Le RGPD introduit un nouveau poste, celui de Data Protection Officer (DPO ou Délégué à la Protection des Données). Cette nouvelle fonction de responsable de la stratégie de protection des données sera obligatoire dans certains cas (si vous êtes un organisme public, si votre activité implique un traitement systématique ou régulier de données à grande échelle, ou si vos traitements concernent des données sensibles).
Le DPO représentera un atout majeur pour organiser l’ensemble des traitements, dialoguer avec les Autorités de Protection des Données (APD) comme la CNIL pour la France et garantir votre conformité.
Où le trouver ? Il pourrait être votre actuel Correspondant Informatique et Libertés (CIL) ou un spécialiste en interne de ses sujets. Pour les petites structures ou celles opérant peu de traitements, il peut être externe et partagé entre plusieurs entités.
Ces missions ? Le DPO devra :
Objectifs :
• Désigner un responsable officiel de la mise en conformité en interne (ou externe avec une lettre de mission précise)
• Lui attribuer les moyens humains et financiers pour mener à bien ses missions
Il est indispensable de recenser précisément l’ensemble des traitements, dans l’optique d’établir un registre des activités de traitement et de mise en conformité. La rédaction d’un tel inventaire doit permettre de mesurer l’impact du RGPD sur votre activité.
Il s’agit par exemple de recenser de manière exhaustive les traitements que vous mettez en œuvre, les catégories de données collectées, les objectifs ou finalités de vos traitements ou les acteurs internes et externes. Pour avoir une visibilité sur les transferts Internationaux, une cartographie des flux de données recensera les origines et destinations de chaque flux.
Cela revient à interroger chaque traitement de la sorte : Quoi ? Pourquoi ? Qui ? Comment ? Où ? Et jusqu’à quand ?
Objectifs :
• L’établissement d’un document officiel : le registre des activités de traitement, soit :
o Identifier des services et entités de traitement, ainsi que des sous-traitants
o Recenser des traitements, par finalités et types de données (et non par support)
o Recenser des transferts de données
o Recenser les espaces de stockage
o Définir la durée de conservation des données
Une fois la cartographie effectuée, il faudra identifier les actions de mise en conformité pour chacun des traitements, puis les prioriser en termes de risque (données sensibles ou critiques, profilage et larges traitements automatisés, transferts internationaux).
Plusieurs points de vigilance sont à garder à l’esprit :
Objectifs :
• Analyser les écarts et prioriser les actions de mise en conformité
• Identifier les traitements à risque
Pour chaque traitement comportant des risques élevés, il vous faudra produire une étude d’impact sur la protection des données (« Privacy Impact Assessment » ou PIA). Cette étude doit compléter la cartographie des traitements, renforcer votre sécurité et démontrer le respect des principes fondamentaux du RGPD.
Il sera nécessaire de mener en priorité des PIA sur les traitements à haut risque déjà en pratique mais par la suite, cette étude devra être menée avant de commencer la collecte de données sensibles.
L’étude d’impact doit contenir : la description du traitement, ses finalités, l’évaluation de la nécessité et de la proportionnalité du traitement par rapport à votre activité, l’appréciation des risques sur les droits et libertés, et les mesures envisagées pour pallier ces risques.
En ce sens, il existe tout un ensemble de guidelines et de bonnes pratiques composant des mesures envisageables : chiffrage, anonymisation, sauvegardes, tracking, containment, définition d’accès et de rôles a minima, encadrement des tiers, réduction des vulnérabilités propres aux supports (logiciels, matériel, réseau, archives physiques, …). L’adaptation proportionnée est ici l’équilibre à atteindre.
Objectifs :
• Rédiger une étude d’impact (PIA) pour les données sensibles
• Mettre en place des mesures et procédures permettant d’identifier et de quantifier systématiquement les risques liés aux traitements sensibles
Il s’agit de maintenir les procédures internes pour garantir une protection optimale tout au long du cycle de traitement des données, en anticipant les événements disruptifs (anomalie, fuite, piratage, demandes d’accès ou de modification voire d’effacement, portabilité, …).
La structuration des processus de protection devra se baser sur la réappropriation de l’approche de « Privacy by Design & by Default », c’est-à-dire la prise en compte des règles de sécurisation des données dès la phase de conception d’un processus, outil ou livrable. Cette étape devra s’appuyer sur les conseils de votre DPO ou d’un partenaire qualifié.
En termes de bonnes pratiques, les éléments suivants sont à étudier : accorder collectes et finalités, définir les durées de conservation maximales, assurer le consentement des cibles et l’existence de mentions d’information, verrouiller la confidentialité des données, vérifier que chaque acteur du traitement connaisse son rôle et ses responsabilités.
Il vous faudra éventuellement créer un plan de communication et de formation en interne pour assurer la remontée efficiente d’informations sur le sujet :
Objectifs :
• Intégrer les réflexes et bonnes pratiques au sein de vos services de traitement
• Disposer de procédures internes claires, définissant ce qu’il faut faire et à qui s’adresser en cas d’incident ou de doute, pour l’ensemble de votre structure
La dernière étape vise à bâtir et regrouper une documentation de mise en conformité. C’est la consolidation de l’ensemble de vos actions et documents des étapes précédentes, afin de pouvoir les examiner ou les actualiser aisément et assurer une protection en continu.
La constitution du dossier documentaire passera par :
Objectifs :
• Disposer d’une solide base documentaire justifiant vos traitements, facilitant son actualisation régulière et prouvant votre mise en conformité en cas de demande des autorités de contrôle
En synthèse, cette démarche vise à identifier et réduire les écarts entre la réalité actuelle de vos traitements et les attentes définies par le RGPD.
Le RGPD est une opportunité qui permet de rationaliser vos traitements et d’instaurer de bonnes pratiques valorisées à l’international. La mise en conformité avec le RGPD vous assurera ainsi une image de sérieux et de tiers de confiance, tant vis-à-vis des cibles de vos collectes que de vos partenaires.
Bien entendu, la législation ne restera pas figée mais sera encore amenée à évoluer comme elle le fait depuis plus de 40 ans.
À ce titre, il apparait fondamental de pouvoir identifier et mobiliser un DPO et des équipes proactifs, aptes à anticiper les évolutions futures et renouveler les pratiques pour corriger les trajectoires, obtenir un avantage concurrentiel, soigner son image de marque et ne pas se retrouver au pied d’un mur technologique si ce n’est législatif.
Pour aller plus loin :
CNIL – Professionnel
CIL CNRS – Guide
AFCDP
Spécialiste de la formation & RGPD
Prendre RDV
Le Règlement Général sur la Protection des Données (RGPD) responsabilise toute entité collectant ou traitant des données à caractère personnel de citoyens de l’Union Européenne et ce où qu’elle se situe.
Le 25 mai 2018 marque le démarrage d’une gestion interne de mise en conformité au RGPD. Voici 6 étapes à respecter pour mener votre projet.
Le RGPD introduit un nouveau poste, celui de Data Protection Officer (DPO ou Délégué à la Protection des Données). Cette nouvelle fonction de responsable de la stratégie de protection des données sera obligatoire dans certains cas (si vous êtes un organisme public, si votre activité implique un traitement systématique ou régulier de données à grande échelle, ou si vos traitements concernent des données sensibles).
Le DPO représentera un atout majeur pour organiser l’ensemble des traitements, dialoguer avec les Autorités de Protection des Données (APD) comme la CNIL pour la France et garantir votre conformité. Où le trouver ? Il pourrait être votre actuel Correspondant Informatique et Libertés (CIL) ou un spécialiste en interne de ses sujets. Pour les petites structures ou celles opérant peu de traitements, il peut être externe et partagé entre plusieurs entités.
Ces missions ? Le DPO devra :
– Réaliser l’inventaire de vos traitements et en assurer la conformité en continu
– Informer et sensibiliser en interne (potentiellement jusqu’aux sous-traitants)
– Conseiller votre entité dans les démarches de traitement et la réalisation d’études d’impact
– Contrôler le respect du Règlement et de la législation nationale
– Être le point de contact privilégié des APD
Objectifs de l’étape 1 :
• Désigner un responsable officiel de la mise en conformité en interne (ou externe avec une lettre de mission précise)
• Lui attribuer les moyens humains et financiers pour mener à bien ses missions
Il est indispensable de recenser précisément l’ensemble des traitements, dans l’optique d’établir un registre des activités de traitement et de mise en conformité. La rédaction d’un tel inventaire doit permettre de mesurer l’impact du RGPD sur votre activité.
Il s’agit par exemple de recenser de manière exhaustive les traitements que vous mettez en œuvre, les catégories de données collectées, les objectifs ou finalités de vos traitements ou les acteurs internes et externes. Pour avoir une visibilité sur les transferts Internationaux, une cartographie des flux de données recensera les origines et destinations de chaque flux.
Cela revient à interroger chaque traitement de la sorte : Quoi ? Pourquoi ? Qui ? Comment ? Où ? Et jusqu’à quand ?
Objectifs de l’étape 2 :
• L’établissement d’un document officiel : le registre des activités de traitement, soit :
o Identifier des services et entités de traitement, ainsi que des sous-traitants
o Recenser des traitements, par finalités et types de données (et non par support)
o Recenser des transferts de données
o Recenser les espaces de stockage
o Définir la durée de conservation des données
Une fois la cartographie effectuée, il faudra identifier les actions de mise en conformité pour chacun des traitements, puis les prioriser en termes de risque (données sensibles ou critiques, profilage et larges traitements automatisés, transferts internationaux). Plusieurs points de vigilance sont à garder à l’esprit :
– Vérifier que les collectes soient bien minimisées
– Identifier la base juridique fondant les traitements (consentement, intérêt légitime, …)
– Disposer de mentions d’information légales et de modalités d’exercice des droits des cibles de collectes (accès, rectification, …)
– Passer en revue les clauses avec vos sous-traitants et les briefer sur leurs responsabilités
– Auditer des mesures de sécurité existantes et analyser les écarts
Objectifs de l’étape 3 :
• Analyser les écarts et prioriser les actions de mise en conformité
• Identifier les traitements à risque
Pour chaque traitement comportant des risques élevés, il vous faudra produire une étude d’impact sur la protection des données (« Privacy Impact Assessment » ou PIA). Cette étude doit compléter la cartographie des traitements, renforcer votre sécurité et démontrer le respect des principes fondamentaux du RGPD. Il sera nécessaire de mener en priorité des PIA sur les traitements à haut risque déjà en pratique mais par la suite, cette étude devra être menée avant de commencer la collecte de données sensibles.
L’étude d’impact doit contenir : la description du traitement, ses finalités, l’évaluation de la nécessité et de la proportionnalité du traitement par rapport à votre activité, l’appréciation des risques sur les droits et libertés, et les mesures envisagées pour pallier ces risques.
En ce sens, il existe tout un ensemble de guidelines et de bonnes pratiques composant des mesures envisageables : chiffrage, anonymisation, sauvegardes, tracking, containment, définition d’accès et de rôles a minima, encadrement des tiers, réduction des vulnérabilités propres aux supports (logiciels, matériel, réseau, archives physiques, …). L’adaptation proportionnée est ici l’équilibre à atteindre.
Objectifs de l’étape 4 :
• Rédiger une étude d’impact (PIA) pour les données sensibles
• Mettre en place des mesures et procédures permettant d’identifier et de quantifier systématiquement les risques liés aux traitements sensibles
Il s’agit de maintenir les procédures internes pour garantir une protection optimale tout au long du cycle de traitement des données, en anticipant les événements disruptifs (anomalie, fuite, piratage, demandes d’accès ou de modification voire d’effacement, portabilité, …).
La structuration des processus de protection devra se baser sur la réappropriation de l’approche de « Privacy by Design & by Default », c’est-à-dire la prise en compte des règles de sécurisation des données dès la phase de conception d’un processus, outil ou livrable. Cette étape devra s’appuyer sur les conseils de votre DPO ou d’un partenaire qualifié.
En termes de bonnes pratiques, les éléments suivants sont à étudier : accorder collectes et finalités, définir les durées de conservation maximales, assurer le consentement des cibles et l’existence de mentions d’information, verrouiller la confidentialité des données, vérifier que chaque acteur du traitement connaisse son rôle et ses responsabilités.
Il vous faudra éventuellement créer un plan de communication et de formation en interne pour assurer la remontée efficiente d’informations sur le sujet :
– Traiter les demandes des utilisateurs dans un délai raisonnable (1 mois la plupart du temps).
– Notifier en moins de 72h les cas de violation des données.
Objectifs de l’étape 5 :
• Intégrer les réflexes et bonnes pratiques au sein de vos services de traitement
• Disposer de procédures internes claires, définissant ce qu’il faut faire et à qui s’adresser en cas d’incident ou de doute, pour l’ensemble de votre structure
La dernière étape vise à bâtir et regrouper une documentation de mise en conformité. C’est la consolidation de l’ensemble de vos actions et documents des étapes précédentes, afin de pouvoir les examiner ou les actualiser aisément et assurer une protection en continu.
La constitution du dossier documentaire passera par :
– La cartographie des traitements : le registre des activités de traitement pour les responsables de traitement et les catégories d’activités de traitement pour les sous-traitants, les PIA pour les traitements à risque, le cadrage des transferts de données internationaux
– La responsabilité envers les cibles de collecte : les mentions d’information, le recueil du consentement explicite, les procédures d’exercice des droits des cibles de collecte
– La définition des rôles de chaque acteur des traitements : communication et formation en interne, vérification des clauses avec les sous-traitants, définition de procédures internes en cas de violations, …
Objectifs de l’étape 6 :
• Disposer d’une solide base documentaire justifiant vos traitements, facilitant son actualisation régulière et prouvant votre mise en conformité en cas de demande des autorités de contrôle
En synthèse, cette démarche vise à identifier et réduire les écarts entre la réalité actuelle de vos traitements et les attentes définies par le RGPD. Le RGPD est une opportunité qui permet de rationaliser vos traitements et d’instaurer de bonnes pratiques valorisées à l’international. La mise en conformité avec le RGPD vous assurera ainsi une image de sérieux et de tiers de confiance, tant vis-à-vis des cibles de vos collectes que de vos partenaires.
Bien entendu, la législation ne restera pas figée mais sera encore amenée à évoluer comme elle le fait depuis plus de 40 ans. A ce titre, il apparait fondamental de pouvoir identifier et mobiliser un DPO et des équipes proactifs, aptes à anticiper les évolutions futures et renouveler les pratiques pour corriger les trajectoires, obtenir un avantage concurrentiel, soigner son image de marque et ne pas se retrouver au pied d’un mur technologique si ce n’est législatif.
Pour aller plus loin :
CNIL – Professionnel
CIL CNRS – Guide
AFCDP
CABINET DE PARIS
CABINET DE LAUSANNE
Vous pouvez accéder le replay du webinar « Bien choisir son SIRH en 2021 » en cliquant sur le bouton ci-dessous :