Le 25 mai 2018, une nouvelle loi va entrer en vigueur concernant le règlement général sur la protection des données. Comment le mettre en place concrètement dans votre entreprise et être prêt pour le 25 mai ? Cliquez ici pour lire notre article sur l’origine du RGPD, les sanctions possibles et les solutions apportées par une GED.

Dans le présent article, nous vous présentons les mesures principales du RGPD décryptés en actions concrètes à mettre en place dans votre organisation.

15 actions concrètes :

Les obligations du RGPDLes mesures à mettre en placeLes actions concrètes
Désigner un Délégué à la Protection des données (obligatoire dans les établissements du secteur public, dans les entreprises qui effectuent un suivi régulier et systématique des personnes à grande échelle ou qui traitent des données sensibles à grande échelle).
Il est obligatoire de désigner un DPO (Data protection officer) dans les organisations indiquées, mais il est fortement recommandé pour toutes les organisations.
Le DPO est chargé de mettre en œuvre la conformité au RGPD, d’informer l’organisation et ses employés, de conseiller sur la réalisation des études d’impact, et est le point de contact de la CNIL.
● Préparer une annonce de recrutement
● Rédiger la fiche de poste
● Informer les salariés (mail, affiche)
● Prévoir une réunion régulièrement entre le DPO et la direction
● Informer les utilisateurs de votre site des coordonnées du DPO et du responsable de traitement
Fournir des informations complètes aux personnes concernées lors de la collecte de leurs données personnelles.
Les informations fournies doivent être notamment : l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données, les finalités et la base juridique du traitement, les destinataires des données, la durée de conservation des données, l'existence du droit de demander la gestion de ses données et d’introduire une réclamation.
Délai : au moment où les données en question sont obtenues
● Rédiger et publier les informations concernées sur votre site internet et sur vos formulaires de demandes de données.
Recueillir le consentement des moins de 16 ans auprès du titulaire de l’autorité parentale.
Vous devez vous efforcer "raisonnablement" de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale, compte tenu des moyens technologiques disponibles.● Modifier vos formulaires de demandes de données : ajouter la demande de signature numérique par le titulaire de la responsabilité parentale dès que l’utilisateur indique avoir moins de 16 ans.
Mettre à disposition à la demande toutes les données concernant une personne (droit d’accès).
Sur présentation d’une pièce d’identité, toutes les données personnelles concernant une personne doivent être transmises par courrier, par voie électronique, ou oralement si la demande en est faite. L’information doit être claire, intelligible et aisément accessible.
Délai : 1 mois (2 mois en cas de demandes complexes)
● Ajouter sur votre site un formulaire de demande d’accès aux données pour les utilisateurs, et un bouton d’ajout du scan de la pièce d’identité
● Mettre en place un processus d’envoi des données par mail
Permettre aux personnes de récupérer les données automatisées qu’elles ont fournies sous une forme aisément réutilisable (droit à la portabilité).
Via une procédure d’authentification, les personnes doivent pouvoir récupérer les données qu’elles ont fournies (hors papier) dans un format « structuré, couramment utilisé et lisible par machine ».
Délai : « raisonnable et adapté au contexte »
● Ajouter sur votre site un formulaire de demande d’envoi des données pour les utilisateurs, accessible par identifiant et mot de passe
● Mettre en place un processus d’envoi automatique des données en format XML, JSON ou CSV
Veiller à limiter la quantité de données traitée dès la conception du produit ou du service et par défaut (logique de responsabilisation).
En termes d’organisation interne, de configuration des services ou des produits et de nature et volume de données traitées, vous devez mettre en place des processus et mesures permettant de garantir dès la conception une protection optimale des données et une minimisation de la collecte. Il vous faut donc redéfinir les données essentielles dont vous avez besoin dans chaque contexte.● Redéfinir les types de données à collecter en fonction des demandes
● Mettre à jour vos formulaires de demandes de données
Pouvoir apporter la preuve du consentement des personnes concernées par le traitement des données.
Vous devez conserver les déclarations écrites, les mails, les formulaires en ligne ou les signatures numériques prouvant que la personne a consenti au traitement de ses données dans un cadre défini.● Faire des copies écran des mentions indiquant que la personne accepte le traitement de ses données
● Enregistrer les appels si une preuve écrite n’est pas possible
● Prendre en photo si le support n’est pas numérisé (exemple : événement)
● Rassembler sur une plateforme unique les preuves
Sécuriser le traitement des données grâce à des mesures techniques et organisationnelles appropriées.
Vous devez garantir un niveau de sécurité adapté au risque, notamment grâce à : la pseudonymisation et le chiffrement des données personnelles ; en garantissant la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes de traitement ; en permettant de rétablir la disponibilité et l’accès aux données dans des délais appropriés en cas d'incident ; une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures.● Revoir la sécurité globale de vos systèmes
● Mettre en place un cryptage des données pour qu’elles ne soient pas déchiffrables en cas de vol
● Mettre en place une solution de sauvegarde de vos données en cas d’incident
● Effectuer des tests de sécurité réguliers
Pouvoir apporter la preuve de conformité des mesures de protection des données (logique de responsabilisation).
Vous devez documenter les mécanismes et procédures internes mises en place pour votre conformité : ces documents serviront de preuves.
L'application d'un code de conduite approuvé ou d'un mécanisme de certification peut également servir d'élément pour démontrer le respect des exigences.
● Créer un document décrivant toutes les mesures prises pour sécuriser les données
● Le mettre à jour régulièrement
● Candidater aux labels CNIL pour être certifié
Tenir un registre des activités de traitement des données, obligatoire pour la plupart des organisations.
Ce registre concerne :
- toute organisation de + 250 employés
- les organisations qui effectuent un traitement non occasionnel de données (exemple : traitement régulier de données lié à la gestion du personnel, des fournisseurs ou de la clientèle)
- les organisations qui effectuent un traitement avec un risque pour les droits et des libertés des personnes concernées
- les organisations qui traitent des données sensibles

Le registre contient notamment : le nom et coordonnées du responsable du traitement, les finalités du traitement, les catégories de personnes / données / destinataires, les transferts vers un pays tiers ou à une organisation internationale, les délais prévus pour l'effacement des différentes catégories de données, une description des mesures de sécurité.
● Faire le point avec les services et les entités qui traitent des données personnelles
● Créer le registre de traitement des données et le mettre à jour régulièrement
Pouvoir apporter la preuve que des efforts sont déployés pour s’adapter aux dernières évolutions en matière de technologie et de menace.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. Vous devez instaurer une veille des actualisations légales et des menaces numériques.● Mettre en place un processus de veille des potentielles menaces
● Sensibiliser à l’innovation continue, par des réunions, des formations, de l’affichage…
Notifier les failles de sécurité dans les 72h à la CNIL et aux personnes concernées.
En cas de violation de données à caractère personnel, celle-ci doit être notifiée à l'autorité de contrôle compétente dans les 72h ou sinon avec les motifs du retard.
La notification comprend : la nature de la violation, les catégories et le nombre approximatif de personnes et données concernées ; le nom et les coordonnées d’un contact informé ; les conséquences probables de la violation ; les mesures prises ou proposées.
La notification aux personnes concernées comprend : le nom et les coordonnées d’un contact informé ; les conséquences probables de la violation ; les mesures prises ou proposées. Cette dernière notification n’est pas nécessaire si les données étaient chiffrées ou si les mesures prises garantissent l’élimination du risque.
● Créer un document type à envoyer à la CNIL en cas de faille de sécurité
● Mettre en place un processus interne de gestion de crise de sécurité
Conduire des études d’impact sur la vie privée lors du traitement de données à risque (données liées à l’origine, l’opinion, la santé, …).
L’étude d’impact sur la vie privée ou PIA (Privacy Impact Assessment) est obligatoire dans le cadre du traitement de données à risque. Elle permet d’identifier les risques lors du traitement de ces données et les moyens pour les réduire. La CNIL propose pour vous aider un logiciel d’aide à l’analyse d’impact.● Identifier les données à risque dans les différents services de l’entreprise
● Mener l’étude d’impact sur la vie privée
Encadrer les transferts de données hors UE avec des outils assurant un niveau de protection suffisant et approprié des personnes.
Avant de transférer des données hors UE, vous devez vérifier si le niveau de protection des données est suffisant dans le pays concerné selon la CNIL.
Si le niveau de protection n’est pas jugé suffisant, vous devez mettre en place les garanties appropriées :
- un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
- des règles d'entreprise contraignantes qui confèrent des droits opposables ;
- des clauses types de protection des données adoptées par la CNIL ;
- un code de conduite ou un mécanisme de certification approuvé.
Un transfert de données vers un pays jugé non suffisamment protégé peut tout de même avoir lieu :
- Si la personne concernée a donné son consentement explicite en étant informée des risques ;
- Si le transfert est nécessaire à l'exécution d'un contrat ou à la défense de droits en justice ;
- Si le transfert est nécessaire à la sauvegarde d’intérêts vitaux ou pour des motifs importants d'intérêt public ;
- Si le transfert a lieu au départ d'un registre destiné à fournir des informations au public.
● Identifier les données transférées hors UE dans vos différents services
● Vérifier si le niveau de protection des données est suffisant dans le pays concerné selon la CNIL (voir la carte)
● Si le niveau de protection n’est pas jugé suffisant, mettre en place les mesures demandées par la CNIL avec l’organisme concerné
● Ou demander le consentement des personnes concernées en les informant des risques
Vérifier la protection des données dans le cas de traitement par des sous-traitants
Si vous sous-traitez le traitement de données personnelles, vous devez vérifier que les sous-traitants soient conformes au RGPD. Le contrat concerné doit définir l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, les obligations et les droits du responsable du traitement (exemples de clauses de contrat).● Revoir les contrats avec les sous-traitants en insérant des clauses liées au RGPD
● Demander aux sous-traitants des preuves de leur conformité au RGPD

(Illustrations par Martin Vidberg)

Vous souhaitez en savoir plus sur le RGPD et la GED ? N’hésitez pas à nous contacter via notre formulaire de contact.

Partager cet article ...Share on Facebook
Facebook
Email this to someone
email
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin