RGPD : comment se mettre en conformité ?
Le Registre Général pour la Protection des Données (RGPD) est la dernière directive européenne, relative aux données personnelles qui s’applicable dans les états membres depuis le 25 mai 2018. Cette réforme a pour objectif de protéger les libertés et les droits des personnes quant au traitement de leurs données personnelles et de fixer des règles liées à la circulation de ces données à l’intérieur de l’Union Européenne. La mise en conformité au RGPD comporte 5 étapes.
Choix d’un Data Protection Officer (DPO)
La première étape est de choisir un DPO. La personne à qui incombera ce rôle devra posséder des compétences techniques et juridiques, être un bon communiquant et avoir une bonne résistance au stress. Rattaché à la direction générale, il divulguera, en toute impartialité, ces recommandations même si elles ne vont pas dans l’intérêt du business. Les entreprises possédant déjà un Correspondant informatique et libertés pourront lui attribuer le grade de DPO ou, sinon, en recruter un tout en sachant que cette sorte de profil est plutôt rare sur le marché de l’emploi. L’association française des correspondants à la protection des données à caractère personnel (AFCDP) possède un espace « offres d’emploi ». Il est également possible de faire appel à un DPO externe, la société RGPD Express propose cela par exemple.
Cartographie des traitements
Il convient ensuite d’examiner en détail tous les traitements de données personnelles informatisées ou sous format papier. Les procédures concernées par le RGPD doivent être identifiés et il faut, ensuite, évaluer leur niveau de conformité via une étude d’impacts. Divers métiers devront prendre part à l’élaboration de cette cartographie, le service marketing et la DRH, notamment, qui gèrent déjà une masse importante de données nominatives.
Cette étude préliminaire sera utile pour alimenter le registre actualisé qui recense les traitements et leurs finalités et qui pourra être exigé, à tout moment, par La CNIL (Commission nationale de l’informatique et des libertés).
Elaboration d’un plan d’action
En se fondant sur cet état des lieux, un plan d’action est instauré. Des travaux informatiques devront être mis en place pour sécuriser les données les plus sensibles. Les modalités d’exercice des droits des individus concernés et le consentement du droit à l’oubli devront être revus. Le but de chaque traitement et la durée de conservation des données devront être précisément définies entraînant une révision totale de la méthode de confidentialité. En outre, la conformité concerne également les sous-traitants qui sont coresponsables aux yeux du RGPD. Les contrats fournisseurs doivent inclure une clause qui précise leurs nouveaux devoirs et responsabilités. Les prestataires situés en dehors de l’Union Européenne sont, eux aussi, concernés du moment qu’ils régissent des données relatives à des citoyens Européens.
Etablissement du cadre de gouvernance
Pour que ce plan d’action s’inscrive dans la durée, une gouvernance spécifique doit être mise en place. Elle a pour but d’assurer l’intégrité d’une donnée tout au long de sa vie : de la collecte à la suppression. Il faut être en mesure de répondre aux questions suivantes.
Comment obtenir un niveau de protection maximum dès l’élaboration d’un nouveau traitement ?
Comment traiter les demandes de personnes fichées souhaitant faire valoir l’exercice de leurs droits ?
Qui est responsable, en cas de fuite de données, en ne perdant pas de vue le fait que la CNIL doit être avertie dans les 72 heures ?
Sensibilisation des collaborateurs
Tous les collaborateurs de l’entreprise doivent intégrer la notion de respect de la vie privée, enjeu prioritaire de l’entreprise.
Les salariés doivent suivre une formation relative aux récentes obligations induites par le RGDP. IL ne faut pas perdre de vue qu’un fichier basique EXCEL qui contient une liste de contacts peut déjà être qualifié de traitement de données personnelles.
Le RGDP change complètement la manière de recueillir, exploiter et archiver les
données personnelles. Ce récent règlement européen entraîne un nombre important de travaux, techniques et organisationnels, à installer pour se mettre en conformité.