Face à l’essor d’internet et à l’utilisation de plus en plus importante du Big Data, la législation européenne a mis en place le Règlement européen général sur la Protection des Données à caractère personnel (RGPD). Son objectif : renforcer la protection des données personnelles dans un contexte où le droit et les libertés fondamentales des citoyens européens sont quelque peu bafoués. Ainsi, les entreprises qui traitent des données personnelles sont tenues de se conformer au RGPD au risque de sanctions. Comment opérer cette mise en conformité ?
Table des matières
Désignez un Délégué à la Protection des données
Depuis que l’Union européenne s’est dotée d’une nouvelle politique de gestion des données personnelles à travers le RGPD, les entreprises concernées ont l’obligation de s’y conformer. Dans cette perspective, elles doivent se doter d’un Data Protection Officer (DPO) dont le rôle sera d’assurer autant que possible la protection des données personnelles.
Opérant en étroite collaboration avec la direction et le personnel de votre entreprise, le DPO a donc un rôle stratégique. Mais il conserve toutefois une certaine indépendance afin d’informer, de conseiller et de contrôler le respect des exigences du RGPD. Dans la mise en œuvre de la conformité RGPD, le DPO est le maillon le plus important. C’est d’ailleurs pourquoi, dès sa désignation, une formation DPO sera nécessaire pour lui afin qu’il puisse efficacement assumer sa mission.
Faites la cartographie des données traitées
L’une des étapes de la mise en conformité RGPD est d’effectuer la cartographie de ses traitements. Il s’agit de répertorier l’ensemble des données personnelles traitées par votre entreprise. L’objectif de ce recensement est d’avoir un aperçu général des opérations de traitement des données personnelles en cours au sein de votre structure.
Recommandée par la CNIL, la cartographie des traitements vous permet d’évaluer, à l’aide des informations contenues dans le Registre de traitements, le niveau de conformité RGPD de votre entreprise. Ainsi, vous opérez un suivi de la conformité dans le temps, alimentez le registre de traitement et pourrez mettre des actions en œuvre pour assurer cette conformité. Elle permet également aux collaborateurs d’accéder plus facilement aux données traitées et de mieux les cerner.
Dans la cartographie de traitement, doivent figurer des informations comme :
- Les différents types de données traitées,
- La finalité du traitement,
- Les acteurs traitant les données,
- Les personnes concernées par le traitement,
- Les modalités d’exécution du traitement,
- La durée de conservation des données,
- Les mesures qui sont prises pour assurer la sécurité du traitement.
Identifiez la finalité du traitement
L’identification de la finalité du traitement est une obligation essentielle que vous impose le RGPD. Il s’agit ici de savoir clairement l’objectif que vise votre entreprise en collectant les données des uns et des autres. On comprendra alors qu’une collecte de données effectuée sur des prospects à travers un formulaire est réalisée à des fins marketing et commerciales.
Une fois que vous fixez la finalité d’un traitement, vous devez vous en tenir à cela. Aucune possibilité d’extension vers des finalités autres que celles initialement fixées n’est envisageable. De même, les finalités fixées doivent être répertoriées dans le registre de traitement et connues des personnes concernées. De la finalité du traitement en dépend la durée. Vous ne pouvez conserver les données au-delà de la durée que permet leur finalité.
Réalisez une analyse d’impact sur la protection des données
Cette étape consiste à anticiper les risques éventuels inhérents à la fuite des données ou à leur violation. On parle d’analyse d’impact sur la protection des données. Cette étape est très importante car elle vous évite les sanctions parfois très dommageables générées par le non-respect du RGPD. Ainsi, l’analyse d’impact doit être effectuée en amont de chaque traitement de données personnelles pour assurer la conformité de ces dernières au RGPD.
Cette analyse présente dans un premier temps une description du traitement et de sa finalité. Pour ce faire, elle table sur la réelle nécessité des données pour votre entreprise et la proportionnalité de la collecte en comparaison à l’objectif visé in fine. Dans un second temps, elle apprécie l’utilisation faite des données personnelles en comparaison aux droits et libertés fondamentales des personnes concernées, afin de mettre en place des mesures limitant les risques de violation des données personnelles.
Informez les clients et les collaborateurs de l’entreprise
Le RGPD accorde à toute personne dont les données sont traitées, la possibilité de réclamer au responsable de traitement des informations obligatoires quant à ce traitement et les droits qu’elle a sur ces données. Ainsi, vous avez une obligation d’information vis-à-vis de vos employés et clients. De fait, dans le cadre d’une relation de travail, vous êtes responsable du traitement des données personnelles de vos collaborateurs. Il en est de même de la relation avec vos clients, pour laquelle votre entreprise est responsable du traitement des données.
Déterminez la durée de conservation des données
Nous en parlions précédemment, la durée de conservation des données dépend de la finalité déclarée de celles-ci. La CNIL et le RGPD sont formels : la durée de conservation doit être proportionnelle à la durée du traitement. Il existe à cet effet trois types de conservation :
- L’archivage courant permettant une conservation des données selon la finalité du traitement. Cette durée est généralement fixée de commun accord entre l’entreprise et les personnes dont les données sont traitées,
- L’archivage intermédiaire qui stipule une possible conservation des données au-delà de la durée prévue en amont par les parties. C’est ainsi lorsque c’est la loi qui fixe une telle durée,
- L’archivage définitif qui comme son nom l’indique, exclut toute hypothèse de destruction définitive des données traitées. Ce type d’archivage s’applique souvent aux données d’intérêt public, généralement à caractère scientifique ou statistique, entre autres.
En fonction de ces recommandations de la CNIL et du RGPD, les données traitées par les établissements de santé publics ou privés peuvent par exemple être conservées pendant 20 ans, alors que celles traitées par l’administration fiscale peuvent l’être pour 6 ans. Quant aux contrats électroniques, leur durée de conservation peut atteindre 10 ans contre 1 mois pour les données de vidéosurveillance.