Le règlement général relatif à la protection de la vie privée est entré en exercice depuis mai 2018. Si de multiples entreprises ont déjà entamé une démarche de mise en conformité, d’autres peinent à leur emboîter le pas. Pourtant, la protection des données est une obligation et toute entreprise se doit de la respecter peu importe sa taille. Mais quelles sont les actions à mettre en place ? Qui peut les accompagner durant ce processus et comment assurer la mise en conformité ?
La nomination du responsable des traitements de données personnelles et la cartographie
Le délégué à la protection des données est le seul responsable de la mise en conformité du RGPD. Il s’assure du respect de la nouvelle règlementation. Il aura pour mission d’informer et conseiller le personnel et la direction et va accompagner l’entreprise pour qu’elle soit conforme au règlement. Ces responsables de traitement peuvent être internes ou externes à l’organisme.
Aussi, l’entreprise doit faire une cartographie de l’ensemble des traitements des données à caractère personnel. Cela permettra de mettre en place un traitement adapté aux besoins de la société et de mieux cerner les acteurs qui traitent des données afin de garantir la protection de la vie privée des personnes concernées. Faire une cartographie permettra aussi de retracer l’origine et la destination des données, conforme aux droits des personnes. Voir ici pour en savoir plus.
L’analyse d’impact au sein de la société
La loi Informatique et libertés met bien en exergue les différentes démarches pour le respect des droits et libertés des données des personnes concernées. Le RGPD appui cela en incitant les organismes à faire une analyse d’impact afin d’anticiper les risques et pour mettre en avant la cybersécurité. Une telle réaction rapide évitera toutes condamnations pénales et d’autres sanctions. Le PIA doit prendre en compte :
- Une description du traitement conformément au RGPD et à la loi informatique et libertés ainsi que sa finalité ;
- Une appréciation de l’usage des données pour éviter tout risques de violation de protection des données personnelles.
Quid de la procédure interne de mise en conformité au RGPD ?
Dans le cadre d’une procédure interne, on doit mettre en avant les principes du RGPD ou du privacy by design. La protection de données doit être prise en compte dès lors que la conception de traitement de données se fait : Consentement des personnes concernées, droit à l’oubli et l’effacement des données, le but du traitement et sa durée.
Un logiciel de registre des traitement rgpd : est-ce vraiment nécessaire ?
Opter pour un logiciel de registre des traitements et de sous-traitants, vous permettra de rassembler toutes les preuves vous donnant la possibilité d’effectuer les déclarations à l’organisme de contrôle. La documentation de la conformité est imposée par la loi sur la protection des données à caractère personnel. Généralement, un logiciel se base sur les recommandations de la cnil sur la conformité au règlement européen. Les avantages d’avoir recours à un logiciel de traitement de données à caractère personnel sont nombreux :
- Tenir un registre des traitements de données, mis à jour régulièrement et assigner un responsable du traitement à chaque tâche.
- Etablir et créer une liste de sous-traitant concerné par la gestion des données collectées.
- Gérer les données sensibles des personnes concernées et gérer leur durée de conservation.
- Rassembler toutes les preuves dans un registre des activités.
- Déclarer les incidents et toute violation de données.
- Gérer les usagers et leurs droits d’accès dépendamment de leur attribution : DPO, responsable…
- La simplification de la validation de traitement des données.
- Se faire assister du DPO pour toutes questions relatives aux traitements de données personnelles.
- Faciliter la transmission de rapports.