La circulation des données personnelles des citoyens a été considérablement favorisée par l’importante vague de digitalisation des dernières années. Les structures qui en recueillent sont tenues d’assurer qu’elles ne tombent pas entre de mauvaises mains. Le RGPD est le cadre légal mis en place par l’Union Européenne dans cette optique. Découvrez comment se mettre en conformité avec le RGPD.
Sommaire
Nommer un référent principal ou DPO
La question de la vie privée des internautes et des consommateurs cause aujourd’hui de nombreux débats. Le RGPD ou Règlement général sur la protection des données régit le traitement des informations personnelles dans l’Union Européenne.
Assurer la mise en conformité au RGPD d’une entité est une mission sensible qui nécessite un suivi et un pilotage strict. La tâche est complexe au vu des nombreuses balises à respecter. La nomination d’un expert en la matière est recommandée voire indispensable. Il portera alors le titre de DPO ou Délégué à la protection des données. Sa présence est obligatoire pour les institutions publiques et les entreprises qui manipulent des paquets importants de données.
Plusieurs missions incombent à ce professionnel. La première est notamment de se tenir au courant de toutes les normes et du cahier des charges établi par le législateur. Il lui revient de conseiller ses employeurs sur la stratégie à adopter pour se mettre en conformité pour le RGPD. C’est également le principal interlocuteur entre les autorités de contrôle et l’organisme concerné.
Dans une optique d’amélioration continue, le DPO doit réaliser une veille constante. Il doit s’informer sur les éventuelles nouveautés et rester à l’affût de toute anomalie. il s’assure que le RGPD soit suivi et appliqué. Le choix du profil à designer doit faire l’objet d’une attention particulière.
Matérialiser son processus de traitement des données
Selon les objectifs des entités concernées, la manière de traiter les données collectées peut varier. Pour se mettre en conformité pour le RGPD, il est néanmoins essentiel que les méthodes et les procédés utilisés soient clairs. Les législateurs doivent y avoir accès et les comprendre facilement.
Pour ce faire, le traitement des datas doit faire l’objet d’une documentation complète pour des questions de traçabilité et de visibilité. Cela permet d’évaluer les impacts des opérations réalisées et ainsi détecter plus facilement les infractions au cadre légal.
Le règlement oblige ainsi les organisations à expliciter les opérations et manipulations que peuvent subir les données. Leurs provenances et leurs natures doivent aussi être transparentes. De la même manière, les objectifs recherchés par le traitement de données personnelles doivent être exposés. Par ailleurs, tous les opérateurs, qu’ils soient internes ou externes, par lesquels les datas passent, sont à mettre en exergue.
Les organes chargés de l’audit doivent être au courant des sources mais aussi des destinations des informations exploitées. Cela est valable même lorsqu’elles transitent hors de l’Union européenne, tant que les ressortissants de cette dernière sont concernés. Il s’agit là du principe de cartographie qui implique réellement un maximum de clarté. Toute dissimulation peut potentiellement entraîner des sanctions.
Limiter les traitements au strict minimum
Durant la phase de documentation des opérations de traitement, l’utilisation finale des données a été mise en avant. Pour se mettre en conformité pour le RGPD, il est préférable de faire le tri parmi les éléments collectés.
Tout ce qui n’est pas nécessaire à l’atteinte des objectifs fixés ne doit pas être conservé. Ainsi, demander un numéro de sécurité sociale n’est, par exemple, pas pertinent pour les dossiers d’inscriptions des écoles. La légitimité de l’organisme est mise en doute s’il traite des informations personnelles dont il n’a pas forcément besoin.
Par ailleurs, il sera porté une attention particulière aux restrictions juridiques et prérequises dictées par la loi. Selon la nature des données, il peut être obligatoire de demander un consentement aux propriétaires. Ces derniers peuvent alors décider de ne faire qu’une divulgation partielle ou refuser toute collaboration en fonction des cas. Cependant, cela ne concerne pas uniquement les opérateurs en interne. Les sous-traitants doivent aussi se soumettre à cette politique de tri.
Des vérifications strictes ainsi qu’un tamis performant sont à mettre en place. Il faut en plus prévoir l’application de certains droits essentiels (retrait de consentement, modification, etc.). En établissant des limites, il est également plus facile d’appliquer les différentes mesures de protection.
Être transparent vis-à-vis des clients et partenaires
Les personnes dont les données sont traitées doivent évidemment être mises au courant des pratiques de l’organisme. Il est de leur droit d’être informés sur un certain nombre de points. La conservation d’un élément par l’entité concernée doit être communiquée aux clients et partenaires si ces derniers le demandent. Dans ce sens, la transparence est toujours d’une importance capitale. Ce type d’accès est à procurer de manière fluide, sans contrainte.
Il est du devoir du DPO de mettre en place les processus adéquats pour garantir ce droit à l’information. Des interlocuteurs doivent être à disposition pour répondre aux questions des consommateurs. Les demandes doivent ainsi pouvoir être traitées via les plateformes en lignes, par téléphone, e-mail, etc. Par ailleurs, dans certains cas, les organisations doivent indiquer clairement la destination et l’utilisation des données.
La durée de conservation des datas peut aussi faire l’objet de consultations. L’obligation est la même en ce qui concerne les différents opérateurs qui y ont accès. C’est particulièrement le cas pour les sous-traitants situés hors Union européenne. Les pages de politique de confidentialité que, bien souvent, les internautes ne lisent malheureusement pas doivent contenir toutes les informations requises.
Réorganiser le processus interne
Une fois que les bonnes pratiques liées au RGPD ont été bien assimilées, le DPO doit travailler sur une formalisation. Afin d’obtenir un référentiel propre à l’institution, il est important de rédiger toutes les procédures dans les respects du règlement. Les bases ont normalement déjà été acquises, la prochaine étape consiste en un déploiement généralisé.
Plusieurs modifications sur les méthodes employées en interne sont à faire. Tous les acteurs concernés sont à sensibiliser et surtout à former sur les normes à respecter. La communication est essentielle pour que tous les collaborateurs et partenaires suivent la même voie. En outre, les entreprises ou institutions publiques ont intérêt à mettre en place un système de sécurité efficient. Le but est d’empêcher les fuites et le partage non autorisé des données.
L’implication d’autres profils d’experts à part le DPO peut alors être requise. Les risques sont très nombreux. Leur identification au préalable est de mise pour pouvoir trouver les solutions adéquates et assez rapidement. Une fois que tous les encadrements ont été solidement ancrés, il ne reste plus qu’à passer les tests nécessaires.
Se faire auditer par les organismes accrédités
Afin de se mettre en conformité pour le RGPD, il faut évidemment obtenir l’agrément des autorités compétentes. En France, il s’agit précisément de la Commission nationale de l’informatique et des libertés ou CNIL. La commission réalise les audits auprès des structures qui traitent des données personnelles.
La plupart des points qui ont été précédemment cités font l’objet d’un contrôle strict. Chaque élément lié au Règlement général sur la protection des données doit être vérifié, aussi bien sur le fond que sur la forme. Cela peut ainsi prendre plusieurs heures selon la taille de l’organisation et la quantité de données exploitées.
Des écarts peuvent alors être constatés et font impérativement l’objet de corrections. L’obtention d’un certificat de conformité peut coûter très cher. Les tarifs s’élèvent entre 1000 et 5000 euros sans compter les investissements à faire. Il convient de se faire accompagner par un spécialiste ou un cabinet de conseil.
Passionné par le web et l’entrepreneuriat, j’ai fondé Digitiz en 2016. Mon objectif est de vous transmettre mon expérience et de pouvoir vous faire gagner du temps dans le choix de vos outils.