Le règlement général sur la protection des données (RGPD) vise à responsabiliser les acteurs publics ou privés qui collectent et traitent des données utilisateurs. Le respect des normes demande une attention constante, sans laquelle le risque de commettre une faute grandit. Au-delà de la règlementation, le respect de la vie privée est avant tout une question d’éthique. Revenons sur les 6 étapes essentielles à la mise en conformité RGPD et à son suivi sur le long terme.
1 Nommez un chef d’orchestre de la mise en conformité RGPD
Pour vous assurer de l’efficacité de la politique RGPD que vous appliquez ou comptez mettre en place, nommer une personne référente est primordial. Appelé DPD pour délégué à la protection des données, ou DPO en version anglaise, ce référent (interne ou indépendant) remplira une mission de conseil et de contrôle de ce qui est fait en interne. Car chacun peut sans même s’en rendre compte, bafouer les normes relatives à l’utilisation des données personnelles.
Le DPO aura dès lors pour tâche principale de sensibiliser l’ensemble des collaborateurs au sujet, de les informer sur les bonnes pratiques et l’évolution des règles applicables, d’agir concrètement afin d’optimiser votre politique RGPD, et de mettre en place les différentes étapes que nous allons détailler. Il travaillera en bonne intelligence avec le correspondant « informatique et libertés » en charge d’organiser la mise en place des actions.
2 Faites le tour des traitements effectifs
Avant de savoir comment vous mettre en conformité avec les règles édictées par le texte règlementaire européen qu’est le RGPD, vous devez découvrir dans quelle mesure vos pratiques sont susceptibles d’entrer en conflit avec lui.
En recensant précisément vos traitements de données et en constituant un registre, vous aurez une vision globale des activités de votre organisation qui nécessitent la collecte et le traitement de données personnelles. Vous pourrez alors vérifier point par point la conformité au RGPD.
Nous vous conseillons d’organiser votre registre avec des filtres permettant de visualiser rapidement l’utilisation des données. Précisez pour chaque activité :
• le nom du responsable du traitement,
• les catégories de population concernées par la collecte,
• l’objectif poursuivi (à regrouper en quelques catégories, nous y reviendrons),
• qui aura accès aux données personnelles durant leur cycle de vie,
• quelle sera la durée de conservation des données,
• quelle mesure de sécurité est en place afin de protéger les données (mot de passe ou autre).
Au besoin, complétez avec la liste des traitements qui transfèrent des informations personnelles en dehors de l’Union Européenne. Vous voici prêt à agir pour améliorer votre mise en conformité.
3 Organisez votre registre et définissez vos priorités
Certains traitements de données peuvent faire peser davantage de risques que d’autres sur votre organisation. Servez-vous de votre registre pour les repérer avec l’aide de votre délégué à la protection des données.
Lors de votre tri, veillez à vérifier :
• que le traitement de données est bien utile au regard de vos objectifs,
• que seules les bonnes personnes ont accès aux données,
• que les données ne sont pas conservées plus longtemps que nécessaire,
Le RGPD impose de définir la finalité de la collecte des données. Elle servira à fixer les limites du traitement, à mettre en évidence la durée nécessaire de conservation et, inscrite dans le registre, à être accessible clairement aux personnes concernées et en cas de contrôle.
Cette étude vous permettra souvent d’éliminer d’office certains risques, en réduisant l’accès ou le traitement de certaines données. Pour le reste, regroupez-les en catégories selon le type de mesure de sécurité qui sécuriserait leur traitement, puis définissez les priorités d’action.
4 Réorganisez vos procédures internes
Il est important que toute action menée dans votre organisation tienne compte de votre politique de gestion des données personnelles. Chaque interaction doit être pensée et prévue à l’avance dans le but d’être conforme au RGPD.
Concrètement et de manière non exhaustive, prévoyez :
• De respecter les droits des personnes dont vous traitez les données : les informer en toute transparence de votre collecte et de sa raison, et leur permettre d’indiquer leur consentement et d’exercer leur droit d’accès (avec portabilité) et de rectification.
• De sécuriser les données collectées, à chaque étape de leur traitement : accès aux locaux de stockage, armoires fermées à clé, sécurisation informatique par mot de passe et verrouillage automatique des sessions, procédures de sauvegarde, etc.
• De veiller à la parfaite information des collaborateurs : le DPO joue un rôle essentiel non seulement dans l’appropriation des règles par les employés, mais également dans la mise à jour de leurs connaissances. La législation évolue, tout comme les technologies, et votre politique doit pouvoir adapter vos process en permanence.
• De prendre en compte les évènements pouvant survenir et de préparer la réponse à apporter (failles de sécurité, demandes d’accès, modification des données collectées ou changement de prestataire par exemple).
Ces grands axes poseront les jalons de votre politique de conformité au RGPD et vous aideront à anticiper les risques.
5 Gérez les risques
Si malgré cette mise en place, vous identifiez toujours des traitements de données présentant des risques majeurs, c’est-à-dire susceptibles de nuire aux droits et libertés des personnes dont les données sont collectées, procédez pour chacun d’eux à une analyse d’impact relative à la protection des données (AIPD).
Cette analyse vous servira notamment à évaluer l’utilité du traitement de données au regard des risques qu’elle fait courir, aux personnes concernées et à votre organisation si celle-ci est prise en faute.
6 Documentez votre mise en conformité RGPD
Afin de prouver que vous respectez bien la règlementation relative à la protection des données, il est nécessaire de constituer un dossier complet et évolutif, reprenant l’ensemble des éléments ayant une prise directe ou indirecte avec le traitement des données personnelles.
Le registre et les analyses d’impact précitées font partie de ces documents, de même que les écrits définissant les procédures internes de veille RGPD et celles d’exercice des droits post-collecte. Vous devrez également conserver la preuve que les personnes ont donné leur consentement à la collecte et à l’utilisation de leurs données.
Enfin, les contrats liant votre organisation aux sous-traitants impliqués vous couvrent de fautes émanant de leurs services (pour le stockage des données, la sécurisation des accès, etc.).
Une fois plongé dans les procédures de mise en conformité RGPD, vous vous rendrez compte qu’il est toujours possible de mieux protéger les données : outre la législation en mouvement, les technologies de protection progressent en permanence, de même que les risques liés aux accidents ou aux personnes malintentionnées. Votre ligne directrice doit être de pouvoir à tout instant démontrer que tout a été mis en œuvre pour protéger les données récoltées, en cas de contrôle ou de plainte. Pour vous assurer que votre politique est efficace, faites appel à un expert !
