RGPD- Est-ce que votre entreprise est prête ?

Règlement général sur la protection des données RGPD/GDPR : entrée en vigueur le 25 mai 2018

Mise en conformité du système de traitement des bases de données collectées par l'entreprise avec le RGPD avant son entrée en vigueur le 25 mai 2018.

 

1.1. Qu’est-ce que le RGPD/GDPR : informations générales

Le RGPD (Règlement général sur la protection des données) ou GDRP (General Data Protection Regulation) renforce les devoirs et les responsabilités des entreprises sur la collecte, le traitement, la conservation, le transfert et la destruction de données.

 

Règlement général sur la protection des données : qui est concerné  ? 

Les nouvelles obligations du Règlement Général sur la Protection des Données s’appliquent sur toute la chaîne d’acteurs d’une opération commerciale ou d’une activité interne : du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services.

Cette nouvelle responsabilité s’appuie notamment sur les principes de « Privacy by Design » et « d’accountability ». Ce qui signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant que :

  • Le traitement de bases de données existantes correspond aux nouvelles exigences réglementaire,
  • Dès le moment de la conception d’une nouvelle collecte de données, celle-ci est bien conforme à la réglementation.

De nombreuses formalités actuelles auprès de la CNIL auront pour vocation de disparaître.

En contrepartie, la responsabilité des entreprises sera renforcée : elles devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

 

Les sanctions en cas de non-conformité au RGPD

Les sanctions elles-aussi se renforcent sous le RGPD. Actuellement la CNIL ne peut aller au-delà d’une amende de 150 000 euros. Elle pourra dès mai 2018 infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial de l’entreprise concernée.

 

1.2. Les étapes à suivre dans le processus de mise en conformité au RGPD

Etape 1 : choisir un Délégué à la protection des données (DPO)

Il faudra tout d’abord désigner en interne un pilote de l’opération qui deviendra à partir de mai 2108 Délégué à la protection des données (DPO). Même si ce n’est pas obligatoire pour un grand nombre d'entreprises, il est fortement recommandé d’en désigner un pour piloter la conformité en matière de protection des données.

Le DPO peut être le successeur naturel du CIL (Correspondant Informatique et Libertés), s’il en existe déjà un au sein de l’entreprise, qui maîtrise déjà la Data de l’entreprise sous l’angle de l’actuelle législation.

Le délégué à la protection des données est principalement chargé de :

  • Informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés,
  • Contrôler le respect du règlement et du droit national en matière de protection des données,
  • Conseiller les services du Groupe sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution,
  • Coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci,
  • Informer sur le contenu des nouvelles obligations,
  • Sensibiliser les décideurs sur l’impact de ces nouvelles règles,
  • Réaliser l’inventaire des traitements de données du Groupe,
  • Concevoir des actions de sensibilisation,
  • Piloter la conformité en continu

 

Etape 2 : identifier l’ensemble de traitements de données personnelles au sein du groupe

A cette étape, il faudrait recenser les éléments suivants :

  • Les différents traitements de données personnelles,
  • Les catégories de données personnelles traitées,
  • Les objectifs poursuivis par les opérations de traitement de données,
  • Les acteurs (internes ou externes) qui traitent ces données,
  • Les prestataires sous-traitants,
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

 

Etape 3 : identifier les risques et prioriser la mise en conformité au RGPD

La mise en conformité au Règlement Générale sur la Protection des Données commence par l’analyse des bases de données et l’identification des actions à mener.

Sans être exhaustifs, voici plusieurs critères de vigilance à prendre en compte dans l’analyse :

  • Nature des bases de données: notamment identifier les données sensibles c’est-à-dire les données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, des données concernant la santé ou l’orientation sexuelle, des données génétiques ou biométriques, des données d’infraction ou de condamnation pénale, des données concernant des mineurs.
  • Objet du traitement: la surveillance systématique à grande échelle d'une zone accessible au public, l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative.
  • Transfert vers d’autres pays : vérifier le cadre juridique dans le pays de transfert.
  • Nécessité du traitementstrictement nécessaire à la poursuite de vos objectifs.
  • Base juridiquesur laquelle se fonde le traitement (consentement de la personne, intérêt légitime, contrat, obligation légale).
  • Conformité des mentions d’information.
  • Vérification de la connaissance des sous-traitants de l'entreprise de leurs nouvelles obligations et leurs responsabilités, mise en conformité des clauses contractuelles portant sur obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Droit des personnes concernées: retrait du consentement, droit d'accès, droit de rectification, droit à la portabilité…
  • Mesures de sécuritéet de conservation des bases de données.

Il est donc essentiel d’identifier si ces traitements de données personnelles sont susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées. Chez Oolith Avocats nous menons pour chacun de ces traitements, une étude d'impact sur la protection des données (Privacy Impact Assessment ou PIA).

 

Etape 4 : organisation des process internes

Cette phase de la mise en conformité au RGPD inclut l’établissement d’un scénario d’événements qui peuvent intervenir à chaque étape du traitement des données et les actions appropriées (faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire…)

Ces processus peuvent inclure :

  • Le plan de formation et d'organisation des services internes ou externes qui procèdent à la conception et le traitement de données,
  • La mise en place d’une feuille de route de traitement des réclamations et les demandes des personnes qui souhaitent exercer leurs droits : droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement,
  • La mise en place d’une feuille de route en cas de violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

 

Etape 5 : constitution et mise à jour d’un dossier de conformité au RGPD

Le Dossier peut être demandé à tout moment par les autorités de contrôle de conformité au RGPD.

Le dossier de conformité au RGPD doit contenir notamment :

  • Le registre des traitements(pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants).
  • Les analyses d’impact sur la protection des données(PIA) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes
  • L'encadrement des transfertsde données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)
  • Les mentions d’information des personnes concernées
  • Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pourl'exercice des droits
  • Les contrats avec les sous-traitants
  • Les procédures internesen cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

 

Spécialiste du Droit l'Internet et de l'Informatique, notre cabinet Oolith Avocats peut vous assister dans les démarches suivantes :

  • Mise en conformité de votre système actuel de traitement de données
  • La mise en place d’une Gouvernance de la Data intégrant la brique juridique à chaque phase de la conception et du lancement d’un service impliquant des traitements de données

Pour demander une première opinion gratuite vous pouvez remplir le formulaire de contact sur notre site ou nous appeler au 01 76 48 42 98  ( 8 H - 20 H)

Toute information transmise est protégée par le secret professionnel conformément aux règles déontologiques de la profession d'avocat.

Pas de commentaire.

Ajouter un commentaire