La règlementation RGPD

Depuis le 25 Mai 2018, la mise en place d’une politique de gouvernance des données personnelles est obligatoire dans les entreprises de toutes formes.
La mise en conformité de votre entreprise avec le RGPD (Règlement Général de la Protection des Données) est à la fois simple et compliquée. Il importe de suivre quelques points de passage pour être certain de ne pas se tromper.

Un plan d’action en 6 points vous permettra une mise en place efficace et dont de limiter les risques de mauvaise gestion des données avec les conséquences qui en découlent.

1/ Désigner un responsable « protection des données »

Désigner un interlocuteur RGPD pour l’entreprise, un collaborateur qui sera délégué à la mise en place et au suivi de la conformité au RGPD. Il devra disposer de réels pouvoirs et exercera une mission d’information et de conseil mais aussi de contrôle en interne.
La désignation d’un délégué à la protection des données (DPO) n’est obligatoire que pour les organismes publics et pour les entreprises dont l’activité de base est la gestion de données sensibles. Mais même si la directive ne vous y oblige pas, il est fortement recommandé d’en désigner un. Il sera à la fois l’interlocuteur interne et externe sur ce sujet délicat et pas toujours perçu comme créateur de valeur.
Le rôle du délégué à la protection des données
Selon la taille de l’entreprise, la mission du délégué peut être un plein temps. Dans tous les cas, sa mission prend 4 formes :

  • Information et conseil   auprès du responsable du traitement des données ( interne ou externe)
  • Contrôle du respect du RGPD
  • Pilotage de l’étude d’impact
  • Relation avec l’autorité de contrôle
  • Idéalement le délégué RGPD doit être sensibilisé au problème à la fois sous un angle technique et sous un angle éthique. Par ailleurs il doit être complètement et sans ambiguïté soutenu pas la direction générale.

2/ Dresser un état des lieux et une cartographie de l’ensemble des traitements de données personnelles

Afin de mesurer l’impact RGPD sur votre activité, il est important de faire un étant des lieux écrit et de recenser de façon exhaustive les différents traitements de données personnelles que vous mettez en œuvre. La tenue de cette documentation est obligatoire. Elle est également particulièrement utile pour votre mise en conformité.
Les points à cartographier sont les suivants :

  • Les catégories de données personnelles traitées
  • Le type de traitement appliqué
  • Les objectifs poursuivis avec ce traitements
  • Les acteurs (internes et externes) qui traitent les données
  • Les chemins suivis par les données (notamment pour vérifier les sorties de l’UE)

3/ Posez-vous les bonnes questions pour chacun des traitements.

  • Qui ? Le responsable du traitement, les sous-traitants pour le traitement concerné et le délégué RGPD le cas échéant.
  • Quoi ? Les catégories de données traitées et plus particulièrement les données « à risques » parce que très sensibles
  • Pourquoi ? A quoi servent les données collectées et leur traitement ?
  • Où ? les lieux d’hébergement et notamment le hors UE
  • Combien de temps ? Pour chaque typologie de données, indiquez la durée de conservation
  • Comment ? Comment les données sont elles conservées et notamment les plus sensibles. Identifier les protocoles de protection.

Si en analysant vos réponses vous avez identifié des traitements de données susceptibles d’engendrer des risques élevés  pour les droits et libertés, vous devrez conduire pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

4/ Comprendre l’analyse d’impact relative à la protection des données (AIPD)

C’est une analyse préalable permettant de construire des traitements de données respectueux de la vie privée et dont la conformité au RGPD et facile à démontrer et à mesurer l’impact du traitement sur la vie privée.
Une AIPD décrit le traitement appliqué aux données et en évalue les finalités permettant ainsi d’évaluer l’adéquation entre le traitement et le but poursuivit. Elle fait également une évaluation des risques pour les droits et libertés tant dans le traitement que dans le stockage des données.

Quand faire une analyse d’impact (AIPD) ?

Réaliser une analyse d’impact est la meilleure façon d’assurer un traitement conforme au RGPD. Elle est obligatoire pour tout traitement pouvant d’entraîner des risques élevés pour les droits des personnes concernées. Si votre traitement répond positivement à 2 des 9 points suivant, vous devriez faire une analyse d’impact.

  1. Évaluation ou notation des personnes concernées
  2. Prise de décision automatisée avec un effet significatif (judiciaire ou autre)
  3. Surveillance systématique
  4. Données sensibles ou très personnelles ;
  5. Traitement de masse de données personnelles
  6. Croisement d’ensembles de données
  7. Données concernant des personnes vulnérables ;
  8. Usage innovant ou application de nouvelles solutions dont les effets ne sont pas encore connus.
  9. Traitements visant à exclure du bénéfice d’un droit, d’un service ou contrat.

Qui sont les parties prenantes à l’AIPD

  • Le délégué à la protection des données : il définit le plan d’action et en vérifie l’exécution ;
  • Le responsable du traitement : il valide l’AIPD et s’engage à mettre en œuvre le plan d’action ;
  • Le ou les sous-traitant(s) : en amont ils fournissent les infos et en aval garantissent les respect du plan ;
  • Les hommes et femmes métiers : Ils et elles fournissent les raisons du traitement et les enjeux
  • Les personnes concernées : donnent leurs avis et leur accord sur le traitement

5/ Structurer les processus internes

La mise en place de procédures internes est la meilleure façon de garantir un haut niveau de protection des données personnelles. Mettez en place des procédures internes qui prennent en compte chaque instant de la vie des données. Ainsi elles en garantiront la protection à tout moment. A condition que vous preniez en compte l’ensemble des événements qui peuvent survenir au cours d’un traitement : faille de sécurité, gestion des demandes de rectification ou d’accès, changement de sous-traitant.
Structurer les processus implique de :

  • prendre en compte de la protection des données personnelles dès la conception
  • sensibiliser les collaborateurs
  • traiter les réclamations des personnes quant à l’exercice de leurs droits 
  • d’anticiper les sanction pour violation de données en informant les autorités si nécessaire avant qu’elles ne prennent connaissance de la violation.

6/ Documenter la conformité

Documenter la conformité est indispensable pour montrer aux autorités compétentes que vous avez fait le nécessaire pour vous conformer au RGPD.
 
Le travail documentaire devra comporter les éléments suivants :

  1. La documentation sur les traitements de données personnelles
  2. Le registre des traitements 
  3. Les analyses d’impact relatives à la protection des données
  4. L’encadrement des transferts  hors UE
  5. L’information des personnes
  6. Les mentions d’information
  7. ​Le recueil du consentement des personnes concernées,
  8. Les procédures mises en place pour l’exercice des droits
  9. Les contrats qui relient les acteurs
  10. Les contrats de sous-traitance
  11. Les procédures internes en cas de violation
  12. Les preuves de consentement si nécessaire

En conclusion, respecter le RGPD peut paraître complexe. Il ne s’agit cependant que de suivre un chemin bien balisé. A cette condition vous pourrez facilement vous mettre en conformité et assurer une gestion performante des traitements de données.

Chez YOUTELL, nous vous conseillons et vous accompagnons dans la mise en place de cette nouvelle règlementation. N’hésitez pas à nous contacter

YOUTELL

Comment pouvons nous vous aider ?

N'hésitez pas à nous expliquer en détail votre demande

Coordonnées

Téléphone
(262) 2 62 81 82 00

Adresse
116 rue Joseph Hubert
97435 Saint-Paul
La Réunion

Email
contact [@] youtell.re

Share This