Préparez votre G.D.P.R.

La GDPR (General Data Protection Regulation) ou RGPD (Règlement Général sur la Protection des Données) est un nouveau règlement européen, qui sera applicable le 25 mai 2018.

La réforme européenne de la protection des données poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

De nombreuses formalités auprès de la CNIL française vont disparaître. En contrepartie, la responsabilité des organismes et entreprises sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Passer des formalités préalables à une logique de responsabilité

Alors que les obligations des organismes et entreprises au regard de la loi informatique et libertés reposent en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence.

Cette notion de responsabilité (accountability) se traduit notamment par :

  1. la prise en compte de la protection des données dès la conception d’un service ou d’un produit et par défaut ;
  2. la mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.

En pratique, les organismes et les entreprises devront :

  • réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
  • évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
  • identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
  • maintenir une documentation assurant la traçabilité des mesures.

Les nouveaux outils de conformité

D’un point de vue opérationnel, la conformité au règlement européen repose sur différents outils :

  • le registre des traitements et la documentation interne ;
  • les études d’impact sur la vie privée (PIA) pour les traitements à risque ;
  • la notification de violations de données personnelles. La mise en œuvre de ces outils implique, au préalable, la désignation d’un « pilote » interne : le délégué à la protection des données (en anglais Data Protection Officer DPO), véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme. Au-delà, la logique de responsabilisation (accountability) doit se traduire par un changement de culture interne et mobiliser les compétences internes ou externes (DSI, prestataires, services juridiques, services métiers).

Plan d’action GDPR Datexis

La société Datexis vous propose de vous accompagner dans la mise en place d’un plan d’action, en 6 étapes :

1 – DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, si ce n’est pas déjà le cas, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

2 – CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

3 – PRIORISER LES ACTIONS À MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

4 – GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

5- ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

6 – DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Do NOT follow this link or you will be banned from the site!