ORGANISATION DE LA CONFORMITÉ

Le RGPD crée un nouveau paradigme homogène dans toute l'Union européenne. La protection des données s'insère dans une logique de compliance qui nécessite pour les responsables de traitements et les sous-traitants de s'organiser durablement.

DÉPLOYER DES ACTIONS EN PHASE AVEC L'OBJECTIF D'ACCOUNTABILITY

La conformité est désormais internalisée dans les organismes, la CNIL ayant une mission d'accompagnement, de contrôle de l'accountability et de sanction

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de suivre une démarche s'articulant autour de six axes structurants pour disposer d'un dispositif de conformité crédible et fiable  :

  1. Désigner un pilote interne (DPO facultatif ou obligatoire, collaborateur non DPO ...)

  2. Recenser précisément les traitements de données personnelles (Cartographie)

  3. Identifiez les actions à mener pour se conformer aux obligations (Prioriser)

  4. Réaliser des analyses d'impact relative à la protection des données (AIPD) requiqses par les textes

  5. Organiser les processus internes 

  6. Documenter la conformité avec les différents registres

En s'appuyant sur la structuration de la conformité, les responsable de traitements et les sous-traitant doivent déployer six réflexes traduisant l'existence d'une culture RGPD :

  1. Collecter les données vraiment nécessaires (Pertinence)

  2. Apporter aux personnes une information claire et complète (Transparence) 

  3. Répondre dans les meilleurs délais aux demandes des personnes (Respect des droits)  

  4. Encadrement et contractualisation du partage et la circulation des données (Maîtrise) 

  5. Application de mesures spécifiques en cas de traitement de données en masse, de données ou d'activités sensibles (Gestion des risques) 

  6. Adaptation de la sécurité informatique et physiques en fonction de la sensibilité des données et des risques en cas d’incident (Sécurité).

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des mesures à adopter pour aboutir à la mise en place d'une feuille de route concrète,

  • La désignation d'un pilote de la gouvernance des données personnelles engendre une mission d’information, de conseil et de contrôle en interne, qui peut être un DPO

  • L'élaboration du registre des traitements basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l'organisme

  • L'approche par les risques préconisée par le RGPD vise à prioriser les actions au regard des risques que feraient peser des traitements sur les droits et les libertés des personnes concernées  

  • La mise en place de procédures internes permet de prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire)

  • La formalisation des référentiels applicables aux traitements et l'intégrer les cadres de référence de la CNIL conditionne la qualité de la conformité

  • La réalisation d'une AIPD est complémentaire de la constitution des analyses courantes et documentées des traitements qui doivent être formalisées à chaque étape des traitements et réexaminés/actualisés régulièrement pour assurer une validation continue des traitements.

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris