Protection des données (RGPD) : 3 étapes pour être prêt dans 4 mois

Le règlement général relatif à la protection des données personnelles (RGPD) sera applicable le 25 mai 2018. Il reste donc à toutes les entreprises qui gèrent des données personnelles un peu plus de 4 mois pour s’y préparer. Il faut bien avoir à l’esprit que tout traitement de données personnelles déjà en place devra impérativement être conforme au RGPD. Cela implique une préparation en amont que Tripalio vous propose de détailler en trois points clés. 

 

RGPD : désignez un délégué à la protection des données

Bien que la désignation d’un délégué à la protection des données (DPD) ne soit pas systématiquement obligatoire, elle peut être utile à tous les acteurs qui procèdent à un traitement de données personnelles. En effet, ce DPD a pour mission de piloter l’intégralité des données personnelles de sa structure. Dans ce cadre il est chargé d’insufler de la pédagogie dans la mise en oeuvre des traitements de données personnelles effectuées au sein de sa structure : il a un rôle de conseiller auprès des équipes, mais aussi de guide en ce qu’il doit tout mettre en oeuvre pour que le RGPD soit respecté. Son activité fait de lui l’interlocuteur privilégié de la Commission nationale relative à l’informatique et aux libertés (CNIL). 

Attention : tout le monde ne peut pas devenir DPD. En effet, à titre d’exemple, un responsable de traitement ne peut pas être désigné DPD car il doit pouvoir agir en toute indépendance et ne pas être en conflit d’intérêts avec ses autres missions. 

Dans quels cas la désignation d’un DPD est-elle obligatoire ? Trois cas sont prévus par le RGPD. D’abord, tous les organismes publics sont tenus d’en nommer un. Ensuite, les entités qui suivent systématiquement des personnes à grande échelle dans le cadre de leur activité de base sont aussi tenues d’en désigner un (comme les assurances, les banques…). Enfin, les entités qui ont pour activité principale de traiter à grande échelle des données sensibles (comme par exemple des données de santé) sont aussi obligées de désigner un DPD. 

 

Identitifez les traitements que vous effectuez et agissez

Toute entité traitant des données personnelles doit être en mesure de savoir quel type de données elle traite, à quel fin, dans quel cadre, pour combien de temps etc… Il est donc impératif d’établir un inventaire de chaque traitement en indiquant, pour chacun d’eux, toutes les informations à connaître : qui est le responsable de traitement ? quelles données sont traitées ? quel est le but de ce traitement ? Où sont physiquement stockées ces données ? Pour combien de temps ? Comment ces données sont-elles protégées ? 

Une fois que ce premier diagnostic est terminé, vous pouvez hiérarchiser les traitements selon leur importance et déterminer les actions à mener pour les mettre en conformité avec le RGPD. 

Attention : si vous détectez un risque potentiel pesant sur le droit à la vie privée des individus dans l’un de vos traitements, vous êtes tenus de diligenter une analyse d’impact sur la protection des données (PIA, l’outil peut être téléchargé ici). 

 

Mettez en place des procédures de contrôle

La mise en conformité de tous les traitements de données personnelles avec le nouveau RGPD implique que l’organisme qui les a mis en place mette tout en oeuvre pour impliquer l’ensemble des équipes. Il est donc important de créer des procédures permettant de toujours avoir à l’esprit le fait que la protection des données personnelles doit être omniprésente. 

Attention : l’intégralité de la mise en conformité doit être documentée ! Il doit être possible de faire, rapidement et simplement, un état des lieux des traitements de données personnelles et de leur fonctionnement ainsi que des personnes impliquées dans sa gouvernance. 

 

Tous ces points d’étapes doivent être passés pour le 25 mai 2018. Il est important de ne pas oublier que les pouvoirs publics vont être dotés de nouvelles facultés de contrôle et les amendes potentiellement infligées seront bien plus élevées qu’auparavant. Tripalio ne manquera pas de revenir en détail, dans les semaines à venir, sur le contenu du RGPD. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Lire plus

Le transfert de charges vers les Ocam symboliquement neutralisé par les députés

Contre toute attente, les députés ont réussi à faire voter la neutralisation symbolique du transfert de charges de la sécurité sociale vers les organismes complémentaires d'assurance maladie (Ocam) prévu en 2025. Considéré comme une mesure d'équité par le gouvernement, ce transfert évalué à 1,1 Md€ se traduira en pratique par une hausse du ticket modérateur sur les...

Avis d’extension d’un avenant à un accord dans la CCN de l’industrie des tuiles et briques

La ministre du travail et de l’emploi envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’avenant du 26 juin 2024 à l'accord du 11 mai 2021 relatif à l'emploi des jeunes, formation par l'alternance et développement des CQP, conclu dans le cadre de la convention collective nationale de l’industrie des tuiles et briques (...

Avis d’extension d’un accord conclu dans la CCN des menuiseries charpentes

La ministre du travail et de l'emploi, envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’accord du 18 juillet 2024 relatif aux catégories de bénéficiaires du régime de protection complémentaire, conclu dans le cadre de la convention collective nationale des menuiseries, des charpentes et constructions industrialisées et des portes planes (...

Avis d’extension d’avenants dans la CCN des coopératives de consommateurs salariés

La ministre du travail et de l'emploi, envisage d’étendre, par avis publié le 5 novembre 2024, les dispositions de l’avenant n° 1 du 27 septembre 2024 à l'accord du 20 juin 2019 relatif à la prévoyance et de l'avenant n° 2 du 27 septembre 2024 à l'accord du 30 septembre 2022 relatif à la liberté de choisir son avenir professionnel, conclus dans le cadre de la convention collective nationale des coopératives de consommateurs salariés (...