
Comment se conformer au RGPD : guide pratique pour les entreprises
Le Règlement Général sur la Protection des Données ou RGPD a pour objectif de contrôler l’utilisation des informations personnelles au sein de l’Union Européenne. Adopté en 2016, il est entré en vigueur en 2018 et vient remplacer la Loi Informatique et Libertés. Pour garantir le respect de la vie privée, les entreprises qui manipulent des données à caractère personnel doivent se conformer à cette loi.
Les mentions rgpd obligatoires
Les mentions obligatoires sont les informations qui doivent être communiquées aux utilisateurs d’un site ou d’un service au moment de collecter leurs données. Si elles ne sont pas respectées, l’entreprise s’expose à de lourdes sanctions. En effet, la CNIL prévoit une amende pouvant atteindre 20 millions d’euros.
Il faut noter que certaines mentions sont génériques tandis que d’autres dépendent du traitement de données à réaliser. Pour se renseigner sur les mentions rgpd, suivez ce lien.
Les étapes de la mise en conformité RGPD
La mise en conformité comprend plusieurs étapes :
La cartographie des traitements
Pour se mettre en conformité avec le RGPD, il convient premièrement de réaliser un diagnostic. Il s’agit de la cartographie des traitements de données. Vous devez analyser la pratique actuelle de votre entreprise vis-à-vis de l’utilisation des informations personnelles.
La cartographie des traitements se divise en 3 phases :
L’analyse des dispositifs de collecte
Le RGPD contrôle minutieusement la manière dont les données sont recueillies. C’est pourquoi le diagnostic est essentiel.
La cartographie des lieux de stockage
Quels sont les outils utilisés ? Où sont conservées les données ? Pour y répondre, une cartographie des flux et des bases du SI Client s’impose.
L’utilisation des données personnelles
Déterminez à quoi les données collectées vont servir. Enfin, vous devez mener une étude sur les modalités de leur exploitation.
L’analyse des écarts entre l’existant et le RGPD
Grâce aux cartographies et aux analyses réalisées précédemment, il sera plus facile de définir les écarts entre l’existant et les mentions RGPD. Ensuite, établissez un plan d’actions afin de les réduire au maximum. Ce dernier hiérarchise les différents chantiers à déployer au sein de l’organisation en vue de mettre en œuvre la conformité. Il convient de prioriser les actions selon le niveau de risques identifié. Par exemple, les données à caractère sensible sont prioritaires sur les autres.
Les différentes actions à réaliser
Pour respecter le RGPD, les actions suivantes doivent être mises en œuvre :
- la restriction de la collecte aux données nécessaires à l’atteinte de la finalité ;
- l’information des sous-traitants sur leurs nouvelles responsabilités concernant la confidentialité et la sécurisation des données ;
- l’identification des conditions de traitement des données ;
- la vérification des mesures de sécurité instaurées ;
- la définition de la modalité d’exercice des droits.
La mise en œuvre de la conformité
La mise en œuvre opérationnelle est la dernière étape de la mise en conformité. Ce projet comporte un ensemble de chantiers. Pour qu’il soit efficace, il est conseillé d’affecter un responsable pour chaque chantier principal.
La garantie d’un haut niveau de sécurité
Pour garantir un haut niveau de sécurité aux données personnelles, il est important de les protéger dès la conception du traitement.
Les clés pour piloter la conformité RGPD
Voici quelques clés pour guider la conformité RGPD :
Nommer un Délégué à la Protection des Données
Le Délégué à la Protection des Données ou DPO est le pilote de la conformité. Sa nomination est obligatoire pour les autorités publiques, les organismes publics et les entreprises qui réalisent un traitement de données à grande échelle. Cette fonction peut être externalisée. Toutefois, il est également possible de nommer cet expert en interne. Dans les deux cas, il est important de s’assurer sur les points suivants :
- il possède les compétences requises pour mener à bien sa mission (expertise juridique, parfaite connaissance de l’organisation interne, des systèmes d’information, du secteur d’activité…) ;
- il dispose de moyens suffisants (matériels, humains, temps…) ;
- il peut agir en toute transparence (absence de conflit d’intérêts).
Le DPO est également le point de contact de l’autorité de contrôle. Toutefois, en cas de non-conformité, il ne pourra pas être tenu pour responsable.
Utiliser un outil de pilotage
Le recours à des outils de pilotage permet à l’entreprise de respecter les mentions rgpd. En effet, cette solution présente de multiples avantages :
- elle permet de centraliser les documents et les supports ;
- elle offre une assistance dans tous les pans du pilotage ;
- elle donne la possibilité de gérer la conformité depuis plusieurs supports ;
- elle permet de gérer différentes langues ;
- elle assure une meilleure gestion des accès des collaborateurs, ce qui garantit plus de sécurité ;
- elle permet de tenir une documentation qui atteste la conformité.
La responsabilisation des directions autour des enjeux du RGPD
Le rôle du DPO est essentiel. En plus de piloter la conformité, il doit également responsabiliser les équipes. En effet, chacun a un rôle à jouer dans le projet. Tous les acteurs de l’entreprise doivent prendre part aux chantiers. Pour cela, ils doivent mobiliser leurs compétences. C’est le meilleur moyen de sécuriser les données à caractère personnel.
La documentation de la conformité
Pour prouver votre conformité au RGPD à la CNIL, vous devez réunir tous les documents nécessaires au même endroit. Maintenez ces derniers à jour pour assurer une protection continue. Votre documentation doit comprendre les éléments suivants :
- les mentions rgpd ;
- un registre des traitements et des catégories d’activités de traitements pour les responsables ;
- les AIPD ;
- les procédés pour l’exercice des droits ;
- le suivi des transferts de données en-dehors de l’Union Européenne ;
- les contrats régissant les rôles et les responsabilités des acteurs ;
- un recueil des consentements des personnes concernées.
La gestion des risques ou AIPD
L’analyse d’impact relative à la protection des données ou AIPD est réalisée pour créer un traitement respectueux de la vie privée. C’est pourquoi elle doit intervenir avant ce dernier. Cette étude est obligatoire si les traitements sont susceptibles de porter atteinte aux droits et libertés des personnes concernées.
Pour déterminer si vous êtes tenu de mettre en oeuvre l’AIPD, les lignes directrices du G29 définissent 9 critères. Ainsi, si votre traitement en remplit 2 ou plus, vous serez dans l’obligation de réaliser une AIPD :
- la surveillance systématique ;
- l’évaluation ou la notation ;
- le traitement de données à grande échelle ;
- la décision automatisée avec effet juridique ou tout autre effet similaire significatif ;
- l’exclusion du bénéfice d’un droit, d’un contrat ou d’un service ;
- le croisement d’un ensemble de données ;
- les données de personnes vulnérables (enfants, patients, personnes âgées…) ;
- l’usage innovant ou l’application de nouvelles solutions organisationnelles ou technologiques ;
- les données à caractère hautement personnel, également appelées données sensibles.
Pour mener à bien l’AIPD, il est conseillé de se servir d’un logiciel PIA. Il faut noter que de nombreuses personnes contribuent à l’élaboration de l’analyse d’impact. On peut citer le responsable de traitement, les sous-traitants, le DPO, les différents métiers et les personnes concernées.