Le Règlement de Gestion des Données Personnelles RGPD / GDPR (General Data Protection Regulation) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 entre en vigueur à compter de mai 2018. Il s’attache à la protection des personnes physiques au regard du traitement des données à caractère personnel et à la libre circulation de ces données.
Quels que soient leur taille et chiffre d’affaires, les organisations doivent penser leur stratégie de gestion et de protection des données personnelles. Désormais, il ne reste plus que quelques mois pour mettre en place des règles de fonctionnement et de gouvernance requises.
En France, la CNIL est désignée comme autorité de contrôle de l’application du dispositif. D’ailleurs, elle peut infliger de lourdes pénalités financières (jusqu’à 4% du CA) en cas de non-conformité à la réglementation ou d’irrespect des bonnes pratiques de sécurité et de confidentialité.
Champ d’application de la gestion des données personnelles
Est concerné tout détenteur ou gestionnaire de données à caractère personnel des personnes physiques indépendamment de leur nationalité ou de leur lieu de résidence. Il faut également que le traitement soit lié au suivi du comportement des personnes au sein de l’Union, même s’il est effectué hors UE. La protection des données s’applique à toute information concernant une personne physique identifiée ou identifiable, même en cas de pseudonymisation, si le recours à des informations supplémentaires (adresse IP, identifiant en ligne…) permet son identification.
Ainsi, le RGPD / GDPR concerne tous les traitements dès lors que les données sont structurées selon des critères déterminés, quel que soit le support ou le procédé de traitement, automatique ou manuel. Par exemple, est concerné un fichier « papier » contenant des identifiants (nom, numéro de sécurité sociale) et des informations relatives à des achats, des domaines d’intérêt, une situation de santé…).
Condition de succès d’un projet RGPD / GDPR
Pour permettre le succès de ce projet et aborder tous les points de la réglementation, il est indispensable de traiter le sujet selon 3 piliers : JURIDIQUE, INFORMATIQUE et SYSTÈME DE MANAGEMENT.
Le projet nécessite donc une démarche transverse.
La démarche transverse d’ACCORDANCE Consulting
ACCORDANCE accompagne les entreprises dans la mise en conformité RGPD / GDPR, grâce à une expertise pluridisciplinaire (avocat, informaticien spécialisé en sécurité, consultant en systèmes de management).
Pilier juridique – sécuriser le dispositif et les pratiques
Contenu :
Analyser les obligations en fonction du contexte de l’entreprise et des enjeux.
Gérer la veille réglementaire et jurisprudentielle et les règles applicatives des autorités.
Assurer la licéité des traitements et données associées.
Valider la licéité des formules et des clauses contractuelles utilisées.
Ce pilier concerne :
-Le référencement des données concernées ;
-Le recueil de consentement ;
-La licéité, la loyauté et la transparence du traitement ;
-L’adéquation, la pertinence et la limitation des données aux finalités du traitement ;
-La préservation des droits ;
-La documentation du registre des traitements (pour les entreprises de plus de 250 salariés) ;
-La relation et contractualisation avec les sous-traitants (ex. développement, hébergement).
Pilier informatique – Assurer la sécurité de l’information
Contenu :
- Vérifier la sécurité des systèmes d’informations en identifiant les points de faiblesse et les risques non couverts.
- Intégrer les risques de cybersécurité (ex. faille informatique) dans le système existant.
- Veiller et analyser les bonnes pratiques de gestion de la confidentialité et de la préservation des informations.
- Développer une méthodologie de mise en place des bonnes règles de fonctionnement (ex. ISO 27001 – Guide CNIL AU-052).
- Définir les pratiques et la mise en conformité avec les bonnes pratiques par rapport aux règles de l’art.
- Assurer la sécurité des informations (préservation des données, sécurité des réseaux et traitement, anti-copiage…), la limitation de traitement (marquage, effacement ou pseudonymisation…).
- Mettre en place un plan d’amélioration sur les sujets concernés (obligations de sécurité et confidentialité).
Ce pilier concerne :
- Le référencement des données concernées ;
- Le contrôle de l’intégrité des données ;
- Le contrôle de la sécurité, la préservation et la confidentialité des données,
- La vérification des mesures et outils de sécurité IT existants ;
- L’analyse d’impact des nouvelles exigences sur la politique de sécurité des systèmes d’information ;
- L’identification des mesures de prévention ;
- La veille (intelligence) économique.
Pilier Système de management – Mettre en œuvre et déployer le dispositif RGPD / GDPR
Contenu :
- Les organisations doivent par le biais de leur système de management pouvoir démontrer qu’elles respectent les principes relatifs aux traitements des données personnelles.
- Établir des règles de gouvernance, désigner un DPO (Data Protection Officer) délégué à la protection des données et définir ses responsabilités et son autorité dans le cadre de la réglementation RGPD / GDPR.
- Vérifier la sécurité du système de management en identifiant les points de faiblesse et les risques non couverts.
- Mettre en œuvre les moyens humains, techniques et matériels nécessaires à la préservation des données personnelles.
- Intégrer les procédures de notification et d’information réglementaires en cas de violation de données à caractère personnel.
- Mettre à niveau les grandes règles d’organisation du système de gestion des données personnelles (ex. procédures, pilotage et contrôles, gestion des dysfonctionnements, audit interne…).
- Planifier les dispositions du système RGPD / GDPR pour la gestion des demandes des personnes (ex. droit d’accès, rectification, opposition, droit à l’oubli).
- Mettre en œuvre les mesures correctives et préventives nécessaires ainsi que les actions d’amélioration pertinentes.
- Assurer la maîtrise des sous-traitants concernés tout au long du cycle de gestion et de traitement des données.
Ce pilier concerne :
- La mise en place d’un système de management ;
- L’analyse d’impact – procédures de droit à l’oubli, droit à la portabilité des données, droit à l’opposition de toute opération marketing ;
- La mise en place d’un procédé d’évaluation objective des risques liés au traitement des données ;
- Le process de recueil de consentement ;
- La mise en place d’un système de communication des données traitées, si nécessaire ;
- Le système de contrôle et de surveillance ;
- Le PDCA.
Copyright Infoqualité
Partager cet article