Se conformer au RGPD : la check-list
Révision de la politique de confidentialité, transparence, droit à l’oubli, droit à l’information… Pour se conformer au RGPD, les entreprises devront apporter plusieurs modifications à leurs procédures internes. Pour vous aider, voici une check-list des choses à faire pour se mettre en adéquation avec le nouveau règlement sur la protection des données qui entrera en vigueur le 25 mai 2018.
Tenue d’un registre des traitements
Le RGPD impose de nombreuses nouvelles obligations aux entreprises. Parmi elles, il y a l’obligation de tenir un registre des traitements pour les entreprises de plus de 250 employés. Ce registre peut être consulté à tout moment par la CNIL et doit comporter des informations sur le responsable du traitement, les destinataires des données et la finalité du traitement (profilage, analyse statistique, conception d’offres commerciales…).
Définir le périmètre les données sensibles
Selon le RGPD, les données sensibles doivent faire l’objet d’un traitement à part : cryptage et pseudonymisation. De plus, la nouvelle règlementation élargit la notion de données sensibles, du moins par rapport à la définition de la loi de 1978. Ainsi, le RGPD entend par données sensibles les informations concernant les origines raciales, les opinions politiques ou religieuses, l’orientation sexuelle, les données biométriques et/ou génétiques, et toute autre information liée à la santé.
La cartographie des traitements de données personnelles
Cartographier les traitements de données est une étape cruciale dans la mise en conformité avec le RGPD. Ce processus permet de recenser et de visualiser toutes les données en circulation au sein d’une entreprise (en identifiant celles qui sont personnelles celles qui ne le sont pas).
Mais surtout, sa mise en place nécessite la participation de tous les acteurs intervenant dans l’exploitation des données au sein de l’entreprise. Sans cela, les risques de créer un catalogue incomplet seront plus importants.
Assurer le respect des droits des personnes
Le RGPD accorde une grande importance au consentement et au respect des droits des personnes concernées par les traitements. Et pour cause, à partir de 2018, les entreprises devront obtenir le consentement (donné de manière libre et éclairée) des personnes faisant l’objet d’un traitement et en garder la preuve. Elles doivent également garantir le respect du droit à l’oubli (droit de demander la suppression de ses données) et du droit à la portabilité (droit d’obtenir ses données et de les transmettre à une autre entité.
Le respect du droit à la portabilité
Le droit à la portabilité permet aux personnes concernées de récupérer une partie de leurs données dans un format courant. Toutefois, les données dites déduites et les données dites dérivées c’est-à-dire les données créées par le responsable du traitement à partir des données collectées ne sont pas concernées par ce droit.
Le droit à la portabilité impose au responsable du traitement d’informer les personnes concernées sur l’étendue de ce droit et de modifier leurs procédures de gestion afin de répondre le plus rapidement possible (1 mois au plus tard, 3 mois pour une demande complexe) à une demande.
Respect du principe de minimisation
Le principe de la minimisation impose au responsable du traitement de ne limiter les données personnelles qu’il collecte qu’au minimum nécessaire pour la finalité recherchée. Suivant les normes du RGPD, tout modèle d’entreprise doit dorénavant collecter le moins de données possible.
Ce principe va ainsi à l’encontre du principe de l’entreposage des données et dans une large mesure, du big data. Pour ne pas tomber dans l’illégalité, il est judicieux de se poser cette question avant la collecte : quelles données personnelles sont vraiment nécessaires pour fournir mon service ?
Actualiser les contrats fournisseurs
Les nouvelles règlementations sur la protection des données obligent de revoir les contrats avec les fournisseurs et les sous-traitants. Dorénavant, ces derniers pourront être coresponsables en cas de non-respect de la loi. C’est pour cette raison qu’il faudra intégrer des clauses rappelant les nouvelles obligations imposées par le RGPD dans les contrats des sous-traitants.
Élaborer une charte de bonnes pratiques
L’élaboration d’une charte de bonnes pratiques est importante pour rappeler aux collaborateurs et au personnel de l’entreprise les nouvelles pratiques imposées par le RGPD ainsi que les sanctions en cas d’écart à la loi RGPD. Si possible, une formation du personnel au RPGD peut être organisée pour maximiser la protection des données en interne et limiter les risques de fuite.
Faire le point sur les nouvelles missions du DPO
Après l’entrée en vigueur du RGPD, le DPO remplacera le CIL actuel. Et contrairement à ce dernier, les fonctions du DPO seront plus larges. Il informe et assure le respect de nouvelle règlementation au sein de l’entreprise. Même si la fonction ne requiert pas de diplôme spécifique, le futur DPO doit avoir une bonne connaissance du droit informatique et libertés et des technologies de l’information et de la communication.
Élaborer un plan d’action pour faire face aux fuites de données
Malgré de nombreuses précautions, les risques pour les droits et libertés ne peuvent être totalement exclus. C’est pourquoi les entreprises doivent mettre en place des procédures d’urgence pour y faire face : communication de la fuite à la CNIL et aux personnes concernées, si la fuite présente un risque élevé pour les droits et libertés. On entend par fuite des cas comme le vol de mot de passe, le piratage, ou encore la perte de données sensibles…