À quelques semaines de l’échéance fatidique du 25 mai, qui ponctuera la mise en application du tant attendu RGPD, voici quelques conseils à suivre pour ne pas faire de faux pas.
« Le RGPD est une évolution, et non pas une révolution ». Pour Giuliano Ippoliti, RSSI Cloud Temple (Responsable de la sécurité des systèmes d’information), entreprise spécialisée dans l’hébergement cloud et la transformation digitale, le RGPD peut être une opportunité pour les entreprises, toutes tailles confondues. Encore faut-il savoir la saisir.
En s’inspirant des bonnes paroles diffusée par la CNIL (Commission Nationale de l’Informatique et des Libertés), l’expert vous glisse ses ultimes recommandations dans cet article.
Désigner un responsable pour la mise en conformité
Idéalement c’est un expert en sécurité des systèmes d’information ou un juriste, familier des projets transverses. Ce dernier doit bien sûr être formé au RGPD. L’auto-formation à partir des supports publiés par la CNIL peut être une solution efficace.
Bien faire comprendre au sein de l’entreprise les 4 concepts clés suivants :
Donnée personnelle : toute information permettant de remonter à l’identité d’une personne physique, de manière directe (donnée nominative) ou indirecte
Traitement de la data : toute opération sur les données à caractère personnel, que ce soit dans un fichier Excel, dans une base de données, dans une application métier ou même sur papier. La simple consultation de données à l’écran est considérée comme un traitement. Le champs d’application du règlement vise les traitements établis sur le territoire de l’Union Européenne (UE) ou visant des résidents de l’UE
Responsable de traitement (RT) : l’entité qui détermine la finalité et les moyens du traitement
Sous-traitant : la société qui réalise des traitements pour le compte du responsable.
Inventorier les traitements de données personnelles et les formaliser dans des registres
En général, ils sont au nombre de deux :
Le registre des traitements où l’entité est responsable (un modèle de ce registre est disponible sur l’extranet CNIL)
Le registre des traitements où l’entité agit en tant que sous-traitant. C’est une version allégée du premier : on ne demande pas aux sous-traitants le même niveau de détail que pour les responsables
Vérifier l’application des 6 règles d’or de la protection des données, pour chaque traitement :
Licéité : le fondement juridique du traitement. Les cas les plus fréquents sont le consentement et l’intérêt légitime du RT
Finalité : l’objectif du traitement, qui doit être explicite et cohérent avec la mission de l’organisme qui traite les données
Minimisation : données pertinentes et proportionnées par rapport à la finalité
Exactitude : le RT doit prendre des mesures pour mettre à jour les données si nécessaire
Durée limitée de conservation : les données ne peuvent être conservées de façon indéfinie, sauf dans des cas bien spécifiques
Sécurité : les mesures en place doivent être adéquates par rapport au risque présenté par le traitement, notamment pour garantir l’intégrité et la confidentialité des données
Mettre en place des processus pour garantir l’exercice des droits de personnes
Certains ont été introduits par le RGPD, notamment le droit à la portabilité et à l’opposition à une décision individuelle automatisée (profilage).
Réviser, dans la mesure du possible, tous les contrats avec ses clients et sous-traitants
Vous devez y faire apparaître les clauses relatives à la protection des données. Compte tenu de l’ampleur de la tâche, il est conseillé de prioriser.
Réaliser des analyses d’impact pour les traitements qui présentent le plus de risques
Attention, il faut adopter le point de vue des personnes dont les données sont traitées. Cela doit aboutir à des plans d’actions pour augmenter la sécurité et réduire le risque.
En définitive, la clef de la démarche de conformité repose sur le fait de tout documenter : cela permettra de prouver que le règlement soit respecté.