RGPD : les 6 étapes obligatoires pour la mise en conformité

Pour se mettre en conformité avec le règlement RGPD (Règlement Général sur la Protection de Données personnelles), il est opportun de commencer par examiner les recommandations de l’autorité de tutelle, la CNIL. Elle détient, plus que jamais, le pouvoir de sanctionner et d’infliger de lourdes amendes (cf. volet1).

Le principe d’accountability ou responsabilité étendue

Néanmoins, Il faut noter que de nombreuses formalités auprès de la CNIL disparaissent. En contrepartie, la « responsabilité des organismes » est renforcée. C’est le principe anglo-saxon d’accountability ou responsabilité étendue, qui est souligné par la nomination d’un délégué, le DPO (Lire notre article ) et par la nécessaire information et sensibilisation de tous dans l’entreprise.

« Fini les déclarations », comme nous le résume Olivier Itéanu, avocat spécialisé, « mais je dois être conforme et détenir les documents justificatifs ». Et le maintien en condition opérationnel et sécurisé des applications constitue une exigence nouvelle.

Les 6 étapes recommandées par la CNIL

La CNIL souligne que « les entreprises devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ».

Voici, en résumé, les 6 étapes recommandées par la haute autorité :

1 -Désigner un « pilote » pour la gouvernance des données personnelles. C’est un « véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne » : le DPO, délégué à la protection des données est le prolongement du « correspondant informatique et libertés », chargé d’organiser les actions à mener.

2 – Cartographier les traitements de données personnelles. Il s’agit de « mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez ». Il faut commencer par « recenser de façon précise les traitements de données personnelles. Il est recommandé de constituer un « registre des traitements ».

Commentaire d’Alain Bensoussan, avocat spécialisé  : « La cartographie exigée n’est pas réellement « techno » ; elle doit être légale ; elle concerne les traitements – moyens et finalités – et non les applications ».

3 – Prioriser les étapes à mener : sur la base du « registre de traitements », il faut identifier les actions à mener pour être conforme aux obligations actuelles et à venir. Cette priorisation s’établit « au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées ».

4- Gérer les risques et lancer une étude d’impact : pour chacun des traitements de données personnelles « identifiés comme susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées », il faut mener une analyse d’impact sur la protection des données (PIA).

5 – Organiser les procédures internes : « Pour assurer un haut niveau de protection des données personnelles en permanence », il faut mettre en place « des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accés, modification des données collectées, changement de prestataire) ».

6- Documenter la conformité : pour prouver la conformité au règlement, il faut « constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu ».

Continuez Page 2 : Etablir votre feuille de route