#NEWS

05/06/2018

RGPD : mode d’emploi

Quelques bonnes pratiques pour être « RGPD compatible » et gagner du temps !

 

> Disposer d’un Délégué à la Protection des Données (DPO) qui pilote la gouvernance des données personnelles de l’entreprise et exerce une mission d’information, de conseil et de contrôle en interne.

 

> Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement : minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, rôle et responsabilité des acteurs impliqués dans la mise en oeuvre de traitements de données.
Le Délégué à la Protection des Données doit être sollicité.

 

> Sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès des collaborateurs.

 

> Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen).

 

> Anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

 

 

L’analyse d’impact sur la protection des données (PIA) : pour les traitements susceptibles d’engendrer des risques élevés

 

Qu’est-ce qu’une analyse d’impact sur la protection des données (PIA) ?

 

C’est une étude aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.

 

Un PIA est un outil d’évaluation d’impact sur la vie privée qui repose sur 2 piliers :
> Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet
d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus.
> La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

 

 

Un PIA contient :
> Une description du traitement étudié et ses finalités
> Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
> Une évaluation des risques pour les droits et libertés des personnes concernées, ainsi que les mesures envisagées pour faire face aux risques

 

 

Quand mener une analyse d’impact sur la protection des données (PIA) ?

 

Mener un PIA est obligatoire pour tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées (article 35 du RGPD).

 

Pour vous aider à déterminer le degré de risque, les 9 critères suivants sont définis :
> Évaluation ou notation
> Décision automatisée avec effet juridique ou effet similaire significatif
> Surveillance systématique
> Données sensibles ou données à caractère hautement personnel
> Données personnelles traitées à grande échelle
> Croisement d’ensembles de données
> Données concernant des personnes vulnérables
> Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles
> Exclusion du bénéfice d’un droit, d’un service ou contrat

 

Si votre traitement rencontre au moins 2 de ces critères, alors il est vivement conseillé de faire un PIA.

 

De manière générale, le PIA est une bonne pratique pour créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés. Il doit être réalisé avant la mise en oeuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.

 

 

Qui participe à l’élaboration de l’analyse d’impact ?

 

> Le responsable de traitement : valide le PIA et s’engage à mettre en oeuvre le plan d’actions défini

 

> Le délégué à la protection des données : élabore le plan d’actions et se charge de vérifier son exécution

 

> Le(s) sous-traitant(s) : fourni(ssen)t les informations nécessaires à l’élaboration du PIA

 

> Les métiers (RSSI, maîtrise d’ouvrage, maîtrise d’oeuvre) : aident à la réalisation du PIA en fournissant les éléments adéquats

 

> Les personnes concernées : donnent leurs avis sur le traitement