Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Chronique du RGPD : La checklist idoine pour se conformer au règlement Européen

février 2018 par Xavier Leclerc, CEO de DPMS

A travers ses chroniques tissées autour du RGPD, Xavier Leclerc prodigue au fil de l’eau ses conseils pour envisager sereinement l’échéance du 25 mai 2018. Révision de la politique de confidentialité, transparence, sécurité des traitements droit à l’information… Pour se conformer au RGPD, les entreprises devront apporter plusieurs modifications à leurs procédures internes. Pour vous aider, voici une check-list des choses à faire pour se mettre en adéquation avec le nouveau règlement sur la protection des données.

1.Se doter d’un registre des traitements

Le RGPD impose de nombreuses nouvelles obligations aux entreprises. Parmi elles, il y a l’obligation de tenir un registre des traitements. Cet outil peut être consulté à tout moment par la CNIL et doit comporter des informations sur le responsable du traitement, les destinataires des données et la finalité du traitement (profilage, analyse statistique, conception d’offres commerciales…), …. Le registre doit pouvoir être la preuve légale de la mise en ouevre d’un traitement et ainsi tracer les modifications, évolutions et accès, notamment dans le cadre d’un ‘outil’ dédié.

2.Définir le périmètre des données sensibles

Selon le RGPD, les données sensibles doivent faire l’objet d’un traitement à part : cryptage et pseudonymisation ou anonymisation. De plus, la nouvelle règlementation élargit la notion de données sensibles, du moins par rapport à la définition de la loi de 1978. Ainsi, le RGPD entend par données sensibles les informations concernant les origines raciales, les opinions politiques ou religieuses, l’orientation sexuelle, les données biométriques et/ou génétiques, et toute autre information liée à la santé, mais également les données sur les infractions et condamnations ou encore concernant des populations fragiles comme les personnes mineures.

3.Assurer le respect des droits des personnes

Le RGPD accorde une grande importance au consentement et au respect des droits des personnes concernées par les traitements. Et pour cause, à partir de mai 2018, les entreprises devront obtenir le consentement (donné de manière libre et éclairée) des personnes faisant l’objet d’un traitement et en garder la preuve. Elles doivent également garantir le respect du droit à l’oubli numérique(droit de demander l’effacement de ses données sur les moteurs de recherche par exemple) et du droit à la portabilité (droit d’obtenir ses données et de les transmettre à une autre entité).

4.Actualiser les contrats fournisseurs

Les nouvelles règlementations sur la protection des données obligent de revoir les contrats avec les fournisseurs et les sous-traitants. Dorénavant, ces derniers pourront être coresponsables en cas de non-respect de la loi. C’est pour cette raison qu’il faudra intégrer des clauses rappelant les nouvelles obligations imposées par le RGPD dans les contrats des sous-traitants.

5.Élaborer une charte de bonnes pratiques

L’élaboration d’une charte de bonnes pratiques est importante pour rappeler aux collaborateurs et au personnel de l’entreprise les nouvelles pratiques imposées par le RGPD ainsi que les sanctions en cas d’écart à la loi. Si possible, une formation du personnel au RPGD peut être organisée pour maximiser la protection des données en interne et limiter les risques de fuite mais aussi pour répondre à l’obligation d’accountability ou responsabilisation.

6.Faire le point sur les nouvelles missions du DPO

Après l’entrée en vigueur du RGPD, le DPO remplacera le CIL actuel. Et contrairement à ce dernier, les fonctions du DPO seront plus larges. Il informe et supervice le respect de nouvelle règlementation au sein de l’entreprise. Même si la fonction ne requiert pas de diplôme spécifique, le futur DPO doit avoir une bonne connaissance du droit informatique et libertés et des technologies de l’information et de la communication mais aussi une expertise du métier et des talents de négociateur, de communiquant et de gestion de projet. En termes d’accountability, il pourra faire certifier son expertise. 7.Élaborer un plan d’action pour faire face aux violations de données Malgré de nombreuses précautions, les risques pour les droits et libertés ne peuvent être totalement exclus. C’est pourquoi les entreprises doivent mettre en place des procédures d’urgence pour y faire face : communication de la faille à la CNIL et aux personnes concernées, si la fuite présente un risque élevé pour les droits et libertés. On entend par faille ou violation des cas comme le vol de mot de passe, le piratage, ou encore la perte de données sensibles…




Voir les articles précédents

    

Voir les articles suivants