Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Notre entreprise met en place une prestation dédiée au RGPD et peut être désigné en qualité de DPO (délégué à la Protection des Données pour votre structure) ; n’hésitez pas à nous contacter via notre messagerie ou par téléphone au 01 78 09 02 32.
ETAPE 1 : DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
La désignation d’un délégué à la protection des données (DPO) est obligatoire si :
Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Le rôle du délégué à la protection des données
« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
Pour vous accompagner dans la mise en place des nouvelles obligations imposées par le règlement européen, le délégué doit notamment :
Avant de désigner en ligne votre délégué à la protection des données, vérifiez qu’il dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.
Assurez-vous en particulier que ces 3 conditions sont réunies :
LE DPO DÉTIENT LES COMPÉTENCES REQUISES
Cela suppose :
Ces compétences peuvent être acquises, par exemple, à l’occasion de formations adaptées à son profil.
LE DPO DISPOSE DE MOYENS SUFFISANTS
Cela implique en particulier pour le DPO de :
LE DPO A LA CAPACITÉ D’AGIR EN TOUTE INDÉPENDANCE
Cela signifie :
ETAPE 2 : CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre. La tenue d’un registre des traitements vous permet de faire le point.
Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.
Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :
L’article 4 du règlement définit un traitement comme » toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction; »
Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Les objectifs, les finalités d’un traitement s’entendent de l’objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
Pour chaque traitement de données personnelles, posez-vous les questions suivantes :
QUI ?
QUOI ?
POURQUOI ?
OÙ ?
JUSQU’À QUAND ?
COMMENT ?
ETAPE 3 : PRIORISER LES ACTIONS A MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.
Points d’attention quels que soient vos traitements
Points d’attention nécessitant une vigilance particulière
VOUS TRAITEZ CERTAINS TYPES DE DONNÉES
VOTRE TRAITEMENT A POUR OBJET OU POUR EFFET
VOUS TRANSFÉREZ DES DONNÉES HORS DE L’UNION EUROPÉENNE
Si vos traitements répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : étude d’impact sur la protection des données (PIA), information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, ).
Une analyse approfondie de la loi informatique libertés et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre.
ETAPE 4 : GERE LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
Qu’est-ce qu’une analyse d’impact sur la protection des données (PIA) ?
C’est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Un PIA est un outil d’évaluation d’impact sur la vie privée. Il repose sur 2 piliers :
Un PIA contient :
Quand mener une analyse d’impact sur la protection des données (PIA) ?
De manière générale, réaliser un PIA est une bonne pratique pour s’assurer de créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée.
Le PIA doit être réalisé avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.
Mener un PIA est obligatoire pour tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD). Pour vous aider à déterminer si votre traitement est susceptible d’engendrer des risques élevés, les 9 critères suivant sont définis dans les lignes directrices du G29 :
Si votre traitement rencontre au moins 2 de ces critères, alors il est vivement conseillé de faire un PIA.
Qui participe à l’élaboration de l’analyse d’impact ?
ETAPE 5 : ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Organiser les processus implique notamment :
ETAPE 6 : DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Votre dossier devra notamment comporter les éléments suivants :
LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Nous contacter par messagerie ou par téléphone au 01 78 09 02 32.
Appelez-nous au 09 50 87 55 71