La mise en place du Règlement Général sur la Protection des Données (RGPD) a poussé les organismes et les entreprises à procéder à une mise en conformité de leur traitement de données à caractère personnel. Son entrée en vigueur a notamment contribué à mettre en œuvre certaines mesures pour garantir le respect de la règlementation.
Tout savoir sur la mise en conformité des données
Les grands principes du RGPD
La règlementation sur la protection des données à caractère personnel est régie par 5 principes fondamentaux :
- le principe de respect des droits et libertés des personnes ;
- le principe de sécurité et de confidentialité ;
- le principe concernant la durée de conservation limitée ;
- le principe de proportionnalité et de pertinence ;
- le principe de finalité.
Qu’est-ce qu’une mise en conformité RGPD ?
Une mise en conformité RGPD consiste en une mise en œuvre des différents moyens nécessaires afin de faire respecter les principes imposés par la réglementation relative à la sécurité des données. Pour en savoir plus, voir ce site sur la conformité des données. Le concept de « Données Personnelles » est d’ailleurs expliqué dans l’article 4 du RGPD : sont considérées comme données personnelles toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Ensuite, le RGPD en son article 5 impose au responsable chargé du traitement de respecter le principe « d’Accountability ». Ce principe sert principalement à engager la responsabilité du responsable du traitement concernant le respect des différentes règles relatives au traitement et à la collecte de données personnelles.
Les acteurs concernés par le RGPD
Le RGPD en son article 3 définit son champ d’application. Selon l’article 3, le RGPD a comme champ d’application l’ensemble des organismes, publics ou privés, qui traitent des données à caractère personnel. Le règlement européen ajoute une autre règle comme quoi : seuls les entreprises ou organismes dont l’activité est établie sur le territoire de l’Union Européenne, et dont l’activité est réservée exclusivement aux résidents européens, sont concernés par le RGPD.
Les différents moyens de s’assurer de la mise en conformité RGPD
La désignation d’un DPO
Le « Data Protection Officer » (DPO), ou Délégué à la Protection des Données (DPD), a pour principal rôle d’assurer le respect du RGPD au sein de l’organisme dans lequel il est affilié. Sa désignation est obligatoire et il agit comme étant un intermédiaire avec les autorités de contrôle (le CNIL), mais aussi comme un véritable meneur des démarches de protection des données. Il est également chargé d’effectuer l’inventaire des traitements de données collectées par l’organisme. Lors de sa désignation, l’entreprise doit notamment s’assurer que le DPO possède les moyens humains et financiers nécessaires pour mener à bien ses missions.
Etablir une cartographie des traitements de données personnelles
Il est très important que l’organisme puisse suivre les différentes étapes du traitement des données personnelles. Pour cela, il est conseillé d’effectuer un recensement précis de ces derniers, afin de pouvoir établir par la suite un registre que le délégué à la protection peut consulter à tout moment.
Ce document doit contenir :
- une documentation précise des différents traitements ;
- la nature des données collectées et traitées ;
- les objectifs de la récolte de données et leurs finalités ;
- l’ensemble des acteurs chargés de la collecte et du traitement des données, y compris les sous-traitants ;
- l’origine des données et leur destination, sans oublier les éventuels transferts hors UE.
S’assurer que le traitement des données ne comporte aucun risque
Pour pouvoir déterminer si le traitement des données comporte des risques ou non, il est nécessaire de procéder à une analyse d’impact par DPIA (Data Protection Impact Assessment). Cette mesure a pour but de s’assurer que le traitement ne porte aucune atteinte aux droits de la personne concernée, conformément à la loi informatique et libertés.
