Cet article est tiré de notre webinaire « Êtes-vous sûr de la conformité RGPD de votre entreprise ? » en collaboration avec Fidal, retrouvez le replay ici.
Rappel des obligations pour être en conformité RGPD
Le RGPD (Règlement Général sur le Protection des Données) est entré en application le 25 mai 2018. Ce Règlement vous oblige à respecter un ensemble d’obligation dont notamment :
- Le respect des principes généraux est essentiel pour être en conformité RGPD
- Limitation de la durée de conservation, les données doivent avoir une durée de vie définie en amont de la collecte
- Intégrité et confidentialité, les données doivent bénéficier de mesures de sécurité afin d’éviter les violations de données
- Principe de minimisation, seules les données nécessaires au traitement doivent être collectées
- Principe d’exactitude, les données doivent être exacte
- La détermination d’une base juridique, y compris pour le traitement des données dites sensibles. Les bases légales sont au nombre de 6 :
- L’exécution d’un contrat
- Le respect d’une obligation légale
- Sauvegarde des intérêts vitaux
- Exécution d’une mission d’intérêt public
- Intérêt légitime du responsable de traitement
- Le consentement
- Le respect des modalités de consentement (s’il s’agit de la base juridique retenue) qui doit être libre, éclairé, univoque et spécifique.
Il est également important de réaliser des revues de conformité RGPD afin de s’assurer du maintient de la conformité dans le temps.
Revue de conformité
La première urgence sera de faire un état des lieux global et rapide de l’entreprise face au règles informatiques et libertés.
La CNIL préconise la mise en place d’un plan d’action en 6 étapes pour être en conformité RGPD :
- Désigner un pilote : en interne, une personne doit être désignée comme pilote de cette mise en conformité, la personne ne doit pas nécessairement être nommée DPO
- Cartographier les traitements : cela permettra d’auditer les services pour recenser les fichiers, identifier les sous-traitants qui interviennent, établir le registre des traitements
- Prioriser les actions : mise en place de la procédure concernant le droit des personnes, définir des politiques de durée de conservation…
- Gérer les risques : mener des analyses d’impacts (notre article sur comment réaliser un PIA), encadrer les transferts de données, mise en place de politique de sécurité des données
- Organiser la gouvernance : sensibiliser la direction et les principaux services, élaborer une procédure d’incident de sécurité, déployer les actions correctives principales
- Documenter la conformité : tenir à jour le registre des traitements, rédiger les rapports, conserver les preuves grâce notamment à une solution logicielle qui permet de tenir simplement les procédures obligatoires.