Skip to content

Se mettre en conformité au RGPD en quelques étapes

Se mettre en conformité au RGPD en quelques étapes

La mise en conformité au Règlement Général sur la Protection des Données (RGPD) est un enjeu majeur pour de nombreux organismes. En effet, depuis son entrée en vigueur en 2018, les entreprises ont dû modifier en profondeur leurs procédures, afin de respecter la nouvelle réglementation.

Cette mise en conformité s’avère impérative pour les organismes, au risque de subir des sanctions imposées par le RGPD. C’est pourquoi, il est utile de connaitre les étapes à accomplir, afin de se mettre en conformité avec le RGPD.

Qu’est-ce que la mise en conformité avec le RGPD ?

La mise en conformité avec le RGPD est une obligation faite à de nombreux acteurs de la collecte des données personnelles. Il est ainsi utile de connaitre les enjeux posés par le RGPD ainsi que les principes à respecter afin d’être conforme à celui-ci.

Définition et enjeux du RGPD

Le RGPD est entré en vigueur en 2018 et trouve son application en France au sein de la loi “Informatique et Libertés”. Il a ainsi pour but d’encadrer la mise en œuvre des traitements de données personnelles. C’est pourquoi, il fixe les conditions dans lesquelles celles-ci peuvent être légalement collectées, conservées et exploitées.

Bon à savoir : L’article 4 du RGPD considère qu’une donnée est personnelle lorsqu’elle permet d’identifier directement ou indirectement une personne.

Le RGPD a ainsi deux buts majeurs :

  • le renforcement des droits des personnes concernant leurs données personnelles ;
  • une responsabilisation des organismes traitant des données personnelles ;

Ainsi, les responsables de traitement des données personnelles sont dans l’obligation de se mettre en conformité avec la réglementation posée par le RGPD.

Les principes à respecter pour la mise en conformité avec le RGPD

Afin d’assurer la mise en conformité d’une entreprise avec le RGPD, il est impératif de respecter plusieurs principes.

Tout d’abord, le RGPD impose le principe d’accountability aux entreprises. En effet, selon l’article 5-2 du RGPD, les organismes sont responsables du respect des règles relatives au traitement des données personnelles. Cela signifie qu’ils doivent :

  • s’interroger sur la conformité du traitement des données personnelles
  • être en mesure de prouver cette conformité
A noter : La mise en conformité s’effectue d’une manière dynamique. En effet, les entreprises doivent réévaluer régulièrement les mesures mises en place et les actualiser, si nécessaire.

Par ailleurs, le RGPD instaure le respect de plusieurs principes concernant la protection des données tels que :

  • la collecte des données uniquement nécessaires
  • la transparence
  • le respect du droit des personnes
  • la sécurisation des données

Qui est concerné par la mise en conformité avec le RGPD ?

Il est parfois difficile de déterminer qui est concerné par le RGPD. Cependant, tous les organismes amenés à traiter des données personnelles sont concernés par le RGPD. En effet, si le traitement des données leur permet de fonctionner correctement ou de gérer leurs activités, ils ont l’obligation de respecter le RGPD.

Bon à savoir : le traitement de données personnelles se définit comme toute opération concernant des données permettant d’identifier des personnes. Il s’agit ainsi de la collecte, l’enregistrement, la conservation ou l’utilisation de données.

Par ailleurs, les organismes concernés sont autant les organismes privés que publics. Il s’agit ainsi des entreprises, des associations ou collectivités. L’article 3 du RGPD définit également son champ d’application territorial. Ainsi, il concerne les organismes :

  • établi sur le territoire de l’Union européenne
  • dont l’activité cible des personnes résidant sur le territoire de l’Union européenne

Ainsi, tous les organismes répondant à ces critères sont dans l’obligation de se mettre en conformité avec le RGPD.

Comment se mettre en conformité au RGPD ?

La mise en conformité au RGPD nécessite le respect de plusieurs étapes. En effet, au regard des principes énoncés précédemment, les organismes ont l’obligation de mettre en place plusieurs mesures.

Etape 1 : Constituer un registre du traitement des données

La mise en conformité au RGPD implique une documentation détaillée des opérations liées aux données personnelles. Ainsi, les organismes doivent disposer d’un registre des activités de traitement. Celui-ci permet ainsi de recenser les traitements des données personnelles et de disposer d’une vue d’ensemble sur l’utilisation des données personnelles.

Ainsi, le registre doit contenir :

  • Les différents traitements effectués ;
  • les types des traitements ;
  • les types de données recueillies et utilisées (leur origine, leur catégorie, un transfert éventuel des données de l’étranger ou à l’étranger) ;
  • les acteurs traitant des données ;
  • les conditions d’exécution du traitement ;
  • la durée de conservation des données personnelles.

Il est par ailleurs recommandé de confier la tenue du registre au délégué à la protection des données (DPO RGPD). Celui-ci aura alors pour mission de le mettre à jour régulièrement.

A noter : Ce registre doit pouvoir être communiqué à la CNIL lorsqu’elle le demande.

Etape 2 : Trier les données

Le tri des données s’inscrit dans la volonté de collecter les données uniquement nécessaires au traitement. En effet, les organismes doivent respecter le principe de minimisation des données.

Ainsi, ils ne doivent collecter que les données dont ils ont strictement besoin. Ainsi, les entreprises doivent :

  • collecter les données que si elles ont un lien direct avec la finalité du traitement
  • limiter la collecte aux données strictement nécessaires par rapport à la finalité du traitement
Bon à savoir : La finalité du traitement se définit comme l’objectif en vue duquel les données sont collectées ou exploitées par l’organisme. Elle doit impérativement être définie par les entreprises.

Etape 3 : Respecter les droits des personnes concernées

Le RGPD confère de nombreux droits aux personnes dont les données sont collectées. En effet, celles-ci disposent notamment d’un droit :

  • d’accès ;
  • de rectification ;
  • à la portabilité : toute personne a le droit de récupérer les données qu’elle a fournies à un responsables de traitement.

Les responsables de traitement sont ainsi dans l’obligation de mettre en place des mesures veillant à respecter ces droits.

Par ailleurs, les organismes doivent veiller dans de nombreuses situations à recueillir le consentement dans le cadre du RGPD des personnes concernées.

A noter : Les responsables de traitement doivent également respecter les règles strictes imposées en matière de profilage par le RGPD.

Etape 4 : Sécuriser les données personnelles

La sécurisation des données personnelles est un principe posé par l’article 32-1 du RGPD. Ainsi, les responsables de traitement doivent mettre en œuvre les mesures techniques appropriées. Celles-ci permettent alors de garantir un niveau adapté aux risques.

La sécurisation des données s’appuie sur les principes de :

  • confidentialité : les données ne sont accessibles qu’aux personnes autorisées.
  • d’intégrité : les données ne doivent pas être altérées ou modifiées.
  • disponibilité : les données doivent être en permanence accessibles aux personnes autorisées.

Il existe plusieurs mesures de sécurités possibles. Ainsi, les entreprises peuvent mettre en place le chiffrement des données. Cela permet alors de garantir la confidentialité d’une information. Elles peuvent également procéder à la pseudonymisation des données. Elle consiste à remplacer une donnée personnelle par un pseudonyme.

A noter : Outre les étapes mentionnées, les entreprises peuvent également avoir recours à une formation RGPD. Celle-ci permet alors de mettre en place des mesures assurant la mise en conformité au RGPD de l’entreprise.

FAQ

Pourquoi se mettre en conformité avec le RGPD ?

Le RGPD est un règlement contraignant concernant la protection des données personnelles. Il est entré en vigueur en 2018 et exige une profonde modification des pratiques concernant le traitement des données personnelles. Ainsi, en cas de non-respect de celui-ci, les organismes s’exposent à des sanctions.

Qui doit se mettre en conformité avec le RGPD ?

Tous les organismes, publics ou privés, amenés à traiter des données personnelles ont l’obligation de se mettre en conformité avec le RGPD. Ainsi, il peut s’agir d’entreprises, d’administrations, associations ou collectivités. Peu importe leurs tailles ou leurs activités.

Comment se mettre en conformité avec le RGPD ?

La mise en conformité au RGPD implique le respect de plusieurs étapes. Il est ainsi recommandé aux entreprises de tenir un registre du traitement des données. Elles doivent également veiller à respecter les droits des personnes ainsi que le principe de minimisation des données.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 19/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments