RGPD, GDPR : toutes les informations pratiques sont ici !
Vous voulez des informations claires sur le RGPD ? Alors, vous êtes au bon endroit, car cet article est une récapitulatif de notre dossier sur le RGPD. C’est en effet un condensé largement commenté, de toutes les informations connexes au texte européen sur la protection de données personnelles.
Le RGPD pour les nuls
1. C’est quoi ?
Ainsi, le RGPD (en anglais : General Data Protection Regulation ou GDPR) est un texte européen renforçant la protection de données à caractère personnel. Dès lors, il complète la législation européenne actuelle, la DPD (Directive sur la Protection des Données personnelles).
2. Objectif ?
De même, il s’adapte aux nouvelles réalités numériques et redonne aux citoyens plus de contrôle sur leurs données personnelles.
3. Quelles données personnelles sont concernées ?
Aussi, les informations connexes aux salariés d’une société, les données des clients, partenaires et prospects, les informations personnelles présentes sur tous types d’appareil, ordinateurs, mobiles serveurs échangeant différents types de flux (mails, photo et données sur les réseaux sociaux).
4. Qui est concerné par la mise en conformité RGPD ?
En bref, tous les acteurs économiques et sociaux européens (TOUTES les entreprises, associations, administrations, collectivités locales, syndicats d’entreprise), les sous-traitants, les entreprises hors Union européenne qui proposent des services et biens sur le marché européen.
Six étapes clés pour devenir un Jedi de la conformité RGPD !
1. Un Data protection officer (DPO) à nommer tu devras.
En français, cela donne Délégué à la Protection des Données (DPD). C’est d’ailleurs obligatoire pour les organismes publics, et les entreprises qui manipulent des données personnelles à grande échelle (susceptible de condamnations pénales et autres infractions). Léger flou ici, qui consiste à dire que dans le cas où vous entrer dans la case non obligatoire, ou que vous estimez que vous entrez dans cette catégorie, il va falloir quand même expliquer pourquoi, lors d’un contrôle. C’est dit. Son rôle est sur 4 axes :
- d’informer, sensibiliser et conseiller les décideurs, les responsables de traitement, les employés, ainsi que les équipes de sous-traitants ;
- contrôler le respect du règlement et du droit national en matière de protection des données en pilotant la conformité en continu (via inventaire, action de sensibilisation, etc.) ;
- de conseiller la structure sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le référent de celle-ci.
Ressources :
- Le CIL et le futur délégué à la protection des données
- Guide pratique de la prise de fonction du CIL
- Devenir délégué à la protection des données
2. Cartographier tes traitements de données personnelles tu devras.
Cette étape consiste à mesurer l’impact du RGPD sur votre activité. Cela se traduit sous forme d’un recensement qui cartographie sur plusieurs critères les traitements de données personnelles qui sont mis en œuvre au sein de votre entreprise. Cette étape peut être assez technique. Faire appel à un prestataire IT pour auditer ne serait pas du luxe si vous n’avez guère la ressource et le temps.
Ressources :
- Modèle de registre règlement européen
- Exemple de fiche de registre CIL
- Demandez la liste des fichiers déclarés à la CNIL
3. Des actions à prioriser tu planifieras.
Une fois les traitements de données personnelles identifiés, il s’agit d’ordonner des actions pour se mettre en conformité. À cette étape vous avez déjà une petite idée des risques potentiels que font peser vos traitements. Le texte met en avant des points d’attention systématiques qu’il faudra soumettre à vos traitements. À noter que certains points d’attention nécessitent une vigilance particulière. Plus d’information ici.
Ressources :
- Guide sécurité des données personnelles
- Modèle de clause de contrat de confidentialité
- Modèle de clause de contrat de confidentialité sous-traitant pour maintenance ou télémaintenance
4. Gérer les risques tu devras.
- PIA-2, l’outillage : Modèles et bases de connaissances de l’étude d’impact sur la vie privée
- PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie privée
5. Les processus internes tu repenseras :
- à la composante protection des données personnelles qui doit être pris en compte dès la conception d’une application ou d’un traitement ;
- à sensibiliser et organiser la remontée d’information : plan de formation, de communication auprès de vos collaborateurs ;
- à traiter les réclamations et demandes des personnes concernées quant à l’exercice de leurs droits. Et ils sont dorénavant renforcés, la liste ici ;
- à anticiper les violations de données en prévoyant dans certains cas de notifier à l’autorité de protection des données dans un délai de 72 h, ainsi que les personnes concernées dans les meilleurs délais.
Ressources :
6. La conformité tu documenteras.
Enfin, il s’agit ici de constituer un dossier en continu (documentation sur vos traitements, l’information des personnes, les contrats sur les rôles et responsabilités des acteurs). Or, les actions et documents doivent actualiser et faire l’objet d’un nouvel examen de manière régulière, afin d’assurer une protection des données optimale et pertinence. Le but est de prouver la conformité au règlement.
■ Bruno Soulié
<< Dossier : du RGPD à l’ERP : l’impact sur l’organisation des ESN (1/2)