Dans le cadre de l’application du Règlement Général sur la Protection des Données (RGPD) en Europe, les entreprises concernées doivent se conformer aux exigences du règlement en question. La mise en conformité RGPD est un processus qui se décline en différentes étapes. Le Délégué à la Protection des Données (DPO) a un rôle très important dans la mise en conformité RGPD d’une entreprise. Comment harmoniser ses pratiques avec le RGPD ? Quel est le rôle du DPO à cet effet ?
Table des matières
Comment harmoniser ses pratiques avec le RGPD ?
Comme vous pouvez le voir si vous cliquez sur ce lien, la mise en conformité au RGPD est un processus qui se décline en plusieurs étapes.
Le recensement des traitements
Le RGPD exige au responsable du traitement de tenir un registre de l’ensemble des données personnelles traitées par l’entreprise. L’élaboration de ce registre vous permet en effet d’avoir un aperçu général des données personnelles que vous traitez au sein de votre structure. L’objectif est de permettre aux collaborateurs d’avoir une meilleure appréhension des données collectées. Il est également nécessaire que le registre, qui doit être tenu par le DPO, soit à jour. Pour ce faire, un contact régulier avec les personnes à même de traiter des données personnelles est indispensable.
Le tri des données
Il s’agit ici de déterminer les finalités des traitements dont les données personnelles font l’objet. En d’autres termes, vous devez savoir de façon précise pourquoi vous collectez les données. La durée de conservation des données est directement liée à leurs finalités, lesquelles doivent être déclarées dans le registre de traitement et portées à la connaissance des concernés.
L’obligation d’information des concernés et des collaborateurs
Le responsable du traitement est tenu par le RGPD de fournir aux personnes dont les données sont traitées, certaines informations obligatoires relatives aux traitements mis en œuvre et aux droits de ces personnes sur ces données. De même, en tant qu’employeur, vous êtes amené à traiter certaines données de vos administrés. Ces derniers ont également des droits sur leurs données et vous devez leur permettre de les exercer en toute liberté (droit d’accès, de rectification, d’opposition, d’effacement, de portabilité).
La conservation et la sécurisation des données
Les données personnelles que vous conservez, selon leurs traitements, doivent être conservées de façon limitative dans le temps. À cet effet, trois types d’archivages sont possibles : l’archivage courant, l’archivage intermédiaire et l’archivage définitif. Par ailleurs, la mise en conformité RGPD exige également la mise en place de mesures techniques et organisationnelles garantissant la sécurité des données, en fonction de leur sensibilité.
Le rôle du DPO dans la mise en conformité
En matière de mise en conformité RGPD, le DPO est le principal acteur. Il a une compétence transversale à cet effet. Il veille à la conformité des pratiques internes en matière de protection des données. Pour ce faire, il :
- contrôle le respect du RGPD et de la législation nationale en matière de protection des données personnelles,
- informe et conseille votre entreprise ainsi que les collaborateurs qui y travaillent. Il supervise le changement concernant le rapport à la data au sein de l’entreprise,
- initie une analyse d’impact relative à la protection des données et s’assure de sa mise en œuvre,
- répond aux préoccupations des personnes dont les données sont traitées,
- représente votre entreprise auprès de l’autorité de contrôle local, ici la CNIL.
Si avec les législations antérieures la désignation du DPO n’était pas obligatoire, il est des cas où la CNIL recommande fortement à certaines entreprises de recruter un DPO. L’article 37.7 du RGPD abonde également dans le même sens et énumère 3 cas où la désignation du DPO est nécessaire. Le DPO idéal doit avoir des connaissances juridiques approfondies, maîtriser la législation applicable dans la sécurité informatique, avoir une bonne connaissance des systèmes d’informations, bénéficier de moyens matériels et humains pour mener à bien ses missions, etc.