Conformité RGPD

02/29/2020 skem Articles 0

Site partenaire de prestation

https://sokem.fr
Manhattan
Manhattan

Introduction du RGPD

Le décret de loi daté du 2018 du le Règlement Général sur la Protection des Données (RGPD) en France.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952&categorieLien=id

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitiez les données (clients, collaborateurs, etc.).

Par ce décret de loi, les entreprises devront classifier les données qui y transitent dans l’ordre de confidentialité pour les protéger. Ils sont également dans l’obligation d’informer les personnes concernées de la disponibilité de ces données au cas où, ils veulent les modifier ou supprimer ou refuser.

Ci-dessous, la procédure pour mettre en conformité du RGPD, elle permet de vous aider à comprendre et à faire la démarche.

La démarche pour la conformité RGPD

Etape 1: Nommer un DPO (Data Protection Officer)

Le délégué à la protection des données (DPO), c’est un rôle juridique une fonction située au cœur de la conformité au règlement européen sur la protection des données (RGPD), le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent dans leur conformité.

Ses missions principales sont : d’une part d’informer et de conseiller son organisation, et d’autre part de contrôler l’application des textes légaux et des règles internes en matière de données personnelles. Il fait office de point de contact entre son organisation et une autorité de contrôle nationale, comme la CNIL.

Etape 2: Cartographier les traitements

Cartographier les traitements des données consiste à identifier les processus concernés par le RGPD et calculer leur niveau de conformité en les soumettant à une étude impacts PIA (Privacy Impact Assessment).

Commencer d’abord à identifier les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.

Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.

Dans votre registre, créez une fiche pour chaque activité recensée, en précisant :

  • L’objectif poursuivi (la finalité – exemple : la fidélisation client) ;
  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
  • Qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

Pour chaque fiche de registre créée, vérifiez que :

  • Les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique) ;

  • Vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir la fiche « Traitements de données à risque : êtes-vous concerné ? ») ;
  • Seules les personnes habilitées ont accès aux données dont elles ont besoin ;

  • Vous ne conservez pas vos données au-delà de ce qui est nécessaire.

A cette occasion, améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

Etape 3: Etablir un plan d’action

Sur la base de cet état des lieux, un plan d’actions est mis en œuvre. Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doit être établie. Ce qui entraîne une révision en profondeur de la politique de confidentialité.

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

Informez les personnes

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte les éléments suivants :

  • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
  • Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens.

Bien traiter les demandes des consommateurs quant à leurs données personnelles c’est :

  • Renforcer la confiance qui sécurise la relation-client ;
  • Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.

Etape 4: Poser le cadre de gouvernance

Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression.

  • Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement (privacy by design) ?
  • Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ?
  • Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?

Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Vous garantissez ainsi l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas de d’incident.

Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles : Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

Etape 5: Sensibiliser les collaborateurs de RGPD

L’étape finale de RGPD est de sensibiliser les collaborateurs sur la protection des données pour que cette démarche de RGPD sera encore plus efficace dans la durée.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*