GDPR 4

 

Règlement Général sur la Protection des Données (General Data Protection Régulation).

Il s’agit de la nouvelle réglementation européenne qui (re)définit le régime de protection des données personnelles des citoyens européens. Elle sera applicable au 25 mai 2018 en France.

De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

1.     Pourquoi ?

Selon la CNIL, elle a trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ainsi, les personnes reprennent « un peu » le contrôle de leurs données personnelles avec le droit d’accéder à leurs données, le droit à l’oubli et le droit à la portabilité des données.

2.     Qui est concerné ?

Toutes les entreprises qui récoltent et traitent des données des résidents européens et peu importe le pays où le traitement des données est effectué. Les sous-traitants sont donc aussi concernés, ainsi que les organismes publics et les associations. Une adresse mail de type prenom.nom@nomsociete.fr est une donnée personnelle, ainsi nous comprenons vite que n’importe quel service commercial ou marketing, même en B to B est visé par le RGPD.

3.     Les étapes de la mise en conformité

LA RGPD n’est pas qu’une contrainte technique nécessitant la mise en place de préconisations afin d’être en conformité. C’est avant tout une mesure organisationnelle qui demandera un travail continu.

LA CNIL a défini 6 étapes pour se préparer et y voir plus clair.

3.1.   Etape 1 : Désigner un « Chef d’Orchestre » (au sens du règlement : un DPO)

Il aura pour mission d’informer, de conseiller, de contrôler le respect du règlement et de coopérer avec la CNIL. Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne. En effet, le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

etape 1

3.2.   Etape 2 : Cartographier vos traitements de données.

Pour chaque traitement de données personnelles, il faut être en mesure de répondre aux questions suivantes :

  • QUI ? (DPO, responsable des services opérationnels, sous -traitants),
  • QUOI ? (Catégoriser et identifier les données « à risque »),
  • POURQUOI ? (Exemple : ces données sont collectées et traitées dans le cadre de la gestion RH),
  • OÙ ? (Lieu d’hébergement des données, pays de transfert),
  • JUSQU’A QUAND ? (Temps de conservation des données), et enfin :
  • COMMENT ? (Mesures mises en œuvre pour minimiser les risques d’accès non autorisés aux données)

etape 2

3.3.   Etape 3 : Prioriser les actions

Identifier et prioriser les actions à mener au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées, sur la base du registre des traitements de données personnelles.

etape 3

3.4.   Etape 4 : Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données.

etape 4

3.5.   Etape 5 : Organiser les processus internes

Ceux-ci permettront de garantir un haut niveau de protection des données personnelles en permanence, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

etape 5

3.6.   Etape 6 : Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

etape 6

4.     Quand ?

Hier, maintenant et demain. A partir du 25 Mai 2018, il faudra être en conformité ou avoir entamé concrètement sa mise en conformité. Et ensuite maintenir sa conformité avec des audits réguliers.

5.     Les outils

La CNIL met à disposition gratuitement, sur son site (https://www.cnil.fr/fr/les-outils-de-la-conformite), un certain nombre d’outils d’information et d’aide à la mise en conformité. Vous y trouverez notamment les outils suivants :

  • Comment mener une EIVP, un PIA ?
  • PIA, L’OUTILLAGE aidant à l’étude du contexte, des mesures, de risques et à la validation du PIA.

Catalogue des bonnes pratiques destinées à traiter les risques accompagnant pour agir sur les éléments à protéger, sur les impacts, les sources de risques, les supports