La RGPD, comment bien s’y préparer.

non-classée

contact@pczen02.fr
décembre 31, 2019
0
1077

RGPD :  se préparer en six étapes

Conformité à la Règlementation Européenne relative à la Protection des Données[1]

Le RGPD est applicable au 25 mai 2018. Aussi, PC.ZEN, soucieuse de vous accompagner dans la compréhension de cette nouvelle règlementation européenne relative aux données personnelles, vous propose ce guide résumant en six étapes les actions à mener afin d’être conforme à cette législation.

Ce guide s’inspire des conseils et recommandations de la Commission Nationale de l’Informatique et des Libertés (« CNIL »). Pour plus d’informations, nous vous invitons à consulter le site internet de la CNIL ainsi que toutes les fiches pratiques qui vous permettront d’avoir des aides et informations plus détaillées.

Il est porté à votre attention que PC.ZEN n’a aucune obligation de moyen applicable à votre mise en conformité à la règlementation européenne et qu’elle ne saura être tenue responsable d’un manquement quant au respect de vos obligations légales découlant du RGPD. Ce guide n’est qu’une aide exhaustive ne remplaçant en aucun cas les conseils de professionnels et de la CNIL.

 

Désigner un pilote

Par pilote, il faut entendre un responsable en charge de la mise en conformité de votre structure au Règlement européen. Il peut être interne, désigné par vos soins, ou externe.

Ce pilote peut régulièrement revêtir l’appellation de « Délégué à la Protection des Données », également appelé « DPO » ou « DPD ».

Le choix d’un pilote est obligatoire dans certains cas :

  • Cette désignation est obligatoire lorsque vous êtes un organisme public ;
  • Ou lorsque vous êtes une structure dont l’activité tend à réaliser un suivi constant et régulier des personnes à grande échelle (cela peut impliquer un volume de données traitées conséquent, une étendue géographique imposante ou un nombre important d’individus concernés, par exemple) ;
  • Ou lorsque vous êtes une structure amenée à traiter des données dites « sensibles »[2].

Même lorsque le choix dudit pilote reste facultatif, il est vivement conseillé de nommer une personne qui s’assurera de la mise en conformité au Règlement européen.

La désignation de ce pilote, et notamment du Délégué à la Protection des Données, doit s’effectuer selon plusieurs critères relatifs aux compétences requises, aux moyens mis à disposition ainsi qu’à la capacité d’agir en toute indépendance.

Ces critères, qui sont détaillés par la CNIL, peuvent être retrouvés en cliquant sur le lien suivant : https://www.cnil.fr/fr/designation-dpo

Un Délégué à la Protection des Données a plusieurs rôles et plusieurs missions. Il est notamment chargé :

  • De conseiller et d’informer le responsable de traitement, le sous-traitant, et plus généralement, l’ensemble des collaborateurs d’une structure ;
  • De contrôler le respect des obligations découlant du Règlement européen ;
  • De coopérer avec la CNIL ;
  • D’être le contact direct avec ladite autorité de contrôle.

Le pilote, chargé de la mise en conformité, doit donc être en mesure d’assumer la plupart de ces missions afin de garantir une mise en conformité suivie et continue.

Indépendamment du suivi de la mise en conformité, le pilote chargé du respect de la réglementation européenne doit également :

  • Réaliser l’inventaire des traitements de données personnelles réalisés par votre structure ;
  • S’informer du contenu des nouvelles obligations légales ;
  • Effectuer une veille juridique nationale ;
  • Sensibiliser l’ensemble des employés de votre structure.

Ce pilote sera donc le référent de chacune des actions et tâches se rapportant à l’application du Règlement européen et permettra ainsi une surveillance active de votre mise en conformité.

Cartographier l’ensemble des traitements réalisés

Tenir une liste de l’intégralité des traitements réalisés par votre structure, c’est favoriser une meilleure connaissance de votre activité et, ainsi, pouvoir s’assurer du respect de vos obligations légales.

Il s’agit donc de recenser plusieurs informations par votre structure qui constitueront, par la suite, une documentation interne complète de vos actions relatives aux données personnelles. Cette documentation interne servira de base principale permettant de prouver votre mise en conformité à la réglementation européenne.

Il convient d’identifier les différentes entités de votre entreprise, le cas échéant. En effet, chaque entité réalise des traitements pour son compte, mais également pour la société mère.

Par suite, votre entreprise doit identifier les différents traitements de données personnelles. Par traitement, il faut entendre au sens de l’article 4 du Règlement européen toute opération ou ensemble d’opérations appliquées à des données personnelles. Cela peut être la collecte, l’enregistrement, la conservation, la transmission, l’extraction ou la consultation, par exemple. Pour plus de détails, vous pouvez consulter le site de la CNIL. Pour chaque traitement, il est conseillé d’indiquer également les flux de données, à savoir, les transferts réalisés ainsi que les destinataires desdits transferts.

Pour chaque traitement, il est nécessaire de déterminer les catégories de données personnelles traitées. Pour rappel, une donnée personnelle est une information permettant d’identifier une personne physique de manière directe, comme par son prénom, son nom, son numéro de téléphone, ou de manière indirecte, par son identité physique ou sa plaque d’immatriculation, par exemple. Les données peuvent être considérées comme sensibles lorsqu’elles concernent, par exemple, l’orientation sexuelle, l’appartenance syndicale ou encore la santé.

Votre entreprise doit ensuite indiquer la finalité de chaque traitement, c’est-à-dire, le but poursuivi et les objectifs recherchés par chaque opération de traitement que votre structure réalise. En exemple, l’on peut citer la surveillance des locaux ou la gestion des recrutements.

Enfin, vous devez relever les acteurs qui traitent les données personnelles. Ces acteurs peuvent être internes ou externes, comme des prestataires. En dressant une liste desdits acteurs, vous permettez ainsi de créer une actualisation de l’intégralité de vos contrats et de vos CGU/CGV avec les acteurs externes. Vous pouvez également mettre à jour votre Règlement intérieur et votre charte de confidentialité.

Les questions à se poser pour chaque traitement sont les suivantes :

  • « Qui ? » : les responsables de service, les sous-traitants, etc. ;
  • « Quoi ? » : Les catégories de données ;
  • « Pourquoi ? » : La finalité du traitement ;
  • « Où ? » : Le lieu d’hébergement et les transferts ;
  • « Jusqu’à quand ? » : La durée de conservation ;
  • « Comment ? » : Les mesures de sécurité mises en place.

Tous ces éléments sont contenus dans un registre qui doit régulièrement être mis à jour.

Prioriser les actions

Votre cartographie des traitements aboutit à l’établissement de plusieurs registres. De ces registres découlent par la suite un plan d’action permettant à votre entreprise d’identifier les actions à mener pour vous conformer aux obligations du Règlement européen.

Prioriser les actions, c’est également cibler les actions au regard des risques que font encourir les traitements que vous réalisez sur les droits et libertés des personnes dont les données sont traitées.

Chaque traitement réalisé par votre entreprise ne doit concerner que les données qui sont strictement nécessaires à la poursuite de vos objectifs. Si tel n’est pas le cas, votre structure doit impérativement réduire les données personnelles traitées à la finalité de chaque opération de traitement.

Votre entreprise doit, par suite, déterminer la base juridique qui justifie le traitement que vous effectuez. Selon la réglementation européenne, il existe plusieurs bases juridiques :

  • Le consentement de la personne ;
  • L’intérêt légitime ;
  • L’exécution d’un contrat ;
  • Une obligation légale.

Il est conseillé ensuite de réviser l’ensemble des mentions d’information ainsi que l’ensemble de vos documents contractuels afin qu’ils soient conformes aux exigences du Règlement. Il peut s’agir, notamment mais pas uniquement, des contrats avec vos clients, des contrats avec vos salariés, de votre politique de confidentialité et de vos mentions légales sur vos sites internet, de vos conditions d’utilisation ou encore vos BCR, le cas échéant (qui sont les règles de protection de données afférentes à vos transferts de données en dehors de l’Union Européenne).

Il incombe également à chaque structure de vérifier que ses sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités. Cela peut se faire notamment par l’intégration, dans le contrat de sous-traitance, de clauses contractuelles détaillant les obligations du sous-traitants en vous concentrant sur la sécurité, la confidentialité et la protection des données personnelles.

Votre entreprise doit prévoir, dans sa mise en conformité au Règlement européen, les modalités d’exercice des droits des personnes qui sont concernées par des opérations de traitement. Ces droits sont divers et concernent, par exemple, le droit d’accès, le droit de rectification, le retrait du consentement, etc.

Enfin, votre entreprise doit instaurer des mesures de sécurité permettant de garantir au mieux la sécurité des traitements que vous réalisez.

Gérer les risques

Lorsque votre entreprise a priorisé ses actions et cartographié l’intégralité des traitements, elle doit par la suite identifier les traitements susceptibles d’engendrer des risques, plus ou moins élevés, aux personnes concernées par lesdits traitements. Ce sont des risques qui peuvent constituer des atteintes aux droits et libertés fondamentales de chaque personne.

Outre cette identification, vous devrez réaliser une analyse d’impact relative à la protection des données. Cette analyse d’impact, également appelée « data protection impact assessment » ou encore « privacy impact assessment », consiste en une étude permettant de modifier un traitement afin qu’ils deviennent respectueux de la vie privée. En résumé, ladite étude permet d’évaluer l’impact d’un traitement sur la vie privée d’une personne dont les données sont traitées par votre entreprise.

Cette analyse doit être réalisée, dans l’idéal, avant la mise en œuvre d’un traitement à risque. Elle doit être régulièrement mise à jour et corrigée, notamment lorsqu’il y a des changements majeurs dans les modalités d’exécution du traitement.

Une fois encore, il est porté à votre attention que cette analyse d’impact n’est menée que sur les traitements susceptibles d’engendrer des risques élevés pour les droits et les libertés fondamentales des personnes dont les données sont traitées. Plusieurs critères et indices existent pour déterminer si un traitement engendre un risque élevé. Parmi eux, il y a la surveillance systématique, le croisement de données, le traitement réalisé à grande échelle ou la décision automatisée, par exemple.

Une analyse d’impact doit se décomposer en deux axes :

  • Les principes et droits fondamentaux fixés par la loi. Ces principes et droits ne peuvent être ni assouplis, ni modulés, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
  • La gestion des risques sur les données personnelles traitées.

Votre analyse doit comporter, dans sa globalité :

  • Une description du traitement étudié ainsi que ses caractéristiques (finalité, catégories de données, etc.) ;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement réalisées au regard du but dudit traitement ;
  • Les mesures envisagées pour faire face aux risques évalués au préalable.

Pour faciliter le travail d’analyse de chaque entreprise, la CNIL a mis en place une méthode ainsi qu’un catalogue des bonnes pratiques permettant de réaliser une étude d’impact. Ces outils sont également accompagnés d’un logiciel téléchargeable sur le site de la Commission permettant la formalisation de ladite analyse et des lignes directrices sur la réalisation d’une étude d’impact. Pour plus d’informations, n’hésitez pas à vous rapprocher de la CNIL.

Mettre en place des process internes

La mise en place de process internes à votre entreprise, c’est avoir acquis le réflexe de la protection des données et avoir appliqué au sein des services qui mettent en œuvres des traitements de données des procédures à respecter pour faciliter la transmission de l’information et la réactivité de chacun de vos collaborateurs. Une équipe avertie, c’est un meilleur respect des obligations de la règlementation européenne.

La mise en place desdits process permet, en outre, de réagir rapidement en cas d’incidents et de connaître les collaborateurs en charge de tels incidents, les procédures à appliquer ainsi que les attitudes à adopter.

La CNIL a désormais mis en place sur site un formulaire de notification de violations des données personnelles permettant à votre entreprise d’avoir une première formalisation d’une procédure de violation de données personnelles. Suivra un téléservice de notification desdites violations. Il vous incombe de vous informer régulièrement, en consultant le site la Commission, la mise en place de ce téléservice.

Organiser les processus peut se décomposer en quatre axes :

  • Il convient de prendre en compte la protection des données personnelles dès la conception d’un produit, d’un logiciel ou même d’un service. Aussi, votre entreprise appliquera le principe de minimisation de collecte des données : en d’autres termes, elle ne collectera que les données nécessaires à la finalité du traitement réalisé ;
  • Il incombe à votre entreprise de sensibiliser et d’organiser une remontée d’information favorisant une meilleure communication entre vos collaborateurs ainsi qu’une meilleure réactivité de réponse face à tout type de demande ;
  • Votre entreprise doit également traiter les réclamations et les demandes de personnes concernées par le traitement de leurs données en définissant les acteurs ainsi que les modalités de l’exercice des droits desdites personnes. Pour rappel, l’exercice de ces droits doit pouvoir être réalisable par voie électronique ;
  • Enfin, votre entreprise doit pouvoir anticiper les violations de données. Il est porté à votre attention que la notification à l’autorité de protection des données personnelles doit se faire dans les 72 heures après la découverte de la violation.

Pour plus d’informations, nous vous invitons à consulter le site internet de la CNIL ainsi que la règlementation européenne qui précise les modalités des violations de données personnelles.

Documenter votre mise en conformité

Votre entreprise aura pour but, lorsqu’elle aura franchi l’ensemble de ces étapes, de documenter sa mise en conformité afin de prouver le respect de ses obligations, fixées par le Règlement européen.

L’ensemble de votre documentation devra être régulièrement analysé, actualisé et suivi rigoureusement par le responsable de la mise en place de votre conformité au Règlement européen au sein de votre structure.

Cette documentation devra prendre la forme d’un dossier comportant les éléments suivants :

  • Vos registres de traitements ;
  • Vos analyses d’impact ;
  • Les mentions d’informations mises en place en interne ;
  • Les modèles de recueil de consentement des personnes concernées par le traitement des données que votre entreprise réalise ;
  • Les process mis en place pour l’exercice des droits ;
  • L’ensemble contractuel avec vos clients, vos sous-traitants, vos fournisseurs ;
  • Les preuves du recueil du consentement ;
  • Etc.

Pour plus d’informations, votre entreprise peut consulter le site de la CNIL qui détaille l’ensemble des éléments devant être regroupés par votre structure.

Nous vous recommandons également d’effectuer de manière régulière une veille juridique qui portera, notamment, sur les sanctions administrées par la CNIL, les actualisations juridiques sur le plan européen mais également sur le plan national, ainsi que les décrets d’application qui apporteront plus de précisions sur la conservation des données, par exemple, ou les modalités de mise en place de la réglementation d’une manière plus générale.

Documenter votre mise en conformité, c’est également recueillir la preuve que vos partenaires sont conformes. C’est pourquoi PC.ZEN vous a fourni, dans un package, sa fiche de conformité au Règlement européen.

  1. Règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE 
  2. Une donnée sensible consiste en toute information tombant sous le régime de la règlementation applicable en matière de protection des données à caractère personnel qui font apparaitre, de manière directe ou indirecte, notamment mais pas uniquement des informations relatives à l’origine raciale ou ethnique, l’opinion politique, philosophique ou religieuse, l’appartenance syndicale, la santé, la vie sexuelle, la biométrie ou la génétique, par exemple.

Post a Comment

Ils nous ont fait confiance pour leur projet, et vous ?

Demandez un devis