Le Règlement général sur la protection des données (RGPD) entré en vigueur le 24 mai 2016 sera applicable à partir du 25 mai 2018. Son objectif est de protéger les libertés ainsi que les droits fondamentaux des personnes physiques et en particulier, le droit à la protection des données à caractère personnel.
Nombreux sont les écrits évoquant les chantiers à mettre en place dans les organisations pour se mettre en conformité. Seulement, la liste est longue et ceux qui en sont chargés peinent à y voir clair. Pour vous aider, voici ceux qui, selon nous, sont véritablement prioritaires.
Les 5 chantiers prioritaires
- Désigner votre DPO (Data Protection Officer) et rassembler et sensibiliser les différents acteurs de la mise en conformité de votre entreprise.
- Réaliser une cartographie des traitements de données à caractère personnel : pour ce point, il est conseillé de réaliser la cartographie des traitements de toutes vos données et ensuite seulement identifier les données à caractère personnel.
- Etablir les processus et procédés pour la protection des données dès la conception (Privacy by Design) et de la sécurité par défaut ou protection des données par défaut (Privacy by Default).
- Evaluer la conformité des traitements qui ont été cartographiés.
- Rédiger un plan de mise en conformité des traitements.
Rappel du règlement global
Ce règlement de 99 articles, constitue le nouveau texte de références européen. Ses principales dispositions sont :
- Un cadre harmonisé
- Une application extraterritoriale
- L’exigence d’un consentement « explicite » et « positif »
- Le droit à l’effacement
- Le droit à la portabilité des données personnelles
- L’encadrement du profilage
- La protection des données dès la conception et sécurité par défaut
- La nomination d’un DPO
- L’évaluation des impacts
- La co-responsabilité entre le responsable de traitement et le(s) sous-traitant(s)
Le RGPD est un chantier de tous les jours. La société est dans l’obligation de s’assurer en permanence de cette conformité et d’être en mesure d’identifier une violation des données afin de pourvoir à notre obligation d’informer les autorités dans les 72 heures.
Le DPO ne suffit pas à conduire seul ces chantiers, il faut une implication des différentes instances de l’entreprise. Et bien que la nécessité d’outils de sécurité soit une évidence, c’est la connaissance des traitements de données, les procédures mises en place et les contrôles réalisés qui aideront nos organisations à respecter ce règlement.
Neurones IT vous accompagne dans ce nouveau règlement. N’hésitez pas à nous contacter !
