Depuis mai 2018, et l’obligation d’être en conformité pour la totalité des entreprises, collectivités ou encore associations, les offres de solutions informatiques dédiées à la conformité RGPD ont fleuri partout en Europe.
Afin de vous permettre de disposer de toutes les cartes pour un investissement pertinent, nous vous proposons un panorama non pas des solutions déjà trop nombreuses, mais un tour d’horizon de vos réelles obligations et donc de vos besoins.
Commençons par rappeler vos obligations en tant que responsable de traitements ou sous-traitants :
-
Protéger les données par la mise en œuvre de mesures techniques et organisationnelles
Cela se traduit concrètement par la mise en place de règles internes et de procédures qui seront les vôtres, adaptées à vos contraintes et obligations.
Les questions à se poser : comment mettre le principe de respect de la vie privée au cœur de mes processus de travail ? Mes sous-traitants font-ils de-même ?
-
Protéger les données dès la conception
Il faut avant tout nouveau projet, par exemple de prospection commercial, de lancement de nouveau produit, de rénovation de votre site web, de déménagement de vos locaux, penser « RGPD » et respect de la vie privée.
La question à se poser en amont de chaque évolution : mon projet est-il en phase avec les différents aspects du RGPD ?
-
Protéger les données par défaut
C’est faire en sorte que l’on capte et utilise les données personnelles strictement nécessaires à l’objectif visé.
La question à se poser pour chaque type de données : ai-je vraiment besoin de cette information ?
-
Tenir des registres des activités de traitement
Le RGPD impose une création documentaire permettant de démontrer la conformité en cas de contrôle. C’est le premier document demandé par la CNIL, il doit être complet et tenu à jour.
Les questions à se poser : Où sont les données dont j’ai besoin ? Qui les traite pour atteindre mes objectifs ?
-
Sécuriser les données et les traitements
C’est ce point, et uniquement ce point, qui parle de sécurité. Et comme les données sont traitées principalement par le biais de matériel numérique, cela touche à la cybersécurité, et à la formation des employés qui manipulent les données. Mais cela concerne également la sécurité des locaux où sont conservées les données.
Les premières questions à se poser : mes locaux et bureaux ferment-ils à clef ? Ai-je déjà un antivirus sur mon parc informatique ? Est-ce que mes employés travaillent en lieux publics ou télé-travaillent ?
-
Notifier les violations de données à la CNIL dans les 72 heures
Voilà l’épouvantail ! Cette obligation a pour but de contraindre les responsables afin qu’ils testent leurs mécanismes de défense, comme ils testent les procédures en cas d’incendie.
Attention ! il ne s’agit pas de sécurité au sens strict : il est de notoriété publique que la grande question n’est pas « sommes-nous capables d’éviter une fuite de données ? » Mais en réalité « quand est-ce que nous allons la subir ? »
Attention bis ! « Notifier dans les 72h. » à partir du moment où l’on prend connaissance de la fuite, et non à partir du moment ou la violation survient. Méfiez-vous des discours volontairement alarmistes…
La question à se poser : quel est mon « exercice incendie » concernant les fuites de données ?
-
Désigner un délégué à la protection des données (Data Protection Officer)
Il s’agit du nouveau métier garant de la conformité, et sa présence permet de démontrer la démarche dynamique de la structure. Sa désignation à la CNIL est obligatoire dans certains cas.
Les questions à se poser pour vérifier l’obligation : ma structure est-elle publique ? Traite t’elle des données massivement ? Traite t’elle des « données sensibles » ?
Si les réponses sont négatives, vous n’êtes pas obligé de le désigner auprès de la CNIL, mais cela ne vous soulage pas des obligations précédentes. Selon votre organisation, il est recommandé de se faire accompagner par un consultant, donc pourquoi pas se doter tout de même d’un DPO ?
Les questions à se poser : est-ce que mon activité mérite cette sécurité ? Ai-je intérêt à donner confiance à mes clients ? A mes partenaires ? Vais-je répondre à des appels d’offres publics ? Malgré ma non-obligation, est-ce qu’une vrai démarche de conformité peut constituer un avantage concurrentiel ?
-
Encadrer les transferts de données hors de l’Union européenne
Les données à caractère personnel des citoyens européens peuvent circuler librement au sein de l’UE, à condition que les responsables de traitement respectent les règles communes, ce qui offre aux citoyens un plus grand contrôle de leur vie privée. Pour garantir ce contrôle, les transferts doivent être encadrés.
Les questions à se poser : est-ce que j’utilise des solutions numériques d’entreprises dont le siège est basé hors de l’UE ?
