digital safety concept padlock in electronic environment.

Se préparer au règlement européen sur les données personnelles

Le 25 mai 2018 est la date d’entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGDP).

Les organismes qui ont entrepris une démarche de mise en conformité ont encore beaucoup de questions  en suspens sur la mise en oeuvre du règlement. Pour les autres qui n’ont pas encore avancé sur le sujet, il devient urgent de mettre en place les actions nécessaires.

La CNIL propose différents outils et notamment une méthode en 6 étapes pour aider les organismes à se préparer: désigner un pilote, recenser les traitements de données personnelles, prioriser les actions, gérer les risques, et enfin organiser les processus internes.

Pour être en capacité de mesurer l’impact du règlement sur l’activité de l’organisme, il faut au préalable recenser :

  • Les différents traitements de données personnelles,
  • Les catégories de données personnelles traitées ;
  • Les objectifspoursuivis par les opérations de traitements de données ;
  • Les prestataires sous-traitants qui traitent ces données. Il faut notamment actualiser les clauses contractuelles ;
  • Les flux en indiquant l’origine et la destination des données ;
  • Les principales mesures de sécurité techniques et organisationnelles mises en oeuvre.

Une fois ce travail d’inventaire réalisé, il est possible d’aborder la suite du processus de mise en conformité.

En pratique, les organismes doivent :

  • réaliser l’inventaire des traitements de données personnelles mis en œuvre (registre des traitements) ;
  • évaluer leurs pratiques et mettre en place des procédures (information des personnes sur leurs droits, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
  • réaliser les études d’impact sur la vie privée (PIA) pour les traitements à risque ;
  • identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
  • maintenir une documentation assurant la traçabilité des mesures ;
  • désigner, le cas échéant, un Délégué à la Protection des Données (DPO), interlocuteur privilégié de la CNIL et pilote du chantier de mise en conformité au RGDP.

Valérie Sédallian, avocat au Barreau de Paris. N’hésitez pas à nous contacter.