Accueil / Dossiers / Gestion des données personnelles: obligation de se mettre en conformité avant le 25 mai 2018
Les grandes nouveautés introduites par le RGPD
- La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design "doit être traduit en dur dans le code source" des outils utilisés par l'entreprise, insiste Thomas Beaugrand.
- La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent discriminer les données selon les traitements et habilitations.
- La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.
Quelles sont les actions et modifications à mettre en oeuvre?
Face au bouleversement engendré par l'entrée en vigueur du RGPD en mai dernier, il reste aux entreprise moins de 18 mois pour se mettre en conformité: à compter du 25 mai 2018, toutes les organisations devront respecter le nouveau règlement, et des sanctions lourdes, jusqu'à 4% du CA annuel mondial de l'entreprise prise en défaut, pourront tomber.
La première étape pour le Daf consiste donc à réaliser un mapping pour identifier les traitements des données existants au sein de sa structure. Pour les services juridiques, "il sera nécessaire de se mêler à toutes les fonctions support pour assurer la mise en place de ce règlement", recommande Clémence Scottez, chef de service des affaires économiques de la CNIL, afin de déterminer les interlocuteurs-clés.
Deuxième étape: réaliser des études de risques et d'impact selon les traitements adoptés et la nature des données, et si besoin se faire accompagner par des experts pour définir une politique de gestion des données. L'EDPB (European data protection board), émanation du G29 qui regroupera l'ensemble des CNIL européennes, va fournir des listes de traitements soumis à des études d'impact de risque.
Enfin, le Daf, main dans la main avec les différentes directions de l'entreprise, au premier rang desquelles la DSI, devra mettre en place les réorganisations internes nécessaires (désignation du DPO, mais aussi déploiement des différentes démarches de privacy by design, security by default et accountability) et contractualiser les mesures de sécurité avec les clients et fournisseurs.
Dans quels cas nommer un DPO?
La désignation d'un délégué à la protection des données, qui sera le garant de la conformité au règlement, est obligatoire:
- lorsque le traitement des données est effectué par une institution publique
- si les activités de base de l'organisme consistent en des traitement qui imposent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple pour les ciblages marketing ou la lutte contre la fraude)
- si les activités de base de l'organisme consistent en des traitement à grande échelle de données sensibles ou de données relatives aux condamnations et infractions spéciales (par exemple des infractions pénales dans le cadre de la lutte contre les incivilités en banque)
Le DPO doit avoir une certaine neutralité et être en contact direct avec le Comex pour remonter les problématiques rapidement. À noter, le RGPD autorise la mutualisation du DPO pour des groupes d'entreprises. Les petites structures pourront ainsi faire appel à un prestataire externe, à condition que ce délégué soit "facilement joignable à partir de chaque lieu d'établissement" (article 37.5 du RGPD).
Pour rappel, même si une entreprise n'est pas concernée par l'obligation de désigner un DPO, elle devra tout de même pouvoir justifier à tout moment du strict respect du RGPD dans sa gestion des données.
Découvrez le règlement général de protection des données en (presque) un coup d'oeil et quelques clics avec la datavisualisation réalisée par la CNIL.
Les conseils de la CNIL pour mener ses études d'impacts: découvrez la méthode ici.
L'interview de Me Sylvain Staub: "Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire"