6 étapes pour appliquer le RGPD

Le Règlement Général sur la Protection des Données ou RGPD, vous en avez forcément entendu parler. Cependant, dans sa mise en application au sein de votre organisme, vous ne savez peut-être pas vraiment comment vous y prendre. Voici 6 étapes à suivre pour bien appliquer le RGPD.

Le rôle du DPO est celui d’un véritable chef d’orchestre dans la mise en place du RGPD. Ses principales missions sont les suivantes :

• Informer le(s) responsable(s) de traitement ainsi que les employés,
• Conseiller l’organisme sur l’étude d’impact sur la protection des données,
• Contrôler le bon respect du règlement en interne.

La cartographie vous permet d’établir un véritable état des lieux de vos traitements et de vous assurer que ceux-ci respectent bien le RGPD. Pour cela, vous devez recenser :

• Vos traitements de données à caractère personnel,
• Les catégories de données traitées ainsi que le temps de conservation de ces informations,
• Les objectifs de chaque traitement,
• Les intervenants internes ou externes ayant accès et utilisant ces informations,
• Les lieux de stockage ainsi que les éventuels flux de données en indiquant leur pays d’origine et de destination (UE ou hors UE).

La cartographie réalisée dans l’étape 2 vous permettra d’identifier plus facilement les traitements dits « à risque ». Une fois cette action effectuée, vous devrez prendre les mesures nécessaires afin de protéger les personnes concernées par ceux-ci.

Pour cela :

• Assurez-vous que seules les informations nécessaires à l’exercice de votre activité sont collectées et traitées.
• Vérifiez vos mesures de sécurité ainsi que la bonne connaissance du règlement de la part de vos sous-traitants.
• Anticiper les éventuelles demandes des personnes dont vous traitez les données : droits d’accès, droit de rectification, droit à la portabilité, etc.

L’outil PIA (Privacy Impact Assessment), disponible au téléchargement sur le site de la CNIL, vous permettra de réaliser une étude d’impact sur tous vos traitements pouvant générer des risques élevés pour les droits des personnes concernées.

Cette analyse vous sera utile pour définir des actions correctives sur vos traitements risqués ou non sécurisés.  Elle doit également être réalisée avant la collecte de nouvelles données.

La mise en place de procédures internes est nécessaire pour garantir la sécurité des données à caractère personnel que vous traitez, tout en prenant en compte tous les évènements qui peuvent survenir durant leur traitement (modifications des données, demande d’accès à celles-ci, faille de sécurité, etc.).

Vos collaborateurs doivent être informés et sensibilisés à leurs nouvelles obligations provenant du RGPD. En cas d’incident, ils doivent tout de suite savoir quoi faire et à qui s’adresser.

Afin de pouvoir prouver le bon respect du RGPD lors de vos traitements de données, il est nécessaire de constituer un dossier documentaire. A cet effet, vous devez regrouper les documents suivants :

• Les contrats définissant les rôles et responsabilités de chaque acteur (contrat avec vos sous-traitants, procédures internes, etc.).
• Les documents sur vos traitements de données à caractère personnel (analyses d’impact, votre registre des traitements, etc.).
• Les informations sur les personnes (procédures mises en place, recueil de consentements, etc.).

Soyez serein face à la mise en application du RGPD en déployant les actions nécessaires au sein de votre organisme. Il est également important de vous informer des éventuelles évolutions du règlement et d’adapter votre organisation de façon récurrente.