RGPD – Règlement Général sur la protection des données

RGPD par-ci, GDPR par-là, en français, en anglais, chacun y va de son vocabulaire pour essayer de comprendre ce qui va se passer à partir du 25 mai 2018, et oui, c’est bien de la loi sur la règlementation des données dont il est question dans cet article, RGPD, Règlement Général pour la Protection des Données ou en anglais GDPR, General Data Protection Regulation.

Il faut rappeler que cette loi existe déjà depuis le règlement Européen du 27 avril 2016 relatif aux données à caractères personnelles. Son objectif est simple mais son application un peu confuse avec tous les textes que l’on peut trouver aux 4 coins du web et chacun y va de sa définition et de son interprétation. Cette loi doit permettre de remettre un peu d’équilibre dans le désordre qui règne en termes d’usage et destination des données à caractères personnelles récoltées sur le web par tous les acteurs. Oui, tout le monde est concerné par cette loi, dès lors que des données personnelles sont manipulées, par ou pour les sous-traitants mais aussi pour les utilisateurs que nous sommes ; En effet, il est question de nos données personnelles en tant qu’utilisateur du web.

Nous avons choisi, afin de nous assurer d’être conforme à la loi, d’énumérer les 6 étapes proposées par la CNIL pour vous aider à être prêt le jour J, c’est à dire le 25 mai 2018. Pour les retardataires, vous aurez le lundi de pentecôte, le 21 mai 2018 pour y mettre un dernier coup d’accélérateur.

Attention, avant de lire la suite, il est important de souligner que le contenu de notre article n’a pas pour but de fournir des conseils juridiques et ne saurait être, en aucun cas, considéré comme tel.

La CNIL a publié 6 grandes étapes à suivre pour être en conformité le jour J. Nous les listons dans cet article :

1- Désigner un Pilote (DPD ou CIL)

La première des étapes consiste à désigner le DPD (Délégué de la Protection des Données). Celui-ci devra piloter la bonne gouvernance des données personnelles de votre structure. Il est considéré comme un acteur clé dans ce nouveau système de gouvernance. Pour cela il vous faudra vous assurer d’un meneur qui aura pour principales missions :

• l’information sur le contenu des nouvelles obligations ;
• la sensibilisation des décideurs sur l’impact des nouvelles règles ;
• la réalisation de l’inventaire des données traitées ;
• la conception des actions de sensibilisation ;
• le conseil et le contrôle continu du respect du règlement.

Le DPD apparaîtra officiellement à partir de 2018, en attendant, dores et déjà vous pouvez désigner un CIL (Correspondant Informatique et Liberté). Ce CIL qui aura peu ou prou les mêmes fonctions que le DPD peut être déclaré à la CNIL via un formulaire fournit par la CNIL (cf. chap. Annexe de cet article). Pour le désigner, quelques règles sont à suivre néanmoins. Elles sont évoquées via une page dédiée sur le site de la CNIL que vous trouverez également en annexe de cet article.

2- Cartographier les traitements des données personnelles

La seconde étape consiste à faire en interne, l’inventaire des données traitées, les identifier.

Pour chacune d’elle, il vous faudra :

• identifier les acteurs concerné ;
• la finalité du traitement ;
• sont-elles transmises hors de l’Union Européenne ? ;
• concernent-elles des données sensibles ? ;

Ce registre de traitement devra être mis à jour régulièrement par le DPD. Pour vous aider la CNIL a également mis à disposition un fichier Excel (cf. Annexe)

3- Prioriser

Sur la base du registre de traitement des données inventorié s à l’étape 2, vous devriez être en mesure d’identifier et surtout de prioriser les actions à mener pour vous conformer aux obligations. Comment prioriser ? simplement en confrontant le niveau de risque sur les droits et liberté des personnes que pourrait faire peser le traitement des données.

A noter que lors de cette analyse pour pourriez supprimer des données collectées jusqu’à présent, non nécessaires à la poursuite de vos objectifs.

4- Gérer les risques

Lors de la priorisation, vous allez surement être en mesure de cartographier des risques plus élevés que d’autres sur l’altération de telles ou telles données. Il est alors nécessaire voire indispensable de faire une analyse d’impact sur la protection de données appelée PIA (Protection Impact Analysis). Cette analyse est indispensable dès lors qu’il s’agit de traitement de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD). Un logiciel est mis à disposition par la CNIL afin de vous aider à mieux appréhender le sujet (voir Annexe de cet article).

5- Organiser

Une fois les risques identifiés, il vous faut prendre des mesures qui passent par des actions et la mise en place de processus internes concernant principalement les points suivants :

• Faille de sécurité : Qui fait quoi ? comment ? ;
• Gestion des demandes d’habilitation : Qui fait quoi ? comment ? ;
• Gestion des modifications des données personnelles collectées : Qui fait quoi ? comment ? ;
• Changement de prestataire : Qui fait quoi ? comment ?

6- Recenser, journaliser, documenter la conformité des étapes précédentes

Il vous faudra un registre à jour contenant toutes les informations précédemment évoquées. Ces informations doivent être mises à jour régulièrement après réexamen permanent et donc une actualisation régulière des informations.

En résumé votre dossier de recensement doit comporter les éléments suivants :

• Le registre du traitement des données : L’analyse d’impact (PIA), l’encadrement des transferts (si transfert hors de l’U.E ou non)
• Les informations des personnes
• Les contrats qui définissent les rôles et les responsabilités des acteurs

ANNEXES

• Formulaire de désignation d’un CIL formulaire
• Comment désigner un CIL voir la page de la CNIL
• Logiciel PIA pour vous aider à faire l’analyse des risques téléchargeable ici
• Modèle de registre à télécharger ici
• Sources : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes