Le compte à rebours du RGPD est désormais lancé. De fait, les plus prévoyants seront bien avisés d’anticiper, dès maintenant, le processus de mise en conformité vis-à-vis du nouveau règlement général européen sur la protection des données.

Objectif : être fin prêts le 25 mai 2018.

Enjeux : s’adapter en douceur aux nouvelles règles imposées par l’Europe, se préserver des tracas d’un traitement de dernière minute, et éviter les sévères sanctions de la CNIL en cas de retard ou de manquement.   

Préparation au RGPD : un plan d’action en plusieurs étapes

Pour de nombreuses entreprises, répondre aux nouvelles normes du RGPD risque de demander quelques efforts, ainsi qu’un peu d’investissement, et un minimum d’organisation. Pour les aider et les accompagner dans le changement, la CNIL leur propose de suivre un programme en 6 étapes :

1. Désigner un responsable chargé de conduire le projet de mise en conformité. Celui-ci pourra ensuite devenir très logiquement DPO (Délégué à la Protection des Données), afin d’assurer le bon respect du RGPD au sein de la structure.

2. Dresser une liste exhaustive et détaillées des différents traitements de données à caractère personnel effectués par l’entreprise. Les consigner dans un registre en précisant pour chacun un certain nombre d’informations (types de données concernés, délai de conservation, lieu d’hébergement, pays vers lesquels des transferts sont éventuellement programmés, mesures appliquées pour éviter les fuites de données, objectifs visés par les traitements, et responsable de ces traitements).

3. Une fois l’état des lieux réalisé, déterminer les changements à apporter pour se conformer au RGPD. Se fixer des priorités, par rapport au degré de risque des traitements concernés.

4. Si certains traitements touchent des données très sensibles (origine raciale, opinions politiques, appartenance religieuse, orientations sexuelles, données médicales, etc.), procéder à une étude d’impact approfondie (PIA) pour chacun d’entre eux.

5. Instaurer les procédures qui vont permettre d’assurer la protection des données à caractère personnel de manière fiable et durable.

6. Constituer un dossier regroupant tous les documents qui vont pouvoir prouver que les obligations liées au RGPD sont bien respectées (registre des traitements, analyses d’impact, déclarations de consentement, procédures pour réagir en cas de fuites de données, etc.). Cette documentation devra être régulièrement mise à jour.

 

Les aides pour se mettre en conformité

Outre la CNIL, qui offre déjà un bon niveau d’accompagnement, d’autres organismes sont également à même d’épauler les entreprises pour les amener à se conformer au RGPD.

• L’AFCDP (Association Française des Correspondants aux Données Personnelles) propose une version « annotée » du règlement européen sur la protection des données, afin de bien comprendre toutes ses subtilités.

• L’ADPO (Association des Data Protection Officers), récemment créée, conseille les futurs DPO pour qu’ils se familiarisent avec leurs nouvelles responsabilités.

• Le Medef peut orienter les entreprises vers des spécialistes du RGPD.

• Le Clusif (Club de la sécurité de l’information français) et ses relais en régions, Clusir (Clubs de la sécurité de l’information régionaux) programment régulièrement des réunions d’information à destination des entreprises pour les aider à passer le cap du RGPD.

• Enfin, de nombreux cabinets de conseils se sont spécialisés dans l’accompagnement des entreprises, en vue de l’échéance du 25 mai 2018.

Les entreprises ne sont donc pas seules face au RGPD. Certes, la démarche de mise en conformité risque de paraître un peu lourde pour certaines. Toutefois, elle en vaut la peine, car elle aura un impact positif sur l’image de leur société. Pour les clients, savoir leurs informations en sécurité sera rassurant.

A ce titre, des secteurs sont encore plus concernés que les autres, dans la mesure où ils brassent d’importants volumes de données personnelles souvent sensibles. C’est le cas des banques, compagnies d’assurances, industries, opérateurs télécom, et autres entreprises technologiques, à l’image d’Uber qui a récemment fait l’objet d’une très mauvaise publicité en avouant avoir caché pendant 1 an une gigantesque fuite de données concernant 57 millions de personnes (clients et chauffeurs) !

Sources :

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

A venir : Le rôle du nouveau délégué à la protection des données (DPO)