La protection des données : RGPD, comment s’y prendre ?
Le règlement européen concernant la protection des données a été modifié, et celle-ci sera applicable le 25 mai 2018. Il consiste à faire disparaitre de nombreuses formalités de la CNIL et en contrepartie, à renforcer la responsabilité des organismes au niveau de la protection des données en interne tout en étant en mesure de démontrer leur conformité à l’aide de documents.
Les différentes étapes à mettre en œuvre :
Etape 1 : Désigner un pilote
Afin de prendre de l’avance et pourquoi pas organiser une action future, la désignation d’un « délégué à la protection des données » en attendant 2018.
Dans tous les cas, la désignation d’un délégué à la protection des données sera obligatoire en 2018 si :
- Vous êtes un organisme public,
- Vous êtes un organisme dont l’activité de base vous demande de réaliser un suivi régulier des personnes à grande échelle, ou à traiter des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Même si votre organisme ne remplit pas ces « contraintes », il est tout de même conseillé de désigner un délégué à la protection des données afin qu’il réponde à ses différentes missions et qu’il rende votre organisme optimisé au maximum.
Etape 2 : Cartographier
Cette mesure permet de faire le point à l’aide d’un registre des traitements : cela vous permettra de mesurer concrètement l’impact du règlement européen sur votre protection des données.
Afin de structurer vos données, vous devez recenser préalablement :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées,
- Les objectifs poursuivis par les opérations de traitements de données,
- Les acteurs qui traitent ces données,
- Ainsi que les flux (en indiquant leur origine, et la destination des données).
Etape 3 : Prioriser
Mettez des priorités à vos actions afin d’être conforme aux obligations actuelles et à venir. Ceci vous permettra de protéger les personnes concernées et ainsi de prendre de l’avance sur l’année qui arrive.
Les priorités sont :
- Assurer vous que vos objectifs de collectes et de traitement soient poursuivis uniquement sur les données strictement nécessaires,
- Identifier la base juridique sur laquelle se fonde votre traitement,
- Revoyez vos mentions d’information afin qu’elles soient conformes au règlement,
- Discutez avec vos sous-traitants afin de savoir s’ils ont pris connaissance des nouvelles obligations et de leurs nouvelles responsabilités,
- Prévoyez les modalités par rapport aux droits des personnes (droit d’accès, de rectification…),
- Et vérifier les mesures de sécurité mise en place.
Etape 4 : Gérer les risques
Si vous identifiez des risques concernant les droits et libertés des personnes, vous devrez analyser l’impact sur la protection des données (PIA).
Cette analyse est un outil d’évaluation sur la vie privée ; il repose sur les principes et droits fondamentaux, fixés par la loi ainsi que sur la gestion des risques de la vie privée des personnes concernées ce qui permet d’organiser de manière appropriée, la sécurité adaptée.
Etape 5 : Organiser
Organiser les processus internes afin de rendre votre sécurité adaptée à toutes situations et de garantir un système sans faille. Ceci implique :
- Une prise en compte de la protection des données personnelles dès la conception,
- Une sensibilisation et une organisation de la remontée d’information,
- Un traitement des réclamations et des demandes des personnes concernées quant à l’exercice de leurs droits,
- Ainsi qu’une anticipation des violations de donnée.
Etape 6 : Documenter
Pour prouver que vous êtes en règle concernant le règlement, vous devez regrouper les documents nécessaires afin de le prouver. Les actions et documents produits à chaque étape de la protection de vos données doivent être enregistrées et gardées afin de pouvoir évaluer cette protection sur le long terme.
En espérant vous avoir aidé !