Le règlement général relatif à la protection des données personnelles (RGPD) sera applicable le 25 mai 2018. Il reste donc à toutes les entreprises qui gèrent des données personnelles un peu plus de 4 mois pour s’y préparer. Il faut bien avoir à l’esprit que tout traitement de données personnelles déjà en place devra impérativement être conforme au RGPD. Cela implique une préparation en amont que Tripalio vous propose de détailler en trois points clés.
RGPD : désignez un délégué à la protection des données
Bien que la désignation d’un délégué à la protection des données (DPD) ne soit pas systématiquement obligatoire, elle peut être utile à tous les acteurs qui procèdent à un traitement de données personnelles. En effet, ce DPD a pour mission de piloter l’intégralité des données personnelles de sa structure. Dans ce cadre il est chargé d’insufler de la pédagogie dans la mise en oeuvre des traitements de données personnelles effectuées au sein de sa structure : il a un rôle de conseiller auprès des équipes, mais aussi de guide en ce qu’il doit tout mettre en oeuvre pour que le RGPD soit respecté. Son activité fait de lui l’interlocuteur privilégié de la Commission nationale relative à l’informatique et aux libertés (CNIL).
Attention : tout le monde ne peut pas devenir DPD. En effet, à titre d’exemple, un responsable de traitement ne peut pas être désigné DPD car il doit pouvoir agir en toute indépendance et ne pas être en conflit d’intérêts avec ses autres missions.
Dans quels cas la désignation d’un DPD est-elle obligatoire ? Trois cas sont prévus par le RGPD. D’abord, tous les organismes publics sont tenus d’en nommer un. Ensuite, les entités qui suivent systématiquement des personnes à grande échelle dans le cadre de leur activité de base sont aussi tenues d’en désigner un (comme les assurances, les banques…). Enfin, les entités qui ont pour activité principale de traiter à grande échelle des données sensibles (comme par exemple des données de santé) sont aussi obligées de désigner un DPD.
Identitifez les traitements que vous effectuez et agissez
Toute entité traitant des données personnelles doit être en mesure de savoir quel type de données elle traite, à quel fin, dans quel cadre, pour combien de temps etc… Il est donc impératif d’établir un inventaire de chaque traitement en indiquant, pour chacun d’eux, toutes les informations à connaître : qui est le responsable de traitement ? quelles données sont traitées ? quel est le but de ce traitement ? Où sont physiquement stockées ces données ? Pour combien de temps ? Comment ces données sont-elles protégées ?
Une fois que ce premier diagnostic est terminé, vous pouvez hiérarchiser les traitements selon leur importance et déterminer les actions à mener pour les mettre en conformité avec le RGPD.
Attention : si vous détectez un risque potentiel pesant sur le droit à la vie privée des individus dans l’un de vos traitements, vous êtes tenus de diligenter une analyse d’impact sur la protection des données (PIA, l’outil peut être téléchargé ici).
Mettez en place des procédures de contrôle
La mise en conformité de tous les traitements de données personnelles avec le nouveau RGPD implique que l’organisme qui les a mis en place mette tout en oeuvre pour impliquer l’ensemble des équipes. Il est donc important de créer des procédures permettant de toujours avoir à l’esprit le fait que la protection des données personnelles doit être omniprésente.
Attention : l’intégralité de la mise en conformité doit être documentée ! Il doit être possible de faire, rapidement et simplement, un état des lieux des traitements de données personnelles et de leur fonctionnement ainsi que des personnes impliquées dans sa gouvernance.
Tous ces points d’étapes doivent être passés pour le 25 mai 2018. Il est important de ne pas oublier que les pouvoirs publics vont être dotés de nouvelles facultés de contrôle et les amendes potentiellement infligées seront bien plus élevées qu’auparavant. Tripalio ne manquera pas de revenir en détail, dans les semaines à venir, sur le contenu du RGPD.