Le RGPD sera applicable le 25 Mai 2018. Ce Règlement Européen va imposer de nouvelles normes aux pays de l’Union Européenne en matière de protection des données afin de sensibiliser et de responsabiliser les acteurs qui les collectent et utilisent.
Si vous ne savez pas encore ce qu’est le RGPD, vous pouvez lire notre article synthétique sur le sujet.
Voici une liste de 6 étapes pour vous préparer à sa mise en place :
1) Désigner un pilote
Il est important que vous désigniez un pilote pour superviser et organiser la mise en place des nouveautés imposées par le RGPD. Ce pilote répond au titre de Délégué à la Protection des Données. Sa mission : assurer l’information, le conseil et le contrôle en interne. Ce délégué est obligatoire si vous êtes un organisme public, ou que l’activité de base de votre entreprise vous amène à réaliser un suivi des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. C’est l’interlocuteur privilégié entre votre entreprise et la CNIL.
2) Cartographier vos traitements de données
Le registre des traitements est un élément clé de ce RGPD. Il recence de façon précise vos traitements de données personnelles et vous permet ainsi de mesurer concrètement l’effet de ce RGPD sur les données que vous traitez. Ce registre doit recenser précisément :
- Les différents traitements de données personnelles
- Les catégories de données personnelles traitées
- Les objectifs poursuivis par les opérations de traitements de données
- Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité
- Les flux en indiquant l’origine et la destination des données pour d’identifier les éventuels transferts de données hors de l’Union européenne
3) Prioriser les actions à mener
Une fois le registre des données établi, vous devez déterminer les prochaines missions à mener en priorité pour vous mettre en conformité avec ce Règlement. Certaines tâches seront aisées à mettre en place et vous permettront d’avancer rapidement sur la mise en conformité avec le RGPD.
Par exemple, vérifiez les mesures de sécurité mises en place dans votre société : disposez-vous d’une sauvegarde externalisée des postes stratégiques ?
4) Gérer les risques
Si des risques élevés pour les droits et libertés des personnes ont été identifiés dans vos traitements de données personnelles, il est indispensable pour vous de mener une analyse d’impact sur la protection des données (PIA).
Un PIA contient :
- Une description du traitement étudié et de ses finalités
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
- Une évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques
Votre PIA doit permettre d’apporter des mesures en réponses aux principaux risques que vous avez identifiés.
5) Organiser les processus internes
Mettez en place des procédures internes garantissant la prise en compte de la protection des données. Prenez en compte l’ensemble des évènements pouvant survenir lors de la durée de vie d’un traitement : faille de sécurité, gestion de demande de rectification, d’accès, modification des données collectées, changement de prestataire… Cela vous permet d’assurer un haut niveau de protection des données en permanence.
- Prenez en compte la protection des données dès la conception d’un traitement ou d’une application
- Sensibilisez et organisez la remontée d’information par le biais d’un plan de formation et communication auprès de vos collaborateurs
- Traîtez les réclamations et demandes des personnes concernées quand à l’exercice de leurs droits (accès, rectification, opposition, portabilité, retrait du consentement)
- Anticipez les violations de données et prévoyez la notification à l’autorité de la protection des données et aux personnes concernées
6) Documenter la conformité
Vous devez constituer et regrouper la documentation nécessaire afin de prouver votre conformité au règlement en actualisant et réexaminant régulièrement les actions et documents réalisés afin d’assurer une protection des données en continu.
Votre documentation devra contenir les documents suivants :
- Registre des traitements
- Analyses d’impact sur la protection des données (PIA)
- Encadrement des transferts de données hors UE
- Mentions d’information
- Modèles de recueil du consentement des personnes concernées
- Procédures en place pour l’exercice des droits
- Contrats avec sous-traitants
- Procédures internes en cas de violation de données
- Preuves du consentement des personnes concernées lorsque le traitement de données repose sur cette base
Pour simplifier la mise en place de votre entreprise avec le RGPD, n’hésitez pas à faire appel à Isociel afin de vous accompagner. Vous pouvez contacter notre équipe par téléphone au 05 34 61 41 61 ou par email.