Le RGPD : Quelles conséquences pour les entreprises françaises ?
Le Règlement européen 2016/679 sur la Protection des Données personnelles (RGPD) sera directement applicable dans l’ensemble des États membres le 25 mai 2018, voir l’article Le règlement général sur la protection des données.
Ce règlement est d’application immédiate, les entreprises doivent donc se mettre en conformité au plus tard le 24 mai 2018.
Sont concernés par ce règlement tous les responsables de traitement lorsque le traitement des données à caractère personnel est effectué sur le territoire de l’Union européenne, lorsque le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union européenne, et lorsque les personnes concernées par le traitement sont des citoyens ou ressortissants européens.
- Les 6 étapes pour se mettre en conformité
La CNIL a développé une méthodologie pour se préparer au mieux à la mise en place de ce règlement européen.
- La désignation d’un délégué à la protection des données.
Un délégué sera désigné pour piloter la gouvernance des données personnelles et sera chargé de vérifier la bonne application du règlement européen sur la protection des données au sein de l’entreprise.
Le délégué à la protection des données devra faire remonter les manquements qu’il constate. Mais il aura également un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement.
Cette désignation sera obligatoire dans tous les organismes « dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle » mais également ceux « dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions » ainsi que les autorités publiques.
- La cartographie des traitements de données personnelles
Le recensement du traitement de données personnelles se fera par l’élaboration d’un tableau de bord ou d’un registre, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités.
- Identifier les actions prioritaires
Sur la base de la cartographie ou du registre des traitements, il convient de prioriser les actions à mener dans le cadre du RGPD, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.
- La gestion des risques
Cette étape vise la nécessité de réaliser une analyse d’impact si des traitements de données personnelles à haut risque sont identifiés, notamment si 2 des critères suivants sont applicables : évaluation ou notation, décision automatisée avec effet juridique ou effet similaire significatif, surveillance systématique, données sensibles ou données à caractère hautement personnel, données personnelles traitées à grande échelle, croisement d’ensembles de données, données concernant des personnes vulnérables, usage innovant ou application de nouvelles solutions technologiques ou organisationnelles, exclusion du bénéfice d’un droit, d’un service ou contrat.
- La mise en place de processus de protection de données personnelles
Pour assurer un haut niveau de protection des données personnelles en permanence, il convient de mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
- La documentation de la conformité
L’entreprise doit conserver des preuves de la conformité, regrouper et mettre à jour la documentation, avec les éléments suivants :
-
- Le registre des traitements ;
- Les analyses d’impact le cas échéant ;
- Les outils d’encadrement des flux transfrontaliers tels que les clauses contractuelles types, BCR et certifications ;
- L’information aux personnes (mentions d’information, modèles de recueil du consentement des personnes, les procédures pour l’exercice des droits des personnes) ;
- Les contrats définissant les rôles et responsabilités des acteurs (contrats avec les sous-traitants, procédures en cas de violation de données, les preuves du consentement des personnes lorsqu’un traitement de données repose sur celui-ci).
Enfin, la CNIL recommande de conserver les justificatifs de la mise en conformité afin, si nécessaire, de pouvoir prouver la bonne foi de l’entreprise.
Ce processus de mise en conformité étant complexe, il est recommandé aux entreprises de ne pas attendre le dernier moment et de se pencher sur cette question dès aujourd’hui afin d’éviter les sanctions en cas de non-conformité.