Blog
lundi 27 novembre 2017
Le texte paru au journal officiel de l'Union Européenne est un règlement, ce qui signifie que, contrairement à une directive, il est applicable dans l'ensemble de l'Union sans nécessiter de transposition dans les différents États membres. La finalité est d'obtenir un cadre juridique unifié pour l'ensemble de l'UE.
Lire le réglement européen sur la protection des données personnelles
La réforme sur la protection des données poursuit trois objectifs :
- Renforcer les droits des personnes, notamment par la création d'un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
De nombreuses formalités auprès de la CNIL vont être supprimées. En contrepartie, la responsabilité des entreprises sera renforcée. Elles devront en effet assurer une protection optimale des données et être en mesure de la démontrer en documentant leur conformité.
Voici six étapes pour préparer sa société au nouveau règlement européen qui entrera en vigeur le 25 mai 2018 !
1. Désigner un délégué à la protection des données
Le DPO est le chef d'orchestre qui va piloter la gouvernance des données personnelles au sein de votre entreprise. Il a pour missions d'informer et de conseiller le(s) responsable(s) du traitement et de contrôler en interne le respect du règlement européen.
2. Mettre en place un registre des traitements des données personnelles
Ce registre doit recenser de façon précise, tous les traitements de données personnelles que vous mettez en oeuvre (Qui ? Quoi ? Pourquoi ? Où ? Jusqu'à quand ? Comment ?). L'objectif est de s'assurer que ces traitements respectent bien les nouvelles obligations légales mise en place par l'Union Européenne.
3. Identifiez les actions à mener pour vous conformer aux obligations
Grâce au registre des données personnelles, vous allez pouvoir identifier les actions à mener pour vous conformer aux obligations du nouveau règlement européen. Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées.
4. Mener une analyse d'impact sur la protection des données (PIA)
Le PIA est une étude qui vous aide à mettre en place des traitements de données respectueux de la vie privée et qui permettent d'en démontrer la conformité auprès du RGPD.
5. Définir les procédures internes
Pour garantir une protection des données personnelles optimale, il faut élaborer des process internes qui prennent en considération l'ensemble des événements qui peuvent survenir au cours de la vie d'un traitement (ex : faille de sécurité, gestion des demande de rectification ou d'accès, modification des données collectées, changement de prestataire).
6. Prouver votre conformité
Vous devez constituer un dossier qui regroupe toutes les actions et documents nécessaires pour prouver votre conformité au règlement. Ce dossier sera constitué de la documentation relative aux traitements des données personnelles (registre, PIA et encadrement des transferts), de l'information des personnes et les contrats qui définissent les responsabilités des différents acteurs.
Sources :