Depuis le 25 mai 2018, le RGPD (Réglement Général sur la Protection des Données), est actif. De nombreuses TPE/PME, artisans, commerçants qui gérent des données personnelles ne sont pas encore passés à la phase active de la mise en oeuvre pour être conforme aux textes du RGPD.

Une donnée à caractère personnel, c’est quoi ?

Il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Le RGPD, c’est quoi ?

Le Règlement Général sur la Protection des Données (RGPD) entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen. Le droit actuel, basé sur la directive 95/46/CE de 1995, date du début d’Internet et n’avait pas prévu l’essor des moteurs de recherche, des réseaux sociaux, des objets connectés, du cloud, du big data, etc. Le RGPD entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations. Pour en savoir plus, consultez notre article Le RGPD – janvier 2018

Nous vous présentons la méthodologie en 20 étapes de Pierre CAT :

Étape 1 : Désignation un Délégué à la Protection des Données (DPD/DPO)
Cette mesure est fortement recommandée, même si elle n’est pas strictement obligatoire pour une majorité de PME (voir conditions) … Il peut être interne ou externe. Il agit sur la base d’une lettre de mission et d’un rattachement hiérarchique défini.
Étape 2 : Attribution des moyens pour votre mise en conformité
Afin que le DPD/DPO atteigne ses objectifs, il doit disposer des moyens nécessaires (humains et financiers) et être associé à toutes les questions relatives à la protection des données.
Étape 3 : Établissement d’un état des lieux (cartographie)
Listez les traitements de données par objectifs et par catégories de données, y compris les acteurs et les flux. Cette cartographie permet d’obtenir un état des lieux exhaustif et facilite l’identification des traitements des données personnelles et des données « sensibles ».
Étape 4 : Détermination de la pertinence des données récoltées
Identifiez les données non indispensables (minimisation des données), à risque, à mettre à jour et pour lesquelles une demande de renouvellement de consentement est nécessaire.
Étape 5 : Tenue d’un registre des traitements
Ensuite les consigner de manière exhaustive dans un registre, document indispensable contribuant à prouver sa conformité RGPD auprès de votre autorité chargée de la protection des données (NDPA).
Étape 6 : Vérification de la nécessité de réaliser une PIA
Si vous estimez qu’un traitement ou un ensemble de traitements est susceptible d’engendrer des risques élevés pour les données personnelles des personnes concernées, le RGPD préconise de procéder à une « Analyse d’Impact relative à la Protection des Données » (PIA).
Étape 7 : Mise en place un processus de gestion des droits des personnes
Prévoyez les procédures pour traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, preuve du consentement, retrait du consentement) en définissant les acteurs et les modalités.
Étape 8 : Modification des processus de collecte des données
Mettez en place de nouveaux processus de collectes des données s’appuyant sur la minimisation des données, un consentement explicite & actif, une information utilisations et des droits des personnes sur leurs données.
Étape 9 : Établissement d’un processus de renouvellement d’autorisation
Si, pour vos données déjà collectées, vous ne possédez pas une preuve de consentement conforme au RGPD pour chaque enregistrement, vous devez organiser une campagne de renouvellement de consentement.
Étape 10 : Optimisation des données existantes
À la suite des observations collectées lors des étapes 3 et 4, vous devez mettre en place une optimisation des fichiers et données existantes (suppression, réorganisation, scission, mise à jour, etc.) pour que tous vos fichiers (papier, numériques, logiciels, etc.) stockés dans tous les services de l’entreprise soient conformes au RGPD.
Étape 11 : Élaboration d’une logique d’archivage
Le RGPD impose une meilleure gestion des durées de conservation des données personnelles. Ces nouvelles exigences imposent une meilleure gestion des archives, des autorisations aux personnes ayant accès aux données, de la sécurisation et des méthodes de stockage.
Étape 12 : Analyse des risques en termes de sécurité
Analysez les besoins de sécurité de chaque traitement mis en oeuvre et mettre en place les mesures adéquates (scission des fichiers, cryptage des données, sécurisation des serveurs, choix des prestataires, etc.). Contrôlez la conformité des outils numériques.
Étape 13 : Création d’un processus d’alerte de violation des données
Établissez un ensemble de processus pour anticiper les violations de données et pour réagir rapidement en cas de violation des données : notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
Étape 14 : Préparer l’information des salariés
La formation de l’ensemble des collaborateurs de l’entreprise sur les nouveaux enjeux et obligations du RGPD fait partie de la démarche globale de mise en conformité de l’entreprise. Veillez à ce tout collaborateur susceptible de manipuler des données soit au fait des bonnes pratiques pour garantir leur protection et leur confidentialité, notamment par un plan de formation et de communication auprès de vos équipes.
Étape 15 : Effectuer les changements juridiques obligatoires
Appliquez toutes les règles imposées par le RGPD à l’ensemble de votre entreprise et notamment au traitement de votre personnel au sein d’un processus RH remis à jour (candidature et engagement, vie en entreprise, départ).
Étape 16 : Réviser les contrats conclus avec les sous‐traitants
Le RGPD stipule que désormais, le ou les sous‐traitants participant avec leur client à un traitement de données personnelles sont automatiquement considérés comme coresponsables. Vérifiez donc que vos sous‐traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez‐vous de l’existence de clauses contractuelles rappelant les obligations du sous‐traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
Étape 17 : Mise à jour des CGV et des déclarations de respect de la vie privée
Mettez à jour vos conditions générales de vente et votre déclaration de respect de la vie privée en fonction des nouvelles dispositions. Assurez‐vous qu’elles apparaissent sur tous les supports (papier, web et autres).
Étape 18 : Principe du « guichet unique »
Si votre entreprise a plusieurs implantations en Europe, adoptez le principe du « guichet unique ».
Étape 19 : Intégration des principes de « privacy by design » et « privacy by default »
Prenez en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durées de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, rôle et responsabilité des acteurs impliqués dans la mise en oeuvre de traitements de données).
Étape 20 : Documentation de la mise en conformité RGPD
Afin de prouver votre conformité, vous devez constituer un dossier documentaire permettant de démontrer que le traitement de données personnelles est conforme au règlement. Les mesures organisationnelles et techniques sont réexaminées et actualisées si nécessaire.

Pour en savoir plus :

CNIL – COMPRENDRE LE RGPD

Livre de Pierre CAT : RGDP : le Guide pratique, conseils et outils prêts à l’emploi.

Lexique :

  • CIL : Correspondant Informatique & Libertés
  • CNIL : Commission Nationale de l’Informatique et des Libertés
  • DPO : Data Protection Officer ou Délégué à la Protection des Données
  • PIA : Protection Informatique des Données
  • RGPD : Règlement Général sur la Protection des Données
  • GDPR : General Data Protection Regulation