Dossier : du RGPD à l’ERP, l’indispensable mémento ! (2/2)

22 janvier 2018

RGPD, GDPR : toutes les informations pratiques sont ici !

Vous voulez des informations claires sur le RGPD ? Alors, vous êtes au bon endroit, car cet article est une récapitulatif de notre dossier sur le RGPD. C’est en effet un condensé largement commenté, de toutes les informations connexes au texte européen sur la protection de données personnelles. 


Le RGPD pour les nuls

1. C’est quoi ?

Ainsi, le RGPD (en anglais : General Data Protection Regulation ou GDPR) est un texte européen renforçant la protection de données à caractère personnel. Dès lors, il complète la législation européenne actuelle, la DPD (Directive sur la Protection des Données personnelles).

2. Objectif ?

De même, il s’adapte aux nouvelles réalités numériques et redonne aux citoyens plus de contrôle sur leurs données personnelles.

3. Quelles données personnelles sont concernées ?

Aussi, les informations connexes aux salariés d’une société, les données des clients, partenaires et prospects, les informations personnelles présentes sur tous types d’appareil, ordinateurs, mobiles serveurs échangeant différents types de flux (mails, photo et données sur les réseaux sociaux).

4. Qui est concerné par la mise en conformité RGPD ?

En bref, tous les acteurs économiques et sociaux européens (TOUTES les entreprises, associations, administrations, collectivités locales, syndicats d’entreprise), les sous-traitants, les entreprises hors Union européenne qui proposent des services et biens sur le marché européen.

Six étapes clés pour devenir un Jedi de la conformité RGPD !

Tout savoir sur la RGPD en six étapes !!!

1. Un Data protection officer (DPO) à nommer tu devras.

En français, cela donne Délégué à la Protection des Données (DPD). C’est d’ailleurs obligatoire pour les organismes publics, et les entreprises qui manipulent des données personnelles à grande échelle (susceptible de condamnations pénales et autres infractions). Léger flou ici, qui consiste à dire que dans le cas où vous entrer dans la case non obligatoire, ou que vous estimez que vous entrez dans cette catégorie, il va falloir quand même expliquer pourquoi, lors d’un contrôle. C’est dit. Son rôle est sur 4 axes :

  • d’informer, sensibiliser et conseiller les décideurs, les responsables de traitement, les employés, ainsi que les équipes de sous-traitants ;
  • contrôler le respect du règlement et du droit national en matière de protection des données en pilotant la conformité en continu (via inventaire, action de sensibilisation, etc.) ;
  • de conseiller la structure sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le référent de celle-ci.

Ressources :

2. Cartographier tes traitements de données personnelles tu devras.

Cette étape consiste à mesurer l’impact du RGPD sur votre activité. Cela se traduit sous forme d’un recensement qui cartographie sur plusieurs critères les traitements de données personnelles qui sont mis en œuvre au sein de votre entreprise. Cette étape peut être assez technique. Faire appel à un prestataire IT pour auditer ne serait pas du luxe si vous n’avez guère la ressource et le temps.

Ressources :

3. Des actions à prioriser tu planifieras.

Une fois les traitements de données personnelles identifiés, il s’agit d’ordonner des actions pour se mettre en conformité. À cette étape vous avez déjà une petite idée des risques potentiels que font peser vos traitements. Le texte met en avant des points d’attention systématiques qu’il faudra soumettre à vos traitements. À noter que certains points d’attention nécessitent une vigilance particulière. Plus d’information ici.

Ressources :

 4. Gérer les risques tu devras.

Aussi, une analyse d’impact (en anglais, Privacy Impact Assessment ou PIA) sur la protection des données doit être réalisée pour chacun de vos traitements identifiés. Elle permet de créer un traitement de données personnelles respectueux de la vie privée, d’évaluer les impacts sur la vie privée des personnes concernées, de prouver que les principes fondamentaux du texte sont respectés. Cela vous fait peur ? Pas de panique, des outils ci-dessous sont disponibles pour vous faciliter la tâche.
Ressources :

5. Les processus internes tu repenseras :

  • à la composante protection des données personnelles qui doit être pris en compte dès la conception d’une application ou d’un traitement ;
  • à sensibiliser et organiser la remontée d’information : plan de formation, de communication auprès de vos collaborateurs ;
  • à traiter les réclamations et demandes des personnes concernées quant à l’exercice de leurs droits. Et ils sont dorénavant renforcés, la liste ici ;
  • à anticiper les violations de données en prévoyant dans certains cas de notifier à l’autorité de protection des données dans un délai de 72 h, ainsi que les personnes concernées dans les meilleurs délais.

Ressources :

6. La conformité tu documenteras

Enfin, il s’agit ici de constituer un dossier en continu (documentation sur vos traitements, l’information des personnes, les contrats sur les rôles et responsabilités des acteurs). Or, les actions et documents doivent actualiser et faire l’objet d’un nouvel examen de manière régulière, afin d’assurer une protection des données optimale et pertinence. Le but est de prouver la conformité au règlement.

 Bruno Soulié

<< Dossier : du RGPD à l’ERP : l’impact sur l’organisation des ESN (1/2)