Le RGPD vient modifier profondément la manière de traiter, de collecter et surtout de protéger les données personnelles manipulées par les entreprises et les organismes publics. Ce nouveau règlement impose diverses obligations dont les manquements peuvent entrainer des amendes considérables.
Voici les cinq commandements à suivre, prodigués par Xavier Leclerc.
Règle numéro 1 : Nommer un Data Protection Officier
(DPO)
La mise en conformité avec le RGPD commence par la nomination
d'un DPO. Peu d'entreprises le savent, mais c'est en quelque
sorte celui ou celle qui incarnera le RGPD en interne (ou en
externe). Le DPO doit posséder de solides compétences en droit
des nouvelles technologies et en droit des données personnelles.
Il doit également avoir une bonne connaissance des TIC.
Règle numéro 2 : Cartographier les traitements de
données personnelles
Ici, il s'agit de dresser un registre des traitements pour
identifier l'impact du RPGD sur ces derniers. Il est alors
nécessaire de classer les traitements, déterminer leurs objectifs
respectifs, catégoriser les données personnelles (données de
santé, données professionnelles…), identifier les acteurs qui
traitent les données (internes et/ou externes), et enfin,
retracer l'historique des données (origine et destination).
Règle numéro 3 : Mettre en place un plan
d'action
Dans une logique naturelle, les étapes précédentes auront permis
de faire un état des lieux de l'ensemble des traitements. A
partir de cet état des lieux, il sera plus facile d'établir un
plan d'action pour la sécurisation des données. Il s'agira
également de faire le point sur les conditions d'exercice des
droits des cibles des traitements (importance du consentement,
exercice du droit à l'oubli…). En outre, la finalité de chaque
traitement ainsi que leur durée de conservation et leur
destruction devront être bien définies. En d'autres termes,
l'établissement d'un plan d'action revient à revoir complètement
la politique de confidentialité de l'entreprise prenant notamment
en compte les sous-traitants.
Règle numéro 4 : Gérer les risques
Si l'on réussit à identifier les traitements qui présentent un
risque élevé pour les droits et libertés des personnes
concernées, il faudra effectuer sur chacun de ces traitements une
analyse d'impact sur la protection des données (DPIA). Cette
analyse peut grandement faciliter la construction d'un traitement
plus respectueux de la vie privée. Et parfois, c'est la seule
manière de se conformer au RGPD.
Règle numéro 5 : Refondre ses procédures
internes
Pour assurer un niveau de protection élevé à tout moment, il est
indispensable de faire une refonte de l'organisation interne,
plus précisément, mettre en place des procédures internes
garantissant la protection des données à tout moment. Le
processus peut nécessiter une veille technologique et juridique,
la sensibilisation du personnel (sensibilisation à la privacy),
l'anticipation des violations de données…