer la Direction Générale et les Directions concernées au travers d’une réunion de cadrage globale alliant sensibilisation aux enjeux du RGPD, identification des opportunités pour la structure et prise en compte des contraintes et impératifs métiers
- Définir à partir de là un séquençage des prestations cohérent au regard de l’existant au sein de la structure
- Élaborer un plan d’actions générales
- Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.
4. Gérer les risques
Le responsable de traitement devra procéder à une analyse préalable de l’impact des opérations de traitement à risque et notamment les traitements reposant sur l’évaluation systématique et approfondie d’aspects personnels des personnes physiques (notamment de profilage).
A retenir : votre étude d’impact devra être réalisée avant de collecter des données et de mettre en œuvre le traitement.
L’étude d’impact (en anglais, Privacy Impact Assessment ou PIA) doit faire apparaître les caractéristiques du traitement (description avec ses finalités), les risques et les mesures adoptées.
Si l’étude d’impact fait ressortir un risque important, la CNIL devra être consultée avant la mise en œuvre du traitement.
La CNIL a élaboré une méthode et un catalogue de bonnes pratiques qui vous aident à mener un PIA et à déterminer les mesures proportionnées aux risques identifiés. En suivant les consignes, vous disposerez de tous les outils nécessaires pour la maîtrise des risques. La sécurité de l’information est primordiale pour permettre le respect des données personnelles, tout au long du processus allant de la collecte jusqu’au traitement.
Il apparaît en ce sens essentiel de s’attacher à disposer d’un système d’information qui ne souffre d’aucune vulnérabilité. La mise en conformité avec le règlement européen implique en effet une grande vigilance en termes de cybersécurité. La prévention du piratage fait partie des chantiers importants afin de protéger les informations privées d’un usage malveillant.
5. Organiser
Pour assurer en permanence un haut niveau de protection des données personnelles, mettez en place des mesures techniques et organisationnelles appropriées qui garantissent la prise en compte de la protection des données à tout moment, en prenant en considération l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement, ce qui peut imposer :
- La pseudonymisation et le chiffrement des données à caractère personnel ;
- La garantie technique et organisationnelle d’une confidentialité, intégrité et disponibilité des systèmes de traitement ;
- Des moyens d’actions rapides en cas de défaillance ;
- Une procédure interne visant à tester, analyser et à évaluer régulièrement l’efficacité des mesures techniques. Le RGPD impose en outre l’obligation de notifier les cas de Violation des données : le responsable de traitement doit notifier à la CNIL toute violation de données à caractère personnel dans les 72 heures de la survenance.
Les personnes concernées devront également être informées si cette violation « fait courir des risques à leurs droits et libertés ».
Le sous-traitant doit également notifier au responsable de traitement toute violation « dans les meilleurs délais ».
6. Documenter
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Votre dossier devra notamment comporter les éléments suivants :
- Le registre des traitements (pour les responsables de traitement) ou des catégories d’activités de traitement (pour les sous-traitants) ;
- Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes ;
- Les modèles de recueil du consentement des personnes concernées ;
- Les procédures mises en place pour l’exercice des droits ;
- Les contrats avec les sous-traitants ;
- Les procédures internes en cas de violations de données ;
- Les preuves que les personnes concernées ont donné leur consentement.
La mise en place des différents chantiers de mise en conformité au RGPD permet d’intégrer un ensemble de bonnes pratiques relatives à la protection des données personnelles. L’intervention du DPO apporte de plus une richesse à l’organisation responsable du traitement des données, entreprise ou organisme public, grâce à des campagnes de sensibilisation des différents acteurs aux problématiques de vie privée pour les utilisateurs et clients.
