Le RGPD introduit un certain nombre d’obligations nouvelles qui nécessitent de se préparer très en amont. Voici un panorama des principales mesures que vous devez mettre en place pour le 25 mai 2018.
1. Nommer un Délégué à la Protection des Données (DPD, ou DPO pour Data Protection Officer en anglais).
Vous êtes un organisme public, une entreprise dont l’activité impose de réaliser un suivi régulier et systématique des personnes «à grande échelle» ou encore une organisation qui traite des données dites «sensibles» ou relatives à des condamnations pénales et infractions ? Alors vous aurez l’obligation de nommer un DPD chargé de piloter la gouvernance des données personnelles de votre structure. Son rôle, tel que défini par le RGPD, est de recueillir des informations relatives aux données que vous détenez, d’analyser et de vérifier la conformité de vos activités de traitement. Il doit également informer, conseiller ou adresser des recommandations au responsable du traitement (en interne) ou au sous-traitant. En revanche, le dépôt de fichier à la CNIL n’est pas nécessaire. –> Ce délégué peut être une personne assurant déjà une responsabilité dans l’entreprise, mais sa fonction ne doit pas entrer en conflit d’intérêt avec sa mission de délégué. À noter également que ce poste peut être mutualisé (entre plusieurs entités) où être assuré par un consultant externe. En attendant le 25 mai 2018, vous pouvez désigner un «correspondant informatique et libertés» qui réalisera le travail préparatoire nécessaire pour être en conformité avec le RGPD et pourra devenir le futur DPD.
2. Respecter le principe de protection des données et de la vie privée dès la conception et par défaut
Le RGPD introduit deux notions concernant la protection des données : la protection dès la conception et la protection de la vie privée par défaut. a) Protection des données dès la conception (Privacy by design) Le RGPD impose désormais que les données personnelles soient protégées dès la conception d’un projet (Privacy by design en anglais). Charge au DPD de prendre les mesures techniques et organisationnelles appropriées pour assurer le respect des droits des personnes et pour garantir la conformité du traitement mis en œuvre (procédure, cahier des charges, dispositif permettant de s’assurer de la conformité, outils adéquats, actions adaptées). b) Protection de la vie privée par défaut (Privacy by default) Un principe qui garantit, par défaut, le plus haut niveau de protection de la vie privée possible. Ainsi, lors d’une collecte d’informations, le RGPD impose que seul le minimum de données indispensables au traitement soit requis. En outre l’information ne doit servir qu’à une seule finalité, elle ne doit pas être conservée plus que le temps nécessaire à la réalisation de son objectif et le nombre de personnes habilitées à accéder aux données doit être limité au strict minimum. Exemple : – Impossible d’utiliser une date de naissance pour vendre un produit lié à l’âge alors qu’initialement la date avait été demandée au client pour vérifier qu’il était majeur. – Minimiser le nombre et la nature des données collectées en proposant de préférence des menus déroulants ou des cases à cocher plutôt que les zones de commentaires libres dans les formulaires. – Pseudonymiser les données (consiste à s’assurer que les données sont conservées sous une forme ne permettant pas l’identification directe d’un individu sans l’aide d’informations supplémentaires) à chaque fois que leur exploitation sous une forme identifiante n’est pas indispensable. – Mise en place d’un mécanisme de purge automatique des bases à l’issue de la durée de conservation nécessaire à la réalisation de la finalité.
3. Avoir une vision globale des traitements
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles afin de constituer un «Registre des traitements». Ce registre ne concerne que les entreprises de plus de 250 salariés et les entreprises de toutes tailles si le traitement est régulier, comporte un risque pour les droits et les libertés des citoyens et/ou porte sur des données sensibles ou des casiers judiciaires. Consignez dans un document formel les traitements de données personnelles dont vous disposez (pas forcément numériques), et listez : • la finalité du traitement ; • le type de données traitées ; • le responsable de leur traitement, y compris si c’est un sous-traitant ; • le pays où elles sont stockées et/ou transférées ; • les mesures de sécurités mises en œuvre ; • le temps de conservation. Ce document doit évidemment être mis à jour à chaque modification dans le recueil des données personnelles et doit être présenté en cas de contrôle par l’autorité chargée de faire respecter le RGPD (en France, la CNIL).
4. Gestion des risques et sécurité des données
Le RGPD exige de prendre en compte les divers risques liés à la conservation de données personnelles et d’informer les parties prenantes en cas de violation. a) Étude d’impact sur la vie privée (EIVP ou PIA pour Privacy Impact Assessment en anglais) Avant de collecter des données et de mettre en œuvre le traitement ou pour tout traitement de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées (ex. : sollicitations non désirées, sentiment d’atteinte à la vie privée, etc.), vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données. L’enjeu est d’apprécier les risques du point de vue des personnes concernées. –> Un risque est un scénario qui combine une situation crainte (atteinte de la sécurité des traitements et ses conséquences) avec toutes les possibilités qu’elle survienne (menaces sur les supports des traitements). On estime son niveau en termes de gravité (ampleur et nombre des impacts) et de vraisemblance (possibilité/probabilité qu’il se réalise).
