RGPD : un résumé en 4 lettres
Actuellement, beaucoup d’organismes s’activent pour se mettre en conformité avec les nouvelles obligations imposées par le RGPD. Mais cela représente un travail colossal tant la portée de ces nouvelles obligations est large.
Entre révision de la politique de confidentialité, tenue d’un registre de traitement et refonte des procédures de traitements, la tâche s’annonce dure d’autant plus que l’échéance des premiers contrôles approche à grands pas. Pour aider ceux qui sont en pleine restructuration du fonctionnement de leur service, voici résumé en 4 lettres les nouveautés apportées par le RGPD dans le domaine de la protection des données.
R comme Registre
Le RGPD vient modifier de nombreux points des pratiques des entreprises en matière de protection des données. Une des nouveautés importantes est l’obligation de tenir un registre de traitements, et ce, même en l’absence d’un DPO. De plus, les responsables des traitements ne devront plus déclarer leurs traitements et effectuer des formalités administratives auprès du site de la CNIL, exception faite de certains traitements nécessitant une autorisation particulière. Cet allègement administratif obligera les entreprises à observer scrupuleusement le RGPD puisque la charge de la preuve sera inversée. Il n’appartiendra plus à la CNIL de déceler les écarts à la loi, mais à l’organisme de prouver sa conformité durant les contrôles (accountability).
À part cela, quand les données personnelles sont traitées par un sous-traitant, le registre aura deux niveaux de lecture. Outre le registre de traitements « classique » tenu par le responsable de traitement, le sous-traitant doit également tenir un registre des catégories de traitement de données personnelles. Cette obligation doit être scrupuleusement respectée étant donné que durant les contrôles qu’elle effectue, la CNIL va systématiquement réclamer ce registre aux organismes.
G comme Gouvernance
Responsabilisation accrue de chaque organisme devant la protection des données personnelles, c’est aussi l’un des points l’un des points les plus importants du RGPD. Cette gouvernance affecte en profondeur les process de conception et de traitement des organismes. Et pour cause, le RGPD impose le respect du « Privacy by Design » (prise en considération de la protection de la vie privée dès la conception) et du « Privacy by Default » (garantie du plus haut niveau de protection possible). Chaque organisme contrôlé devra être en mesure de prouver qu’un projet, depuis sa conception à son application, a pris en compte le respect et la protection de la vie privée. Grâce à cette obligation, à la production, un projet aura des impacts moins importants sur la vie privée.
Le terme gouvernance désigne ici un ensemble de procédures. Plus précisément, l’ensemble des procédures internes et des bonnes pratiques organisationnelles ayant pour but de sensibiliser chaque personnel de l’entreprise à l’importance de la protection et la confidentialité des données. Cette nouvelle forme de gouvernance n’est que l’expression de la notion d’accountability établie par le RGPD. Pour rappel, l’accountability, c’est l’obligation pour les entreprises de « mettre en place des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». Enfin, toujours en termes de gouvernance, le RGPD impose aux entreprises de traiter rapidement les demandes de réclamations, surtout celles faites par les personnes mineures, avec une réduction du délai de réponse passant de 2 mois à un mois.
P comme Preuve
Vous l’aurez compris, le RPGD vient apporter de nombreuses nouvelles obligations. Et dans de nombreux cas, toute la difficulté sera de prouver le respect de ces nouvelles obligations. C’est la raison pour laquelle, les entreprises et organismes publics devront concevoir des process affirmant le caractère probant de leur respect des notions établies par le RGPD. En d’autres termes, trouver des méthodes efficaces pour prouver facilement leur respect du règlement. Ces méthodes sont nombreuses. Par exemple, pour prouver le respect du Privacy by Design on peut procéder à l’horodatage d’un élément nécessaire à la conception du projet (document portant sur les droits des personnes) ou à la tenue d’un « clausier » contenant toutes les informations sur les sous-traitants afin de prouver facilement la présence de clauses portant sur la protection des données dans les contrats.
Le domaine de la preuve a été également élargi. Et pour cause, la preuve concerne toutes les notions relatives à la protection des données. Ainsi, les organismes devraient facilement prouver la véracité des informations délivrées aux personnes, la légalité du processus d’obtention des données personnelles sensibles (conscience, consentement libre et éclairé…) et bien évidemment, le respect des droits des personnes (surtout le droit à la vie privée).
D comme DPO
Le Délégué à la protection des données ou DPO occupe une place très importante dans le RPGD. Le règlement lui a conféré de lourdes fonctions : il supervise le respect de la conformité de l’organisme au RPGD. Et dans certains cas, sa désignation est obligatoire. De plus, ses missions sont plus larges que celles attribuées au CIL actuel. Mais, tout comme le CIL, le DPO conserve son absence d’engagement de responsabilité par principe. Cette règle connait 2 exceptions. En cas de complicité active avec le responsable du traitement ou quand il accomplira des tâches n’entrant pas dans le cadre de ses missions, le DPO engagera sa responsabilité civile et pénale.
Si l’on se penche sur le RGPD, on sent la volonté de positionner le DPO au cœur du data mapping de l’organisme. Grâce à ses connaissances et ses qualités professionnelles, il assure la conformité de l’organisme avec le RGPD. Il sensibilise également le personnel au respect des règles de la protection des données.