digital safety concept padlock in electronic environment.

Se préparer au règlement européen sur les données personnelles

Le nouveau règlement européen sur la protection des données personnelles entrera en vigueur le 25 mai 2018.

Les organismes devront  être capables de démontrer, à compter de cette date, leur conformité à ces dispositions.

Alors que les obligations des organismes au regard de la loi informatique et libertés reposent en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence.

Cette notion de responsabilité (accountability) se traduit notamment par :

  • la prise en compte de la protection des données dès la conception d’un service ou d’un produit et par défaut ;
  • la mise en place d’une organisation, de mesures et d’outils internes garantissant la conformité des traitements à la réglementation et une protection des personnes dont les données sont traitées.

En pratique, les organismes doivent :

  • réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
  • évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
  • réaliser les études d’impact sur la vie privée (PIA) pour les traitements à risque ;
  • identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
  • maintenir une documentation assurant la traçabilité des mesures.

Pour aider les organismes à se préparer, la CNIL propose différents outils et notamment une méthode en 6 étapes : désigner un pilote, recenser les traitements de données personnelles, prioriser les actions, gérer les risques, et enfin organiser les processus internes.