Protection des données : se conformer au RGPD en 6 étapes

0
399
Nombre de vues

Le 25 Mai 2018, le règlement européen concernant la protection des données entre en vigueur. Un certain nombre de formalités à effectuer auprès de le CNIL auront disparu. De leur côté, les entreprises auront plus de responsabilités. Voici les 6 étapes à suivre pour se conformer au RGPD.

Désigner un pilote

Afin d’assurer le pilotage des données personnelles au sein de votre structure, vous aurez besoin de nommer un data protection officer qui aura pour mission d’informer, de conseiller et de contrôler en interne l’ensemble des données. Afin de remplir ce rôle, la personne doit avoir d’une part des compétences juridiques et techniques mais aussi pouvoir résister à la pression.

En attendant le jour J,  vous pouvez déjà désigner un correspondant informatique et libertés qui vous permettra d’organiser les actions à mener. Pour vous aider à recruter la personne qui remplira ce poste, l’AFCDP a ouvert un espace d’offres d’emploi. Les PME pourront faire appel à des prestataires spécialisés tels que des avocats ou des consultants pour remplir cette fonction.

Cartographier

La deuxième étape consiste à traiter les données personnelles et s’assurer que ces traitements respectent comme il se doit les nouvelles obligations légales. Afin de mesurer l’impact du règlement sur votre activité, vous devez évaluer certains points clés :

  • Les différents traitements de données personnelles
  • Les catégories de données personnelles traitées
  • Les objectifs poursuivis par ce traitement de données
  • Les flux d’origine et de destination quant aux données

Prioriser les actions

Après avoir identifié le traitement des données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

Gérer les risques

Dans le cas où vous avez identifié des traitements de données personnelles présentant des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données, grâce au PIA (Privacy Impact Assessment).

Un PIA est un outil d’évaluation d’impact sur la vie privée qui repose sur 2 piliers :

  • les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus.
  • la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Poser un cadre

Afin que ce plan d’action s’inscrive dans la durée, il convient de mettre en place un pilotage spécifique concernant l’intégrité de ces données. Il faut se poser les questions suivantes :

  • Comment permettre le plus haut niveau de protection de données dès la conception d’un nouveau traitement ? (notion de Privacy by design)
  • Quelle est la chaîne de responsabilité en cas de fuite de données?

Sensibiliser les collaborateurs

Enfin, le dernier point repose sur la sensibilisation au sein de l’entreprise. En effet, la notion de respect de la vie privée doit être partagée par tous. Les salariés doivent être formés aux nouvelles obligations propres au RGPD.

RÉPONDRE

Laissez votre commentaire
Renseignez votre nom