Mise en conformité RGPD : par où commencer ?

Depuis l’entrée en application du RGPD, toute organisation située sur le territoire de l’Union Européenne ou qui traite des données à caractère personnel de citoyens européens doit se mettre en conformité. Plus qu’une obligation légale, la mise en conformité RGPD recouvre des enjeux réputationnels, économiques, commerciaux… Alors, comment se mettre en conformité vis-à-vis du RGPD ? Par où commencer ? Réponses.

Comprendre le RGPD

Le RGPD ou Règlement Général sur la Protection des Données encadre le traitement des données à caractère personnel au sein de l’Union Européenne. Ainsi, le RGPD s’applique à toute organisation, publique comme privée, située sur le territoire de l’Union Européenne ou qui traite des données à caractère personnel relatives aux résidents européens.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est une information relative à une personne physique susceptible de permettre son identification, directement ou non.

Exemples de données à caractère personnel : nom, photo, adresse, numéro de téléphone, numéro de sécurité sociale, adresse IP, identifiant de connexion informatique…

Point d’attention : pour qu’une donnée ne soit plus considérée comme personnelle, elle doit être anonymisée et rendre impossible toute identification de la personne concernée, y compris par recoupement de plusieurs informations.

Les 5 grands principes des règles de protection des données personnelles

  1. Le principe de finalité : les données à caractère personnel ne peuvent être recueillies et utilisées par une organisation que dans un but précis, légal et légitime ;
  2. Le principe de proportionnalité et de pertinence : les données à caractère personnel recueillies et utilisées par une organisation doivent être pertinentes et nécessaires au regard de la finalité du traitement ;
  3. Le principe de durée de conservation : les données à caractère personnel ne peuvent être conservées que pendant une durée précise, fixée et limitée en fonction de la finalité ;
  4. Le principe de sécurité et de confidentialité : les données à caractère personnel recueillies et utilisées par l’organisation doivent être sécurisées et accessibles uniquement aux personnes habilitées ;
  5. Le principe de droit des personnes : les personnes dont les données à caractère personnel sont recueillies et utilisées par une organisation doivent être informées du traitement de leurs données, connaître et pouvoir exercer leurs droits.

Mise en conformité RGPD : prérequis

Comme son nom l’indique, le RGPD est un règlement général. Avant de chercher à vous mettre en conformité, vous devez donc connaître et comprendre comment s’applique le RGPD à votre organisation. Ensuite, il convient d’analyser les écarts entre votre pratique actuelle de traitement des données et les dispositions du RGPD. Vous pourrez alors prioriser les actions à entreprendre en fonction des risques. Bien que la marche à suivre dépende de nombreux facteurs, il existe 6 grandes étapes pour bien débuter votre mise en conformité RGPD.

Mise en conformité RGPD : 6 étapes à suivre

1. Désigner un DPO

Pour piloter votre mise en conformité RGPD, vous aurez besoin d’un chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données, ou DPO.

Le RGPD dispose l’obligation de désigner un DPO au sein de l’organisation pour :

  • Les autorités et organismes publics ;
  • Les organisations dont les activités de base conduisent à un suivi régulier et systématique de personnes à grande échelle (banques, assurances, opérateurs téléphoniques…) ;
  • Les organisations dont les activités de base conduisent au traitement à grande échelle de données relatives à des condamnations pénales et infractions ou de données sensibles (données relatives à la santé, l’origine raciale ou ethnique, la vie sexuelle de la personne, ses opinions politiques, ses convictions religieuses…).

Pour être conformes au RGPD, les organisations répondant à l’une de ces conditions doivent donc commencer par désigner un DPO.

Point d’attention : si elle n’est pas obligatoire pour les organisations non-concernées par ces trois cas de figure, la désignation d’un DPO est fortement recommandée par la CNIL.

2. Constituer un registre de traitement des données

Un registre de traitement est un document qui recense, notamment, l’ensemble des traitements de données à caractère personnel réalisés par votre organisation. Il permet d’avoir une vision globale des traitements de données personnelles, des flux de données personnelles, des tiers, des logiciels utilisés…

Constituer un registre de traitement relève d’une obligation du RGPD. Ce registre est sous la responsabilité du Responsable de Traitement mais, dans les faits, il est souvent tenu par le DPO (data protection officer) et constitue à ce titre une mission complémentaire.

Les éléments qui doivent figurer dans votre registre de traitement sont exposés dans l’article 30 du RGPD, notamment :

  • Le nom et les coordonnées du responsable du traitement ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées ;
  • Une description des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données personnelles sont ou seront transmises ;
  • Les délais de conservation des données ;
  • Les mesures de sécurité appliquées au traitement des données…

Point d’attention : de nombreuses organisations effectuent leur registre de traitement sur Excel. Or, cet outil présente des inconvénients certains, tant en matière de mise à jour que de risque d’erreurs. Sachez qu’il existe des outils spécialisés qui permettent de réaliser des registres de traitement fiables, ergonomiques et sécurisés.

3. Mettre en conformité les traitements

Sur la base de votre registre de traitement, il convient d’identifier les actions à mener pour vous conformer au RGPD et aux recommandations de la CNIL :

  • Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
  • Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale).
  • Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement).
  • Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…).
  • Vérifiez les mesures de sécurité mises en place.

Priorisez les actions à mener au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

4. Respecter les droits des personnes

La collecte de données à caractère personnel doit être transparente et justifiée.

Ainsi, vous êtes en obligation d’informer chaque personne concernée que vous recueillez des données la concernant, quel que soit le canal de cette collecte : formulaire, téléservice, conversation orale… Vous devez notamment lui communiquer :

  • L’identité du Responsable de traitement et les coordonnées du DPO pour l’exercice des droits ;
  • La raison de la collecte de ses données ;
  • Le délai de conservation de ses données ;
  • Les éventuels transferts de ses données (à des sous-traitants, partenaires, organismes…) ;
  • La procédure à suivre pour exercer ses droits…

Astuce : pour éviter des mentions trop longues (et indigestes), vous pouvez communiquer un premier niveau d’information et inviter la personne à prendre connaissance des détails sur une page de votre site web présentant votre politique de confidentialité.

5. Sécuriser les données

Un traitement de données à caractère personnel ne peut être conforme que s’il est sécurisé, conformément aux dispositions de l’article 32 du RGPD. Vous êtes donc dans l’obligation de sécuriser les données que vous stockez et le traitement que vous en faites. Cela passe par :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • La mise en place de moyens garantissant la confidentialité, l’intégrité et la disponibilité des systèmes et services de traitement ;
  • La mise en place de moyens permettant de rétablir la disponibilité des données à caractère personnel en cas d’incident ;
  • L’évaluation régulière de l’efficacité des mesures techniques et organisationnelles de sécurisation du traitement des données.

A noter : le transfert de données à caractère personnel à des tiers (sous-traitants, fournisseurs, partenaires, filiales de votre organisation…) est encadré par le RGPD. Il doit donc également être sécurisé et respecter certaines dispositions réglementaires, prévues notamment par l’article 28 du RGPD.

6. Former et sensibiliser les collaborateurs au RGPD

Toute personne amenée à traiter des données à caractère personnel doit être formée et sensibilisée. Pour une parfaite conformité RGPD, il est en effet essentiel que les collaborateurs concernés par le traitement de données respectent des bonnes pratiques et des procédures de sécurité. Cette disposition permet d’éviter les erreurs humaines pouvant compromettre la conformité de votre organisation au RGPD.

RGPD : se faire accompagner

Se mettre en conformité RGPD nécessite des compétences juridiques, techniques et organisationnelles pointues. L’une des bonnes pratiques consiste donc à se faire accompagner par un expert, habitué à mettre en application le RGPD au sein d’organisations diverses. Cela vous permettra d’éviter les erreurs ou d’avoir la mauvaise surprise lors d’un contrôle d’être non-conforme, alors même que vous pensiez avoir mis en place toutes les mesures nécessaires.

Spécialisé dans la protection des données à caractère personnel, Dposystem vous accompagne dans votre mise en conformité RGPD grâce à une expertise unique. Notre approche technique ET juridique nous permet de vous accompagner sur tout le spectre de la mise en conformité RGPD : de la mise en place au maintien continu de votre conformité, en passant par l’externalisation de votre DPO. Vous souhaitez en savoir plus ? Contactez-nous !

Derniers articles

Catégories

Diapositive précédente
Diapositive suivante