6 étapes pour une mise en conformité RGPD

Le règlement général relatif à la protection des données ou RGPD s’applique à toutes les entreprises, indépendamment de leur taille ou de leur secteur d’activité. Cependant, en tant que dirigeant, l’on peut vite se sentir dépassé tant la réglementation peut parfois apparaître comme complexe. C’est pourquoi il peut être intéressant de nommer un expert dans la protection des données pour une meilleure mise en conformité RGPD.

Faut-il nommer un délégué à la protection des données (DPO) ?

Le délégué à la protection des données, aussi appelé DPO pour « data protection officer », a pour rôle de veiller à la conformité de son organisme au regard du RGPD. Il n’est pas obligatoire si le traitement des données n’est pas systématique ou mené à grande échelle, mais on peut vous demander de justifier le choix de ne pas en avoir désigné un.

Il a diverses missions :

• Il accompagne et conseille son entreprise et ses employés dans l’utilisation et le traitement des données personnelles.
• Il est chargé de s’assurer que l’organisme respecte la loi en matière de protection des données personnelles et notamment le RGPD.
• Il est également en charge de la coopération entre la CNIL et son entreprise.
• Enfin il a pour mission de mener une analyse d’impact relative à la protection des données aussi appelée AIPD (voir ci-dessous).

Bien que facultatif dans certains cas, il vous est toujours recommandé d’en désigner un dès que votre activité implique le traitement de données personnelles.

Recenser le traitement des données pour améliorer votre conformité RGPD

Afin d’évaluer l’impact du RGPD sur la protection des données de votre entreprise, il est recommandé de dresser une liste détaillée des traitements de données personnelles que vous effectuez. Cela vous permettra de faire le point et d’avoir une vision claire de votre situation.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

• Qui ? Établissez la liste des personnes et des services amenés à traiter les données, sans oublier les sous-traitants.
• Quoi ? Identifiez les catégories de données et celles susceptibles de soulever un risque (données sensibles).
• Pourquoi ? Indiquez-la ou les finalités pour lesquelles vous collectez ou traitez ces données
• Où ? Déterminez le lieu où les données sont hébergées, vers quel pays elles sont transférées.
• Quand ? Combien de temps vous conservez les données.

Identifier les points sensibles au regard du RGPD

Sur la base du recensement que vous aurez effectué, identifiez les points d’attention sur lesquels vous devez vous pencher.

Certains aspects nécessitent une vigilance particulière : 

• Vérifiez que seules les données essentielles à la réalisation de vos objectifs sont collectées et traitées.
• Identifiez la justification légale sur laquelle repose votre traitement de données (consentement de la personne, contrat, obligation légale).
• Mettez à jour vos informations de transparence (mentions obligatoires) pour qu’elles soient conformes aux exigences du RGPD.
• Assurez-vous que vos sous-traitants sont conscients de leurs nouvelles obligations et responsabilités.Vérifiez également l’existence de clauses contractuelles qui rappellent les obligations de sécurité, de confidentialité et de protection des données personnelles que doivent respecter les sous-traitants.
• Pensez à prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit de retirer son consentement).

D’autres points nécessitent une vigilance accrue :

• Les données dites sensibles (santé, biométrie, orientation sexuelle, opinion politique, religion, appartenance syndicale, etc.).
• Transfert des données en dehors de l’UE. Assurez-vous que le pays de destination des données est reconnu comme conforme par la Commission européenne. Autrement, encadrez ces transferts.

Analyser les risques

L’étape suivante consiste à faire une analyse d’impact relative à la protection des données. Aussi appelée PIA pour Privacy Impact Assessment, cette méthode consiste à construire des traitements respectueux de la vie privée et permettant de prouver la conformité de son traitement au RGPD.

Elle est menée par le DPO si l’entreprise en a désigné un. Elle se divise en 3 parties :

• Étude de contexte : Celle-ci permet d’avoir une vue d’ensemble. Présentez le traitement considéré, sa nature, ses finalités et identifiez ses acteurs clés (responsable du traitement, sous-traitants) et les règles qui lui sont applicables (RGPD).Décrivez les processus et les supports par lesquels les données vont passer, depuis leur collecte jusqu’à leur effacement.
• Étude de la conformité : Justifiez les choix effectués pour respecter les exigences du RGPD. Vérifiez qu’il n’est pas utile ou pas possible d’améliorer la manière dont chaque point est prévu, explicité et justifié conformément au RGPD. Le cas échéant, revoir leur description ou proposer des mesures complémentaires.
• Étude des risques : Évaluez les mesures existantes ou prévues afin d’obtenir une bonne connaissance des outils contribuant à la sécurité. Enfin, appréciez les atteintes potentielles à la vie privée pour avoir une bonne compréhension des causes et conséquences des risques.

Établir des procédures internes

Organiser des procédures internes qui garantissent la protection des données permet de garantir un haut niveau de protection tout en prenant en compte l’ensemble des événements qui pourrait survenir au cours de la vie des données.

Exemple d’événements : gestion des demandes d’accès ou de rectification, modification des données collectées, faille de sécurité, changement de prestataire.

Les processus doivent :

• Tenir compte, dès la conception d’un traitement de données personnelles, de leur protection (en impliquant dès le début le DPO notamment).
• Sensibiliser et organiser la remontée d’informations (former ses collaborateurs).
• Traiter les réclamations des personnes concernées lorsque celles-ci souhaitent exercer leurs droits (droits d’accès, de rectification, d’opposition, etc.).
• Enfin, ils doivent anticiper les potentielles violations de données (prévoir la notification de la CNIL dans les 72h ainsi que les personnes concernées).

Tenir une documentation pour prouver votre mise en conformité RGPD

Enfin, en cas de contrôle, vous devez être en mesure de prouver votre conformité au RGPD.

Pour cela vous devez constituer et regrouper la documentation nécessaire ainsi que l’actualiser régulièrement pour assurer une protection des données continue.

Votre dossier doit notamment contenir les éléments suivants :

• Un registre listant les différents traitements, le PIA, et l’encadrement des transferts de données hors UE le cas échéant.
• Les documents concernant l’information des personnes comme les mentions d’information, les modèles de recueil de consentement, ainsi que les procédures mises en place pour que les personnes concernées exercent leurs droits.
• Enfin les contrats rédigés dans lesquels les rôles et les responsabilités des acteurs sont définis.

Bien qu’elle puisse être perçue comme une contrainte technique ou juridique, la démarche de mise en conformité RGPD représente une opportunité pour votre entreprise de faire un bilan et de vérifier que la protection des données personnelles a bien été prise en compte. Grâce à cela, vous pourrez démontrer à tout moment que toutes les mesures nécessaires ont été mises en œuvre afin de limiter les risques, notamment en cas d’incidents de sécurité, de contrôle ou de plainte.