La RGPD : Se préparer en 6 étapes (Guide de sensibilisation pour les PME)

---

 

Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL disparaîssent. En contrepartie, la responsabilité des organismes est renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

ETAPE 1

1. DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener.

Le délégué demeurre atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. Au sein de l'organisme il pour rôle

• d’informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés
• de contrôler le respect du règlement et du droit national en matière de protection des données, de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution
• de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

ETAPE 2

2. CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

• les différents traitements de données personnelles, les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitement de données, les acteurs (internes ou externes) qui traitent ces données . Vous devrez notamment clairement identifier les prestataires sous-traitants
• les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

ETAPE 3

3.PRIORISER LES ACTIONS A MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. 

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

ETAPE 4

4. GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA).

L’étude d’impact sur la protection des données permet :

de bâtir un traitement de données personnelles ou un produit respectueux de la vie privée, d’apprécier les impacts sur la vie privée des personnes concernées et de démontrer que les principes fondamentaux du règlement sont respectés.

Quand mener une étude d’impact sur la protection des données (PIA) ?

• avant de collecter des données et de mettre en œuvre le traitement
• sur tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques.

Que contient une étude d’impact sur la protection des données (PIA) ?

une description du traitement et de ses finalités

une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur les droits et libertés des personnes concernées, les mesures envisagées pour traiter ces risques et se conformer au règlement.

ETAPE 5

5. ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

ETAPE 6

6. DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

• Afin de prouver votre conformité, vous devez constituer un dossier documentaire permettant de démontrer que le traitement de données personnelles est conforme au règlement. Les mesures organisationnelles et techniques sont réexaminées et actualisées si nécessaire.

L’information des personnes :

les mentions d’information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l’exercice des droits des personnes.

Les contrats qui définissent les rôles et les responsabilités des acteurs :

les contrats avec les sous-traitants, les procédures internes en cas de violations de données, les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Alors êtes vous prêts?

English Version

On May 25, 2018, the European regulation came into effect. Many formalities with the CNIL disappear. In return, the responsibility of the organizations is strengthened. They must now ensure optimal data protection at all times and be able to demonstrate it by documenting their compliance

STEP 1

DESIGNATE A PILOT

To pilot the governance of the personal data of your structure, you will need a true conductor who will exercise a mission of information, advice and control internally: the delegate for the protection of the data. Until 2018, you can already designate a "computer and freedoms correspondent", who will give you a head start and allow you to organize the actions to be taken. The delegate remains a major asset to understand and respect the obligations of the regulation, to dialogue with the data protection authorities and to reduce the risks of litigation. Within the organism it for role inform and advise the controller or subcontractor and their employees to monitor compliance with national data protection rules and regulations, to advise the organization on carrying out impact studies on data protection and to verify their implementation cooperate with the supervisory authority and be its point of contact.

STEP 2

2. MAP YOUR PERSONAL DATA PROCESSING

To concretely measure the impact of the European data protection regulation that you are dealing with, start with a precise inventory of your personal data processing. The development of a register of treatments allows you to take stock. To be able to measure the impact of the regulation on your activity and meet this requirement, you must first identify precisely: the different processing of personal data, the categories of personal data processed, the objectives pursued by the data processing operations, the actors (internal or external) who process these data. You will have to clearly identify subcontractors flows by indicating the origin and destination of the data, in particular to identify any data transfers outside the European Union

STEP 3

3.PRIORIZE THE ACTIONS TO BE MADE

Based on your register, identify the actions to take to comply with current and future obligations. Prioritize these actions with regard to the risks your treatment poses to the rights and freedoms of the people concerned. This prioritization can be conducted with regard to the risks that your treatment weighs on the freedoms of the people concerned. Some tasks will be easy to implement and will allow you to progress quickly

STEP 4

4. MANAGE RISKS

If you have identified the processing of personal data that may give rise to high risks for the rights and freedoms of the data subjects, you will need to conduct a data protection impact assessment (PIA) for each of these processes.

The impact study on data protection allows:

to construct a personal data processing or a product that respects privacy, to assess the impact on the privacy of the persons concerned and to demonstrate that the fundamental principles of the Regulation are respected.

When to conduct a Data Protection Impact Assessment (PIA)?

before collecting data and implementing the treatment

any treatment likely to create high risks for the rights and freedoms of natural persons.

What does a Data Protection Impact Study (PIA) contain?

a description of the treatment and its purposes

an assessment of the necessity and proportionality of the processing, an assessment of the risks to the rights and freedoms of the persons concerned, the measures envisaged to address those risks and to comply with the Regulation.

STEP 5

5. ORGANIZE INTERNAL PROCESSES

To ensure a high level of protection of personal data at all times, implement internal procedures that ensure that data protection is taken into account at all times, taking into account all the events that may occur during the process. life of a treatment (ex: security breach, management of requests for rectification or access, modification of data collected, change of provider).

STEP 6:

6. DOCUMENT COMPLIANCE

To prove your compliance with the rules, you must create and consolidate the necessary documentation. Actions and documents completed at each stage must be reviewed and updated regularly to ensure continuous data protection.

In order to prove your compliance, you must establish a documentary record to demonstrate that the processing of personal data complies with the regulations. Organizational and technical measures are reviewed and updated as necessary.

Information of people:

information notices, models for obtaining the consent of the persons concerned, the procedures put in place for the exercise of the rights of individuals.

Contracts that define the roles and responsibilities of the actors:

contracts with subcontractors, internal procedures for data breaches, evidence that the data subjects have given their consent when the processing of their data is based on this.

So are you ready ?

Sources :

www.cnil.fr/fr

Livre : RGPD : Le comprendre et le mettre en oeuvre

https://www.lemonde.fr/pixels/article/2018/05/28/premieres-plaintes-en-vertu-du-nouveau-reglement-general-sur-les-donnees-personnelles_5305711_4408996.html