Le Règlement Général de Protection des Données ou RGPD est entré en application depuis le 25 mai 2018. À ce titre, il met en place les nouvelles exigences à adopter pour assurer la sécurité et la protection des informations à caractère personnel. Touchant tous les organismes exploitant les données personnelles des internautes, une mise en conformité au RGPD doit suivre plusieurs étapes.
La désignation d’un DPO : obligatoire pour qui ?
Dans le cadre d’une mise en conformité au RGPD, confier la gestion des données personnelles à un Data Protection Officier (DPD ou Délégué à la Protection des Données) sera désormais obligatoire. Il s’agit donc de l’une des premières etapes rgpd à effectuer. Ce dernier veillera au respect des nouvelles règlementations au sein de l’organisme qui l’emploie et assure le rôle d’intermédiaire avec les autorités de contrôle. Pouvant être interne ou externe à l’entreprise, le DPO informe, conseille et réalise une étude d’impact afin d’intervenir efficacement auprès de la structure qui le sollicite.
En principe, la désignation d’un DPO est obligatoire dans trois cas :
- Les organismes publics : administration et établissements publics, sauf les tribunaux ;
- Les entreprises qui traitent des données « sensibles » à grande échelle ;
- Les sociétés qui mettent le traitement de données personnelles au centre de leur activité.
Dans les autres situations, cette étape n’est pas imposée par la loi. Par contre, elle est fortement recommandée notamment pour comprendre le règlement européen et mettre en place les actions nécessaires pour s’y conformer. Si vous cherchez un professionnel pour vous accompagner, consultez un site spécialisé comme www.rgpd-express.com.
Quelles sont les actions à mener ?
Une fois le DPO désigné, il convient de cartographier vos processus de traitement des données. Pour ce faire, il faudra effectuer un état des lieux via un diagnostic, recenser les traitements réalisés par votre organisme et surtout évaluer la conformité des pratiques actuelles. Après quoi, vous pouvez construire un plan d’action pour remédier aux écarts avec le RGPD. De même, il faudra identifier les actions à prioriser en fonction des risques.
Les données dites sensibles représentent les informations personnelles susceptibles de causer un risque élevé qui porte atteinte aux droits et libertés des personnes concernées. Si vous traitez ce type de renseignements, il s’avère impératif de procéder à une analyse d’impact relative à la protection des données (AIPD).
Vient ensuite la phase d’organisation des processus internes. Afin d’optimiser la sécurité de vos bases de données, la mise en place de procédures internes assurant la protection des données en permanence reste nécessaire. Ces procédures devront tenir compte des éventuels évènements pouvant survenir durant le traitement : faille de sécurité, modification des données récoltées, gestion des demandes d’accès et de rectification, etc.
Dans la mesure où le respect et la mise en place de chacune de ses étapes s’avèrent souvent complexes, pensez à utiliser un logiciel rgpd pour les réaliser correctement. En plus de vous faciliter la tâche, ce genre de programme intègre diverses options pouvant minimiser les ressources engagées dans la mise en conformité de votre site.
RGPD : les changements à retenir
Face aux nouvelles règlementations entrées en vigueur, la documentation représente une étape incontournable pour se conformer au RGPD. En effet, outre le fait de mettre en place les mesures exigées pour protéger les données personnelles, vous devez également prouver votre conformité vis-à-vis du règlement européen.
Dans ce cas, il faudra regrouper plusieurs documents dans votre dossier : registre de traitement, déclaration rgpd, AIPD, mesures de sécurité en cas de violation des données, contrats avec les sous-traitants, gestion des données transférées hors d’Europe, etc. À noter, tous ces documents doivent être réexaminés et mis à jour actuellement pour une protection renforcée.
Notez également que le RGPD a supprimé les déclarations de fichiers que l’on devait réaliser auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés). Seules quelques formalités préalables subsistent, mais en règle générale les démarches sont simplifiées. En contrepartie, les organismes et leurs sous-traitants deviennent pleinement responsables de la protection des données exploitées. Ils sont donc tenus d’assurer la mise en conformité de leur traitement, et aussi d’être en mesure de démontrer cette conformité.
En cas de manquement ou de non-respect du RGPD, votre organisme encourt de lourdes pénalisations. Surtout destinées à dissuader les infractions au règlement, ces sanctions se présentent sous forme d’amende particulièrement couteuse : un montant de 20 millions d’euros ou une somme représentant jusqu’à 4 % du chiffre d’affaires.