Le règlement européen sur la protection des données est entré en application le 25 mai 2018. Il entraîne la disparition de plusieurs formalités auprès de la CNIL. Mais la responsabilité des entreprises est renforcée : elles doivent assurer la protection optimale de leurs données et être en mesure de le prouver avec des documents attestant de leur conformité. Voyons donc comment une entreprise peut faire pour être conforme à ce règlement...
Désignez un pilote et recensez les traitements de données personnelles
Vous aurez besoin d'un délégué à la protection des données pour piloter la gouvernance de l'ensemble des données personnelles de votre entreprise. Comme un chef d’orchestre, il exercera une mission de conseil, d'information et de contrôle en interne. Il sera un atout majeur dans la compréhension et le respect du RGPD, pour discuter avec les autorités de protection des données, et pour diminuer les risques de contentieux. Par ailleurs, pour pouvoir tenir une documentation interne complète sur vos traitements des données personnelles (exigence demandée dans le règlement général sur la protection des données), il faut que vous soyez en mesure de recenser avec précision les différentes catégories de données personnelles que vous traitez, les différents traitements de ces données, les acteurs externes et internes traitant ces données (avec identification des prestataires sous-traitants), vos objectifs souhaités avec les opérations de ces traitements de données, et les flux (précisant l'origine et la destination des données pour permettre l'identification d’éventuels transferts en dehors de l'Union Européenne). Et pour en savoir plus sur les exigences de la loi RGPD, vous pouvez consulter le site www.dpms.eu qui vous donnera toutes les informations nécessaires.
Priorisez les actions à mener et gérez les risques
Une fois que vous aurez identifié les différents traitements des données personnelles de votre entreprise, vous allez pouvoir déterminer les actions à mener pour vous mettre en conformité avec les obligations du Règlement Général sur la Protection des Données. La priorisation de ces actions sera alors effectuée par rapport aux risques que font peser les traitements des données sur les personnes concernées. Pour définir ces actions, vous vérifierez que vous ne collectez que des données nécessaires, que vous respectez une base juridique (contrat, consentement des personnes, information, obligation légale...), que vos mentions d'information respectent le règlement européen sur la protection des données (articles 12, 13 et 14 de ce règlement), que vos sous-traitants connaissent leurs responsabilités et obligations (assurez-vous qu'il existe des clauses contractuelles pour la confidentialité, la sécurité et la protection des données personnelles qui sont traitées) et que les bonnes mesures de sécurité sont mises en place. Suite à cela, si vous avez identifié des traitements de données personnelles pouvant engendrer des risques importants pour les libertés et droits des personnes concernées (comme ceux concernant des évaluations ou notes, des données à caractère hautement personnel, des données de personnes vulnérables etc.), vous devrez obligatoirement réaliser, pour chacun des traitements, une analyse d’impact relative à la protection des données (AIPD).
Organisez les processus internes et documentez la conformité
Pour assurer un niveau maximal de protection des données personnelles que vous possédez, vous allez devoir trouver et appliquer des procédures internes qui garantissent la prise en compte permanente de ces données, et qui prévoient l'ensemble des événements qui pourraient survenir au cours de leur traitement (demandes de modification et de rectification, faille de sécurité, changement de prestataire...). Pour cela, vous allez devoir protéger les données personnelles dès la conception du traitement ou de l'application, organiser et sensibiliser la remontée des informations (avec un plan de communication), traiter toute demande ou réclamation des personnes concernées qui sont dans l'exercice de leurs droits, et anticiper toute violation de donnée (prévoir dans les 72 heures la notification à l'autorité compétente ainsi qu'aux personnes concernées). Puis, en dernier lieu, vous devrez constituer et regrouper la documentation qui va prouver votre conformité au règlement (registre des traitements, AIPD, encadrement des transferts, recueil des consentements des personnes, procédures pour les exercices des droits, mentions d'information, contrats avec les sous-traitants, procédures internes en cas de violation de données...). Toutes vos actions et documents devront bien évidemment être réexaminés régulièrement pour être actualisés afin d'assurer la protection des données en continu.
