Pour encadrer le traitement et la circulation des données à caractère personnel sur le territoire européen, le RGPD est entré en vigueur dans l’ensemble des États membres le 25 mai 2018. Ainsi, la mise en conformité à ce règlement s’impose désormais. Mais qui doit se mettre en conformité au RGPD ? Quelles sont les étapes pour une mise en conformité au RGPD ? Cet article répond à ces interrogations.
Sommaire de l'article
Qui doit se mettre en conformité au RGPD ?
Tous les organismes privés ou publics, de grande ou de petite taille, devront se mettre en conformité au règlement à partir du moment ou leur activité touche aux données personnelles de citoyens européens. Ainsi, une PME devrait se mettre en conformité avec le règlement avant le 25 mai 2018. En effet, il ne faut pas se méprendre, car l’activité principale ne doit pas nécessairement être en rapport avec l’utilisation de données personnelles avant que l’entreprise ou l’organisme public ait l’obligation de se mettre en conformité avec le RGPD (Règlement General sur la Protection des Données). Il suffit qu’un procédé ou un système utilise des données personnelles à une certaine étape du processus de l’activité de l’entreprise pour que les dispositions du RGPD s’y appliquent. Il revient au responsable du traitement des données personnelles de mettre en œuvre la conformité de l’organisme au RGPD. Il en porte l’entière responsabilité, qui s’étend également aux agissements des sous-traitants. Avec l’essor d’Internet et du Big Data du profilage, la quasi-intégralité des organismes doit être conforme au RGPD, sous peine de lourdes sanctions. Les amendes liées à la violation du RGPD peuvent aller jusqu’à 4 % du CA international de l’entreprise.
Les étapes de la mise en conformité au RGPD
Les entreprises doivent absolument être en conformité avec le règlement européen général sur la protection des données à caractère personnel n° 2016/679 DU 27 avril 2016. Ce règlement renforce la protection des données personnelles au sein de l’Union européenne. Il est la réponse à l’essor d’Internet et du développement du phénomène du Big Data, fragilisant considérablement les droits et libertés fondamentales des citoyens européens. La mise en conformité au RGPD d’un organisme peut se résumer en 7 étapes.
Désignation d’un responsable à la mise en œuvre du plan de mise en conformité
Le délégué à la protection des données (DPO) est le responsable compétent et spécialisé dans la mise en conformité de l’organisme au RGPD. Sa désignation est obligatoire pour chaque organisme et son rôle est d’assurer une protection optimale des données personnelles. Le DPO travaille en étroite relation avec la direction et le personnel de l’organisme, mais reste indépendant pour informer, conseiller et contrôler le respect du RGPD. Son rôle est donc crucial dans la mise en place des nouvelles obligations du RGPD. Le DPO RGPD peut être interne ou externe à l’organisme. Il peut également être mutualisé au sein d’un groupe d’entreprises, permettant ainsi une application optimale et uniforme du RGPD au sein de chaque entreprise faisant partie du même groupe. Le DPO est l’élément clé de la mise en application du RGPD tout au long de la vie et de l’activité de l’organisme, car il lui permet d’être constamment conforme, malgré le développement de l’activité.
Identification de l’envergure du traitement des données personnelles au sein d’un organisme
L’organisme doit procéder à une « cartographie » de l’ensemble des traitements des données inhérent à son activité, à l’aide d’un registre qui les recense. Cette classification des traitements permettra d’identifier au mieux les acteurs traitant des données à caractère personnel et d’en organiser la protection en fonction des besoins. Enfin, faire un historique des traitements de données personnelles permet d’en retracer l’origine et l’utilisation, ce qui est essentiel pour permettre la protection des citoyens européens dont découlent ces données. L’organisme doit donc créer un registre des traitements des données personnelles, qu’il devra régulièrement mettre à jour au fil du développement de son activité. L’inventaire doit contenir les différents traitements effectués, les types des traitements, les types de données recueillies et utilisées. Il doit également contenir les acteurs traitant des données, les conditions d’exécution du traitement et la durée de conservation des données personnelles. Pour des conseils en matière du traitement des données personnelles-RGPD, consultez cabinet d’avocat spécialisé en données personnelles.
Étude des risques au sein de l’organisme
L’étape d’identification des traitements des données personnelles permet de pouvoir gérer au préalable les risques éventuels liés à une fuite de ces données, ou à leur violation. Cette anticipation est cruciale, car une réaction rapide à ce genre d’évènement peut sauver une entreprise des lourdes sanctions que le RGPD prévoit en cas de violation de la protection des données personnelles. Cette étude à réaliser se nomme : l’analyse d’impact sur la protection des données (Privacy Impact Assessment) ou DPIA. Elle est à effectuer préalablement à chaque traitement de données afin que ceux-ci soient toujours conformes au RGPD. Le contenu de cette analyse doit se présenter de deux manières. La première est une description du traitement et de sa finalité en prenant en compte la nécessité réelle des données personnelles pour l’activité de l’organisme et la proportionnalité de leur vis-à-vis de la finalité recherchée dans le traitement des données. La deuxième est une appréciation de l’utilisation des données par rapport aux droits et libertés fondamentales des personnes concernées, permettant la mise en place de mesures pour restreindre les risques d’une violation de la protection des données personnelles.
Organisation des procédures internes de mise en conformité de l’organisme au RGPD
La mise en conformité de l’organisme au RGPD engendre la remise en question de la politique de l’organisme vis-à-vis du maniement et de la protection des données personnelles.
Le plan d’action interne de mise en conformité de l’organisme au RGPD
On entend par « organisation des procédures internes » la mise en œuvre des principes du RGPD, c’est-à-dire par exemple le principe de coresponsabilité ou celui de « Privacy by design ». Selon ce dernier, la protection des données personnelles doit être prise en compte dès la conception d’un traitement de données ou d’un système IT de l’organisme.
Les conditions du traitement des données
Le plan d’action interne suppose également la mise en place des conditions du traitement des données, entre autres : le consentement de la personne concernée, le droit à l’oubli, la finalité et la durée du traitement et de la conservation des données. Cela peut donc se résumer en une refonte générale de la politique de confidentialité d’un organisme vis-à-vis des informations personnelles collectées, stockées et utilisées. La sensibilisation de l’ensemble du personnel et l’anticipation des risques sont cruciales pour la protection des données personnelles. Quand on parle d’un plan d’action interne à un organisme, il ne faut pas oublier que cela englobe également les sous-traitants, qui font partie intégrante du processus de l’organisme. L’ensemble des contrats établis entre l’organisme et ses sous-traitants doit donc également être mis en conformité avec le RGPD. Le responsable du traitement des données est donc également responsable des actes de ses sous-traitants : on parle du principe de « coresponsabilité », instauré par le RGPD.
Créer un dossier interne de mise en conforme de l’organisme au RGPD
Il s’agit d’une documentation nécessaire, car elle permet de prouver la conformité d’un organisme au RGPD, notamment auprès de la CNIL. Toutes les actions menées à chaque étape du processus doivent y être reproduites et actualisées régulièrement afin de prouver que la protection des données personnelles est assurée en continu au sein de l’organisme. Doivent donc y figurer l’ensemble des mesures organisationnelles et techniques utilisées lors des traitements de données personnelles permettant de les protéger conformément au RGPD. Les mentions devant figurer dans un dossier interne de mise en conformité sont trois. La première de ces mentions est la documentation concernant les divers traitements de données, entre autres le registre des traitements ainsi que les analyses d’impact sur la protection des données. L’ensemble des informations concernant les personnes touchées par le traitement des données, entre autres le recueillement du consentement et les procédures internes encadrant et protégeant les droits de ces personnes constituent la deuxième mention. Enfin, la troisième mention est l’ensemble des contrats des acteurs de l’organisme, entre autres les contrats avec les sous-traitants et l’ensemble des documents permettant de cerner la responsabilité de chacun dans le traitement des données. Un éventuel transfert hors Union européenne doit bien sûr être pris en compte dans chacune des étapes de mise en conformité d’un organisme aux dispositions du RGPD. La portabilité des données dans le RGPD est un point à ne surtout pas négliger.
Ping : Quelles sont les règles d’or pour bien monétiser son blog ? | CaWa.fr