News ECA Nexia
-
Le point sur |
Le Point sur… Le RGPD : comment se préparer ?
-
Le nouveau règlement européen sur la protection des données personnelles entrera en application le 25 mai 2018. Une méthodologie en 6 étapes pour se préparer et anticiper les changements liés à l’entrée en application de ce règlement européen.
Alors que les obligations des organismes au regard de la loi informatique et libertés reposent en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation (principe d’accountability) et de transparence.
Ainsi, tout responsable de traitement de données à caractère personnel devront, dorénavant, être en mesure de démontrer leur conformité aux nouvelles dispositions.
ÉTAPE 1 – DÉSIGNER UN RESPONSABLE DES QUESTIONS PERSONNELLES
La mise en œuvre de ces outils implique, au préalable, la désignation d’un « pilote » interne : le délégué à la protection des données, véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme.
La désignation d’un délégué est obligatoire en 2018 si :
- Vous êtes un organisme public,
- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à
des condamnations pénales et infractions.
Même si votre organisme n’est pas formellement dans l’obligation de désigner un PDPD, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen.
ÉTAPE 2 – IDENTIFIER L’ENSEMBLE DES TRAITEMENTS DE DONNÉES PERSONNELLES
Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.
ÉTAPE 3 – HIÉRARCHISER LES ACTIONS À MENER
Identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir.
ÉTAPE 4 – GESTION DES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées,vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, « Privacy Impact Assessment » ou PIA).
ÉTAPE 5 – ORGANISER LES PROCESSUS INTERNES
Mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectifications ou d’accès, modification des données collectées, changement de prestataire).
ÉTAPE 6 – DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire.
© ATH. Tous droits réservés.