STRUCTURER LA CONFORMITÉ

La mise en ouvre d'un programme de conformité dans une entreprise, quelle que soit sa taille,  s'insère dans une logique de compliance qui nécessite pour les responsables de traitements et les sous-traitants de s'organiser durablement.

ORGANISER DES ACTIONS EN PHASE AVEC L'OBJECTIF D'ACCOUNTABILITY

Besoin d'aide 

La conformité est désormais internalisée dans les organismes, ce qui justifie de prendre des mesures internes pour structurer la conformité.

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de suivre une démarche s'articulant autour de six axes structurants pour disposer d'un dispositif de conformité, structuré, crédible et fiable  :

  1. Désigner un pilote interne (DPO facultatif ou obligatoire, collaborateur non DPO ...)

  2. Recenser précisément les traitements de données personnelles (Cartographie)

  3. Identifiez les actions à mener pour se conformer aux obligations (Prioriser)

  4. Réaliser des analyses d'impact relative à la protection des données (AIPD) requiqses par les textes

  5. Organiser les processus internes 

  6. Documenter la conformité avec les différents registres

En s'appuyant sur la structuration de la conformité, et s'assurer qu'ils intègrent un véritable programme de conformité, les responsable de traitements et les sous-traitants doivent déployer six réflexes traduisant l'existence d'une culture RGPD appliquée dans les projets pour valider les traitements et les risques :

  1. Collecter les données vraiment nécessaires (Minimisation)

  2. Apporter aux personnes une information claire et complète (Transparence) 

  3. Répondre dans les meilleurs délais aux demandes des personnes (Respect des droits)  

  4. Encadrer et contractualiser le partage et la circulation des données (Maîtrise) 

  5. Appliquer des mesures spécifiques en cas de traitement de données en masse, de données ou d'activités sensibles (Gestion des risques) 

  6. Adapter la sécurité informatique et physiques en fonction de la sensibilité des données et des risques en cas d’incident (Sécurité).

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des mesures à adopter pour aboutir à la mise en place d'une feuille de route concrète,

  • La désignation d'un pilote de la gouvernance des données personnelles engendre une mission d’information, de conseil et de contrôle en interne, qui peut être un DPO

  • L'élaboration du registre des traitements basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l'organisme

  • L'approche par les risques préconisée par le RGPD vise à prioriser les actions au regard des risques que feraient peser des traitements sur les droits et les libertés des personnes concernées  

  • La mise en place de procédures internes permet de prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire)

  • La formalisation des référentiels applicables aux traitements et l'intégrer les cadres de référence de la CNIL conditionne la qualité de la conformité

  • La réalisation d'une AIPD est complémentaire de la constitution des analyses courantes et documentées des traitements qui doivent être formalisées à chaque étape des traitements et réexaminés/actualisés régulièrement pour assurer une validation continue des traitements.

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris