CNIL: RGPD soyez opérationnel pour mai 2018 !

CNIL: RGPD soyez opérationnel pour mai 2018 !

28 décembre 2017 Non classé 0

Règlement Général de Protection des Données

Règlement européen : se préparer en 6 étapes

Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité pour chaque entreprise qui possède un site web.

ETAPE 1 : DÉSIGNER UN PILOTE

La désignation d’un délégué à la protection des données est obligatoire en 2018 si :

  • Vous êtes un organisme public ;
  • Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Qui peut être délégué ?

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).

ETAPE 2 : CARTOGRAPHIER  vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en oeuvre. La tenue d’un registre des traitements vous permet de faire le point.

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.

ETAPE 3 : PRIORISER

Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

ETAPE 4 : GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés  pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (en anglais, Data protection impact assessment ou Privacy Impact Assessment).

Qu’est-ce qu’une analyse d’impact sur la protection des données (PIA) ?

C’est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD. Un PIA est un outil d’évaluation d’impact sur la vie privée. Il repose sur 2 piliers :

  1. les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  2. la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Un PIA contient :

  • Une description du traitement étudié et de ses finalités.
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.

ETAPE 5 : ORGANISER LES PROCESSUS INTERNE

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

ETAPE 6 : DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Votre dossier devra notamment comporter les éléments suivants :

-LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES
-L’INFORMATION DES PERSONNES
-LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

SI VOUS VOULEZ CONNAITRE TOUT LES DÉTAILS DE CETTE RÉGLEMENTATION, JE PEUX VOUS ENVOYER MON EBOOK.

Contactez moi : drouin.steve[at]yahoo.fr

Bien @ Vous.

Steve

 

Partagez pour faire découvrir mon site ! MERCI!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *