Démontrer la conformité avec le nouveau règlement européen sur la protection des données à caractère personnel est ce qu’on appelle un défi des temps modernes pour toute entreprise qui opère des traitements de données pouvant engendrer des risques importants sur le respect des droits et libertés des ressortissants européens. Quelle solution RGPD adopter alors pour faciliter la mise en conformité ?

 

 

L’importance de la nomination d’un Délégué

Cela fait partie des principales exigences de la CNIL. En effet, un Délégué à la Protection des Données ou Data Protection Officer en anglais est le chef d’orchestre qui sera en charge d’assurer la mise en conformité avec le RGPD. Désigner un délégué peut se faire au sein de l’entreprise même (dans ce cas il est salarié) ou bien en externe. La seconde option est la plus conseillée en termes de budget et de compétences.

Voici les principales attributions du DPO :

  • Il doit conseiller et guider les responsables de traitement de données à caractère personnel, tout comme le sous-traitant et les employés.
  • Il doit faire un suivi régulier et systématique de la gestion des données pour s’assurer de la sécurisation des données.
  • Il doit être le point de contact avec la CNIL ou toute autre autorité de contrôle.
  • Il doit conduire les audits, notamment l’analyse d’impact pour les entités qui opèrent des traitements pouvant engendrer un risque pour la protection des données sensibles des personnes concernées.

 

 

La cartographie des traitements et la gestion des risques

Pour cela, il faut se référer au registre de traitements de données. La cartographie permettra de mesurer l’impact du RGPD sur l’activité de l’entreprise. Ainsi, le DPO pourra déterminer si les nouvelles obligations sont respectées. Cartographier les données implique de recenser les différents types de traitement de données, leurs objectifs et les finalités de chaque opération.

Par ailleurs, il est important d’informer les personnes concernées sur le droit à l’oubli, la durée de conservation et les différentes personnes qui seront en charge du traitement de leurs données. Vous devrez donc par la même occasion identifier les prestataires sous-traitants pour mettre à jour les clauses de confidentialité. Plus d’informations sur la solution RGPD.

Quant à la gestion des risques, elle consiste à faire une analyse d’impact relative à la protection des données collectées. Elle vise à mettre en place un traitement qui garantira la sécurité des données. Pour mener à bien l’analyse d’impact, les personnes suivantes jouent un rôle : le responsable de traitement pour valider le plan d’action établi par le Délégué à la Protection des Données, les sous-traitants qui fournissent les données nécessaires à l’élaboration du plan d’action et bien sûr les personnes concernées qui devront donner leur avis.

 

 

Une meilleure organisation des processus internes

La protection des données personnelles intervient à toutes les étapes de l’activité de l’entreprise. C’est pourquoi une meilleure organisation des processus internes est une façon de garantir le respect des droits des personnes en matière de protection. En effet, dès la conception de l’application d’un traitement, il faut se soucier de la sécurité des données.

Par ailleurs, il est important de construire un plan de formation auprès des collaborateurs pour organiser la remontée d’information. En outre, les demandes et les réclamations des personnes concernées quant à l’exercice de leurs droits sur les données doivent être traitées. Enfin, il est important d’anticiper toute violation de données. Dans ce cas, la CNIL ainsi que les personnes concernées devront en être informées dans les 72h qui suivent l’incident.

 

Bref, pour que la mise en conformité RGPD soit réussie, tout repose sur les compétences du DPO. Vous devez donc commencer par la désignation d’une personne qualifiée.