Qu’est ce que le RGPD ?

Il vise à renforcer l’importance de la protection des données auprès de ceux qui les traitent et à responsabiliser les professionnels.

Il renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) sont en train de disparaître, au profit d’une logique de conformité continue, tout au long du cycle de vie de la donnée.

Pour s’assurer de leur conformité à tout instant, les responsables de traitements de données disposeront de nouveaux outils (analyses d’impact, registre) et de nouvelles personnes ressources (les délégués à la protection des données). Le RGPD consacre donc un nouveau mode de régulation.

Le délégué à la protection des données sera donc comme un de véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

Qui ?

Inscrivez dans le registre le nom et les coordonnées du délégué à la protection des données ;

Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;

Etablissez la liste des sous-traitants.

Quoi ?

Identifiez les catégories de données traitées

Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)

Pourquoi ?

Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

Où ?

Déterminez le lieu où les données sont hébergées.

Indiquez quels pays les données sont éventuellement transférées.

Jusqu’à quand ?

Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Comment ?

Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

Quels outils a t’on à disposition ?

La CNIL a mis en ligne un guide en 6 étapes pour se préparer :https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Elle met également à disposition des outils pratiques, comme le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données, ou encore un modèle de registre.

Quand utiliser le logiciel open source PIA

Si votre traitement répond à au moins deux des critères ci-dessous, alors il est vivement conseillé de faire un PIA.

Évaluation ou notation;
Décision automatisée avec effet juridique ou effet similaire significatif;
Surveillance systématique ;
Données sensibles ou données à caractère hautement personnel ;
Données personnelles traitées à grande échelle ;
Croisement d’ensembles de données ;
Données concernant des personnes vulnérables ;
Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
Exclusion du bénéfice d’un droit, d’un service ou contrat.

A qui s’adresse l’outil PIA ?

L’outil s’adresse principalement aux délégués à la protection des données n’étant pas ou étant peu familiers avec la démarche PIA. Il s’agit d’une version « prêt à l’emploi », se lançant facilement sur un poste de travail.

Il est aussi possible de déployer l’outil sur des serveurs afin de l’intégrer dans les outils déjà déployés en interne dans une entreprise.