Protection des données (RGPD) : 3 étapes pour être prêt dans 4 mois

Le règlement général relatif à la protection des données personnelles (RGPD) sera applicable le 25 mai 2018. Il reste donc à toutes les entreprises qui gèrent des données personnelles un peu plus de 4 mois pour s’y préparer. Il faut bien avoir à l’esprit que tout traitement de données personnelles déjà en place devra impérativement être conforme au RGPD. Cela implique une préparation en amont que Tripalio vous propose de détailler en trois points clés. 

 

RGPD : désignez un délégué à la protection des données

Bien que la désignation d’un délégué à la protection des données (DPD) ne soit pas systématiquement obligatoire, elle peut être utile à tous les acteurs qui procèdent à un traitement de données personnelles. En effet, ce DPD a pour mission de piloter l’intégralité des données personnelles de sa structure. Dans ce cadre il est chargé d’insufler de la pédagogie dans la mise en oeuvre des traitements de données personnelles effectuées au sein de sa structure : il a un rôle de conseiller auprès des équipes, mais aussi de guide en ce qu’il doit tout mettre en oeuvre pour que le RGPD soit respecté. Son activité fait de lui l’interlocuteur privilégié de la Commission nationale relative à l’informatique et aux libertés (CNIL). 

Attention : tout le monde ne peut pas devenir DPD. En effet, à titre d’exemple, un responsable de traitement ne peut pas être désigné DPD car il doit pouvoir agir en toute indépendance et ne pas être en conflit d’intérêts avec ses autres missions. 

Dans quels cas la désignation d’un DPD est-elle obligatoire ? Trois cas sont prévus par le RGPD. D’abord, tous les organismes publics sont tenus d’en nommer un. Ensuite, les entités qui suivent systématiquement des personnes à grande échelle dans le cadre de leur activité de base sont aussi tenues d’en désigner un (comme les assurances, les banques…). Enfin, les entités qui ont pour activité principale de traiter à grande échelle des données sensibles (comme par exemple des données de santé) sont aussi obligées de désigner un DPD. 

 

Identitifez les traitements que vous effectuez et agissez

Toute entité traitant des données personnelles doit être en mesure de savoir quel type de données elle traite, à quel fin, dans quel cadre, pour combien de temps etc… Il est donc impératif d’établir un inventaire de chaque traitement en indiquant, pour chacun d’eux, toutes les informations à connaître : qui est le responsable de traitement ? quelles données sont traitées ? quel est le but de ce traitement ? Où sont physiquement stockées ces données ? Pour combien de temps ? Comment ces données sont-elles protégées ? 

Une fois que ce premier diagnostic est terminé, vous pouvez hiérarchiser les traitements selon leur importance et déterminer les actions à mener pour les mettre en conformité avec le RGPD. 

Attention : si vous détectez un risque potentiel pesant sur le droit à la vie privée des individus dans l’un de vos traitements, vous êtes tenus de diligenter une analyse d’impact sur la protection des données (PIA, l’outil peut être téléchargé ici). 

 

Mettez en place des procédures de contrôle

La mise en conformité de tous les traitements de données personnelles avec le nouveau RGPD implique que l’organisme qui les a mis en place mette tout en oeuvre pour impliquer l’ensemble des équipes. Il est donc important de créer des procédures permettant de toujours avoir à l’esprit le fait que la protection des données personnelles doit être omniprésente. 

Attention : l’intégralité de la mise en conformité doit être documentée ! Il doit être possible de faire, rapidement et simplement, un état des lieux des traitements de données personnelles et de leur fonctionnement ainsi que des personnes impliquées dans sa gouvernance. 

 

Tous ces points d’étapes doivent être passés pour le 25 mai 2018. Il est important de ne pas oublier que les pouvoirs publics vont être dotés de nouvelles facultés de contrôle et les amendes potentiellement infligées seront bien plus élevées qu’auparavant. Tripalio ne manquera pas de revenir en détail, dans les semaines à venir, sur le contenu du RGPD. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer

MGEN (groupe VYV) accueille le nouveau conseiller de son président

Ce communiqué a été diffusé par MGEN (groupe VYV). Après un Bafa et quelques années de pionnicat en parallèle de sa licence de lettres modernes, Alexandre Dimeck-Ghione exerce le métier de coordinateur d'assistance pour le compte de Mondial Assistance de 2012 à 2017. En 2017, il rejoint la direction qualité de AWP (Allianz Worldwide Partners) comme expert de la relation client. En janvier 2020, Alexandre rejoint le...

Représentativité syndicale en TPE : les dates du scrutin fixées par décret

Un décret dédié à la mesure de l'audience syndicale dans les entreprises de moins de 11 salariés vient de paraître au Journal officiel. Ce décret indique que le vote électronique se fera du lundi 25 novembre 2024 à 15h jusqu'au lundi 9 décembre à 17h. Quant au vote par correspondance il aura lieu du 25 novembre au 9 décembre inclus s'agissant de l'envoi des bulletins de vote. Retrouvez le ...