Où en êtes-vous de vos démarches de mise en conformité au RGPD ?

Où en êtes-vous de vos démarches de mise en conformité au RGPD ?

Publi-info

Où en êtes-vous de vos démarches de mise en conformité au RGPD ? 5.00/5 (100.00%) 5 votes

 

Deux ans après son entrée en vigueur, le Règlement Européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus connu sous son acronyme RGPD, entrera en application le 25 mai prochain.

Le compte à rebours est donc lancé et il est maintenant urgent pour les entreprises de s’assurer de la conformité au RGPD de leurs traitements de données personnelles, qu’ils concernent leurs salariés, clients, prospects ou encore partenaires commerciaux.

En outre, les entreprises devront également tenir compte des compléments qui seront apportés au RGPD par le projet de loi relatif à la protection des données personnelles, actuellement en cours de discussion au Parlement, et par l’ordonnance qui est annoncée à la suite de ce projet de loi.

La mise en oeuvre d’une démarche de mise en conformité au RGPD est un processus transversal qui nécessite une implication des différents métiers de l’entreprise. Un point d’étape apparaît donc nécessaire afin de déterminer comment votre entreprise se situe par rapport à cette mise en conformité.

CE QUI DEVRAIT ÊTRE FINALISÉ À CE JOUR

La première étape d’une mise en conformité réussie passe par la désignation au sein de l’entreprise d’un ou plusieurs pilotes qui auront en charge la gouvernance des données personnelles et l’harmonisation de la politique en matière de données personnelles au sein de la structure, ce qui constitue l’un des enjeux majeurs du RGPD.

Si vous êtes une autorité ou un organisme public, si vous êtes un organisme dont les activités de base vous amènent à réaliser un « suivi régulier et systématique des personnes à grande échelle » ou encore si vous êtes un organisme dont les activités de base vous amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions, alors ce pilote devra obligatoirement être désigné auprès de la CNIL et portera le nom de délégué à la protection des données, plus connu sous l’acronyme DPO.

Dans le prolongement de la désignation de son pilote ou de son DPO, votre entreprise a dû réaliser une cartographie de ses traitements actuels de données personnelles afin de déterminer le cycle de vie des dites données (collecte – usage – conservation – suppression) et, à chaque étape, de répondre aux questions suivantes : Qui ? Quoi ? Pourquoi ? Où ? Jusqu’à quand ? Comment ?

Cette cartographie a permis à votre entreprise de cerner les zones de non-conformité au RGPD qui pourraient exister et ainsi bâtir un plan d’actions déterminant les mesures organisationnelles et techniques à mettre en oeuvre afin de lever ces risques selon un calendrier précis.

CE QUI RESTE À FINALISER D’ ICI LE 25 MAI 2018

La deuxième étape d’une mise en conformité réussie passe par la mise en place (ou la mise à jour) de procédures et de documentations qui garantissent la protection des données personnelles à tout moment.

A ce titre, il convient de respecter notamment :

• le principe de « Privacy by Design » qui impose la prise en compte de la protection des données personnelles en amont de chaque projet (informatique ou autre) ;

• le principe de minimisation de la collecte des données ;

• le principe de collecte préalable du consentement des personnes concernées.

Afin de garantir un haut niveau de protection des données personnelles, votre entreprise devra notamment adopter des politiques internes et externes de gouvernance en matière de protection des données, mettre en place des procédures de validation des traitements, une procédure de notification d’une violation de données, insérer des clauses-types conformes au RGPD dans les contrats conclus avec tous partenaires dont particulièrement les sous-traitants.

Votre entreprise devra peut-être également conduire des « analyses d’impact » des traitements envisagés afin d’évaluer la nécessité et la proportionnalité des traitements au regard des finalités et des risques pour les droits et libertés des personnes concernées.

Enfin, votre entreprise devra impérativement vérifier la sécurité de son système informatique, si besoin à l’aide d’un prestataire informatique qualifié. La sécurité étant un volet essentiel du RGPD, la CNIL vient de publier un nouveau guide de la sécurité des données personnelles rappelant, en 17 fiches, les précautions élémentaires à mettre en oeuvre de façon systématique.

ET APRÈS LE 25 MAI 2018 ?

La troisième et dernière étape d’une mise en conformité réussie passe par le maintien de cette conformité dans le temps. En effet, le RGDP impose aux entreprises un processus d’amélioration continue.

Le pilote ou le DPO désigné devra donc notamment être informé, en amont, de la modification des traitements et des nouveaux projets, mettre à jour des traitements existants, réévaluer la pertinence des mesures techniques et organisationnelles en place et si besoin, les mettre à jour et prendre en compte toute éventuelle évolution législative et règlementaire.

L’AVIS DES EXPERTS FIDAL EN DROIT DES DONNÉES PERSONNELLES

Le RGPD ne doit pas être perçu par les entreprises exclusivement comme une énième mesure de compliance contraignante, mais comme une opportunité de valoriser ses données, de renforcer la confiance notamment auprès des clients, de se différencier par rapport à la concurrence et de se protéger face aux attaques informatiques.

Nos spécialistes sont à votre écoute pour vous renseigner et vous assister, à chaque étape, dans la mise en place des mesures adaptées à votre activité et dans la définition d’une gouvernance sur mesure garantissant une protection optimale des données personnelles traitées.

 

publi-fidal

Réagir à cet article

comment-avatar

*