Au 25 mai, il faut donc être en « posture de mise en conformité », explique Arnaud de Chambourcy, « practise manager’ »au sein de la société de services Umanis. «Vous avez commencé un état des lieux et établi les grandes actions de remédiation, qui devront figurer sur une feuille de route de mesures menant à la conformité ». Selon lui, il y a trois dimensions à prendre en compte :
1- l’aspect juridique, celui des contrats avec les fournisseurs (responsabilité en cascade), les collaborateurs, les processus.
2 – l’aspect organisationnel, à savoir la gouvernance des données, la nécessité, si l’organisation compte plus de 250 personnes, de créer le poste de DPO (Délégué à la protection des données, nouvelle dénomination du ‘Correspondant informatique’ en France). A défaut, il est possible de déléguer cette mission à un prestataire externe.
3 – la dimension informatique : « C’est la gouvernance au sens de se donner les moyens techniques de respecter le droit des personnes, tel que porté par le règlement : droit d’accès, droit de rectification, droit à l’effacement (ou ‘droit à l’oubli’) ».
A noter que la mise en œuvre de la « purge » des fichiers implique qu’on tienne un registre des traitements : « Le registre décrit la façon dont on expose les données des personnes. Tout doit y être consigné, comme par exemple la date d’échéance des contrats. Toute les actions à mener y sont déclinées en chantiers », précise Arnaud de Chambourcy.
Des exigences nouvelles se sont ajoutées, qui impliquent la résilience des plateformes utilisées, leur sécurisation permanente face aux risques de fuites, de vol, de ‘hacking’, de corruption ou de modification.
Les mesures prises doivent conduire à un principe-clé, celui de la minimisation des risques.
L’ organisation fait la preuve qu’elle a réellement mis en œuvre des mesures préventives de protection.
En résumé, des mesures concrètes et effectives doivent être prises pour se mettre en conformité au 25 mai 2018. Tout nouveau traitement devra être conforme. Les applications et fichiers déjà existants donnent lieu à des chantiers en cours, qu’il faudra également détailler.
Lisez aussi :
RGPD : Les 8 priorités pour être prêt le 25 mai 2018
RGPD : après le 25 mai, quelles actions à moyen et long terme
Credit Photo : SmedersInternet on Visualhunt.com/ CC BY
Page: 1 2
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…
Un groupe de banques et de créanciers obligataires ont accepté le financement du plan de…
L'AI Act comporte des dispositions qui n'entreront en application qu'en 2027 et pose des échéances…