rgpd fr pubdigitale

Les 6 étapes pour se préparer au règlement européen sur la protection des données (RGPD)

Le 25 mai 2018, le règlement européen sur la protection des données sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

LA RÉFORME DE LA PROTECTION DES DONNÉES POURSUIT TROIS OBJECTIFS :
– Renforcer les droits des personnes par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
– Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
– Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Afin de se préparer au RGPD il faut d’abord prendre des mesures organisationnelles et étudier l’état de la gestion des données personnelles dans votre organisation :

1.Désigner un pilote « Data Protection Officer » ou « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. Cartographier : listez les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Mettre en place un registre des traitements.

3. Prioriser les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. Mener des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés, notamment si 2 des critères suivants sont applicables : évaluation ou notation, décision automatisée avec effet juridique ou effet similaire significatif, surveillance systématique, données sensibles ou données à caractère hautement personnel, données personnelles traitées à grande échelle, croisement d’ensembles de données, données concernant des personnes vulnérables, usage innovant ou application de nouvelles solutions technologiques ou organisationnelles, exclusion du bénéfice d’un droit, d’un service ou contrat.

5. Organiser les processus interne pour respecter la notion de Privacy By Design & By Default, en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. Documenter la conformité, et la mettre à jour régulièrement, avec les éléments suivants :
– Le registre des traitements
– Les PIA lorsqu’un risque élevé pour les droits et libertés des personnes est identifié
– L’encadrement des transferts de données hors de l’Union Européenne (clauses contractuelles, BCR et certifications)
– L’information aux personnes (mentions d’information, modèles de recueil du consentement des personnes, les procédures pour l’exercice des droits des personnes)
– Les contrats définissant les rôles et responsabilités des acteurs (contrats avec les sous-traitants, procédures en cas de violation de données, les preuves du consentement des personnes lorsqu’un traitement de données repose sur celui-ci)

retrouvez plus d’informations sur le site de la CNIL

// Articles sur le même sujet: