Protection des données (RGPD) : 3 étapes pour être prêt dans 4 mois

Le règlement général relatif à la protection des données personnelles (RGPD) sera applicable le 25 mai 2018. Il reste donc à toutes les entreprises qui gèrent des données personnelles un peu plus de 4 mois pour s’y préparer. Il faut bien avoir à l’esprit que tout traitement de données personnelles déjà en place devra impérativement être conforme au RGPD. Cela implique une préparation en amont que Tripalio vous propose de détailler en trois points clés. 

 

RGPD : désignez un délégué à la protection des données

Bien que la désignation d’un délégué à la protection des données (DPD) ne soit pas systématiquement obligatoire, elle peut être utile à tous les acteurs qui procèdent à un traitement de données personnelles. En effet, ce DPD a pour mission de piloter l’intégralité des données personnelles de sa structure. Dans ce cadre il est chargé d’insufler de la pédagogie dans la mise en oeuvre des traitements de données personnelles effectuées au sein de sa structure : il a un rôle de conseiller auprès des équipes, mais aussi de guide en ce qu’il doit tout mettre en oeuvre pour que le RGPD soit respecté. Son activité fait de lui l’interlocuteur privilégié de la Commission nationale relative à l’informatique et aux libertés (CNIL). 

Attention : tout le monde ne peut pas devenir DPD. En effet, à titre d’exemple, un responsable de traitement ne peut pas être désigné DPD car il doit pouvoir agir en toute indépendance et ne pas être en conflit d’intérêts avec ses autres missions. 

Dans quels cas la désignation d’un DPD est-elle obligatoire ? Trois cas sont prévus par le RGPD. D’abord, tous les organismes publics sont tenus d’en nommer un. Ensuite, les entités qui suivent systématiquement des personnes à grande échelle dans le cadre de leur activité de base sont aussi tenues d’en désigner un (comme les assurances, les banques…). Enfin, les entités qui ont pour activité principale de traiter à grande échelle des données sensibles (comme par exemple des données de santé) sont aussi obligées de désigner un DPD. 

 

Identitifez les traitements que vous effectuez et agissez

Toute entité traitant des données personnelles doit être en mesure de savoir quel type de données elle traite, à quel fin, dans quel cadre, pour combien de temps etc… Il est donc impératif d’établir un inventaire de chaque traitement en indiquant, pour chacun d’eux, toutes les informations à connaître : qui est le responsable de traitement ? quelles données sont traitées ? quel est le but de ce traitement ? Où sont physiquement stockées ces données ? Pour combien de temps ? Comment ces données sont-elles protégées ? 

Une fois que ce premier diagnostic est terminé, vous pouvez hiérarchiser les traitements selon leur importance et déterminer les actions à mener pour les mettre en conformité avec le RGPD. 

Attention : si vous détectez un risque potentiel pesant sur le droit à la vie privée des individus dans l’un de vos traitements, vous êtes tenus de diligenter une analyse d’impact sur la protection des données (PIA, l’outil peut être téléchargé ici). 

 

Mettez en place des procédures de contrôle

La mise en conformité de tous les traitements de données personnelles avec le nouveau RGPD implique que l’organisme qui les a mis en place mette tout en oeuvre pour impliquer l’ensemble des équipes. Il est donc important de créer des procédures permettant de toujours avoir à l’esprit le fait que la protection des données personnelles doit être omniprésente. 

Attention : l’intégralité de la mise en conformité doit être documentée ! Il doit être possible de faire, rapidement et simplement, un état des lieux des traitements de données personnelles et de leur fonctionnement ainsi que des personnes impliquées dans sa gouvernance. 

 

Tous ces points d’étapes doivent être passés pour le 25 mai 2018. Il est important de ne pas oublier que les pouvoirs publics vont être dotés de nouvelles facultés de contrôle et les amendes potentiellement infligées seront bien plus élevées qu’auparavant. Tripalio ne manquera pas de revenir en détail, dans les semaines à venir, sur le contenu du RGPD. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer

Avis d’extension d’un accord territorial dans la métallurgie (Seine-et-Marne)

La ministre du travail, de la santé, des solidarités et des familles, envisage d’étendre, par avis publié le 24 avril 2025, les dispositions de l’avenant territorial (Seine-et-Marne) du 10 mars 2025 à l'accord autonome du 19 avril 2022 relatif à la mise en place d'une indemnité de repas de jour, conclu dans  le cadre de la convention collective nationale de la métallurgie (...

Avis d’extension d’avenants dans la CCN de l’import-export

La ministre du travail, de la santé, des solidarités et des familles, envisage d’étendre, par avis publié le 24 avril 2025, les dispositions de l’avenant du 27 mars 2025 relatif à la modification des articles 4, 6, 7 et 7 bis de la convention collective et de l'avenant n° 4 du 27 mars 2025 à l'accord du 22 juin 2009 relatif à la création de dispositifs d'épargne salariale, conclus dans  le cadre de la convention collective nationale des...
bureaux d'études
Lire plus

Prévoyance : les actions HDS 2025 des bureaux d’études

Les régimes conventionnels de protection sociale complémentaire qui couvrent les quelque 1 400 000 salariés des bureaux d’études techniques et sociétés de conseils comptent parmi ceux dont l’actualité intéresse assez largement du côté des acteurs et observateurs du monde de la protection sociale collective. ...