Skip to content

Se mettre en conformité au RGPD en quelques étapes

Se mettre en conformité au RGPD en quelques étapes

Les entreprises doivent absolument être en conformité avec le règlement européen général sur la protection des données à caractère personnel n°2016/679 (RGPD) du 27 avril 2016. Ce règlement renforce la protection des données personnelles au sein de l’Union européenne. Il est la réponse à l’essor d’Internet et du développement du phénomène du Big Data, fragilisant considérablement les droits et libertés fondamentales des citoyens européennes (entre autres le droit à la vie privée via l’utilisation de techniques comme le profilage).

La mise en conformité au RGPD d’un organisme peut se résumer en 5 étapes.

RAPPEL : QUI DOIT SE METTRE EN CONFORMITÉ AU RGPD ?

Tous les organismes privés ou publics, de grande ou de petite taille, devront se mettre en conformité au règlement à partir du moment où leur activité touche aux données personnelles de citoyens européens. Ainsi, une PME devra tout un hôpital se mettre en conformité avec le règlement avant le 25 mai 2018.

Attention ! Il ne faut pas se méprendre : l’activité principale ne doit pas être en rapport avec l’utilisation, le stockage ou la collecte de données personnelles pour que l’entreprise ou l’organisme public ait l’obligation de se mettre en conformité avec le RGPD. Il suffit qu’un procédé ou un système utilise des données personnelles à une certaine étape du processus de l’activité de l’entreprise pour que les dispositions du RGPD s’y appliquent.

C’est au responsable du traitement des données personnelles de mettre en œuvre la conformité de l’organisme au RGPD. Il en porte l’entière responsabilité, qui s’étend également pour aux agissements des sous-traitants.

Bon à savoir ! Avec l’essor d’Internet et du Big Data et l’apparition du profilage, la quasi intégralité des organismes doit être conforme au RGPD, sous peine de lourdes sanctions !

Les amendes liées à la violation du RGPD peuvent aller jusqu’à 4% du CA international de l’entreprise.

A noter : Les grandes entreprises ne sont pas les seules concernées par le RGPD.

Désignation d’un responsable à la mise en œuvre du plan de mise en conformité

Le délégué à la protection des données (DPO) est le responsable compétent et spécialisé dans la mise en conformité de l’organisme au RGPD. Sa désignation est obligatoire pour chaque organisme et son rôle est d’assurer une protection optimale des données personnelles.Le DPO travaille en étroite relation avec la direction et le personnel de l’organisme, mais reste indépendant pour informer, conseiller et contrôler le respect du RGPD. Son rôle est donc crucial dans la mise en place des nouvelles obligations du RGPD.

Le DPO RGPD peut être interne ou externe à l’organisme. Il peut également être mutualisé au sein d’un groupe d’entreprises, permettant ainsi une application optimale et uniforme du RGPD au sein de chaque entreprise faisant partie du même groupe.

Le DPO est l’élément clé de la mise en application du RGPD tout au long de la vie et de l’activité de l’organisme car il lui permet d’être constamment conforme, malgré le développement de l’activité

Identification de l’envergure du traitement des données personnelles au sein d’un organisme

L’organisme doit procéder à une « cartographie » de l’ensemble des traitements des données inhérent à son activité, à l’aide d’un registre qui les recense. Cette classification des traitements permettra d’identifier au mieux les acteurs traitant des données à caractère personnel et d’en organiser la protection en fonction des besoins.

Enfin, faire un historique des traitements de données personnelles permet d’en retracer l’origine et l’utilisation, ce qui est essentiel pour permettre la protection des citoyens européens dont découlent ces données.

L’organisme doit donc créer un registre des traitements des données personnelles, qu’il devra régulièrement mettre à jour au fil du développement de son activité.

L’inventaire doit contenir :

  • Les différents traitements effectués ;
  • les types des traitements ;
  • les types de données recueillies et utilisées (leur origine, leur catégorie, un transfert éventuel des données de l’étranger ou à l’étranger) ;
  • les acteurs traitant des données ;
  • les conditions d’exécution du traitement ;
  • la durée de conservation des données personnelles.

Etude des risques au sein de l’organisme

L’étape d’identification des traitements de données personnelles permet de pouvoir gérer au préalable les risques éventuels liés à  une fuite de ces données, ou à leur violation. Cette anticipation est cruciale car une réaction rapide à ce genre d’évènement peut sauver une entreprise des lourdes sanctions que le RGPD prévoit en cas de violation de la protection des données personnelles.

Cette étude à réaliser se nomme : l’analyse d’impact sur la protection des données (Privacy Impact Assessment) ou DPIA. Elle est à effectuer préalablement à chaque traitement de données personnelles afin que ceux-ci soient toujours conformes au RGPD

Le contenu de cette analyse doit se présenter de la manière suivante :

  • une description du traitement et de sa finalité en prenant en compte la nécessité réelle des données personnelles pour l’activité de l’organisme et la proportionnalité de leur collecte vis-à-vis de la finalité recherchée dans le traitement des données.
  • une appréciation de l’utilisation des données par rapport aux droits et libertés fondamentales des personnes concernées, permettant la mise en place de mesures pour restreindre les risques d’une violation de la protection des données personnelles.

Organisation des procédures internes de mise en conformité de l’organisme au RGPD

La mise en conformité de l’organisme au RGPD engendre la remise en question de la politique de l’organisme vis-à-vis du maniement et de la protection des données personnelles.

Le plan d’action interne de mise en conformité de l’organisme au RGPD :

On entend par « organisation des procédures internes » la mise en œuvre des principes du RGPD, c’est-à-dire par exemple le principe de co-responsabilité ou celui de « privacy by design ». Selon ce dernier,  la protection des données personnelles doit être prise en compte dès la conception d’un traitement de données ou d’un système IT de l’organisme.

Les conditions du traitement des données

Le plan d’action interne suppose également la mise en place des conditions du traitement des données, entre autres : le consentement de la personne concernée, le droit à l’oubli, la finalité et la durée du traitement et de la conservation des données.

Cela peut donc se résumer en une refonte générale de la politique de confidentialité d’un organisme vis-à-vis des informations personnelles collectées, stockées et utilisées. La sensibilisation de l’ensemble du personnel et l’anticipation des risques sont cruciales pour la protection des données personnelles.

Bon à savoir ! Quand on parle d’un plan d’action interne à un organisme, il ne faut pas oublier que cela englobe également les sous-traitants, qui font partie intégrante du processus de l’organisme ! L’ensemble des contrats établis entre l’organisme et ses sous-traitants doit donc également être mis en conformité avec le RGPD. Le responsable du traitement des données est donc également responsable des actes de ses sous-traitants. C’est ce qu’on appelle le principe de « co-responsabilité », instauré par le RGPD.

Attention ! Il faut que l’organisme priorise ses actions à mener vis-à-vis des étapes précédentes vu ci-dessus. Chaque étape étant cruciale dans la mise en conformité au RGPD, aucun d’entre elles ne peut être laissée de côté. Toute l’activité de l’organisme doit être tournée en premier lieu dans une optique de protection optimale des données personnelles. La priorisation des actions permet de minimiser les risques que peuvent engendrer le traitement des données sur les droits et libertés des personnes concernées.

Créer un dossier interne de mise en conformité de l’organisme au RGPD

C’est une documentation nécessaire car elle permet de prouver la conformité d’un organisme au RGPD. Toutes les actions menées à chaque étape du processus doivent y être reproduites et actualisées régulièrement afin de prouver que la protection des données personnelles est assurée en continu au sein de l’organisme.

Doivent donc y figurer l’ensemble des mesures organisationnelles et techniques utilisées lors des traitements de données personnelles permettant de les protéger conformément au RGPD.

Les mentions devant figurer dans un dossier interne de mise en conformité sont les suivantes :

  • La documentation concernant les divers traitements de données ; entre autres le registre des traitements ainsi que les analyses d’impact sur la protection des données
  • L’ensemble des informations concernant les personnes touchées par le traitement des données ; entre autres le recueillement du consentement de ces personnes et les procédures internes encadrant et protégeant les droits de ces personnes
  • L’ensemble des contrats des acteurs de l’organisme ; entre autres les contrats avec les sous-traitants et l’ensemble des documents permettant de cerner la responsabilité de chacun dans le traitement des données.

Attention ! Un éventuel transfert des données hors Union européenne doit bien-sûr être pris en compte dans chacune des étapes de mise en conformité d’un organisme aux dispositions du RGPD!

La portabilité des données dans le RGPD est un point à ne surtout pas négliger.

Dernière mise à jour le

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Laisser un commentaire

avatar
  S’abonner  
Notifier de