-
1er conseil : Désigner un DPD
La nomination d’un Délégué à la Protection des Données personnelles (DPD ou DPO pour « Data Protection Officer »), est au coeur de la réforme.
La désignation d’un DPD est obligatoire si :
- Vous êtes une autorité ou un organisme public ;
- votre activité de base vous conduit (du fait de la nature, portée et/ou finalité de vos activités) à effectuer un suivi régulier et systématique des personnes à grande échelle ;
- ou encore, votre activité de base vous amène à traiter à grande échelle des données dites « sensibles » ou qui ont trait à des condamnations et infractions pénales ; pour mémoire, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.
Il est possible de désigner un DPD volontairement même lorsque les critères susvisés ne sont pas remplis.
Le DPD apparaît comme un réel « chef d’orchestre » principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés.
Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel. A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés.
Bien qu’il soit autorisé à exercer d’autres fonctions, le DPD doit être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité.
-
2ème conseil : Cartographier les données que vous traitez avec nos logiciels ou non
Vous devez recenser de façon précise vos traitements de données personnelles dans un registre des activités de traitements.
Dans ce registre doivent apparaître les éléments suivants :
- Les différents traitements de données personnelles : Réalisez une analyse précise des opérations effectuées à caractère personnel comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion et l’effacement ou la destruction.
- Les catégories de données personnelles : il peut s’agir d’un nom, d’un numéro de sécurité sociale, d’une donnée concernant la santé, l’état psychologique, génétique, économique, culturelle ou sociale, etc. Cette catégorisation doit permettre notamment d’identifier les données strictement nécessaires aux finalités de traitement, mais aussi d’isoler les données dites « sensibles » définies ci-avant.
- L’objectif du traitement des données personnelles : vous devez définir la finalité de chacune de vos opérations pour lesquelles vous collectez sur nos logiciels des informations personnelles, comme la gestion de droits sociaux d’administrés, l’hébergement de personnes, le suivi de leur état de santé, etc.
- Les acteurs concernés et les flux de données : enfin, vous devrez identifier les acteurs internes et externes qui traitent la donnée comme les prestataires sous-traitant afin d’actualiser les clauses de confidentialité et les flux en indiquant l’origine et la destination des données et identifier les éventuels transferts de données hors de l’Union Européenne.
-
3ème conseil : Déterminer les actions à engager pour la protection des données personnelles
Sur la base de votre registre des activités de traitement, assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées, que vous le fassiez à l’aide de nos logiciels ou non.
Pour ce faire, vous devez identifier la base juridique sur laquelle se fonde votre traitement (par exemple : consentement écrit de la personne, intérêt légitime, contrat, obligation légale), réviser vos mentions contractuelles ou d’information afin qu’elles soient conformes aux exigences du RGPD, vérifier que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités et que vos clients et usagers connaissent leurs droits et leur modalités d’exercice (droit d’accès, de rectification, de suppression, à la portabilité, retrait du consentement…) et vérifier les mesures de sécurité mises en place.
-
4ème conseil : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA). Pour cela, vous devez bâtir un traitement de données personnelles respectueux de la vie privée, apprécier les impacts sur la vie privée des personnes concernées et démontrer que les principes fondamentaux du règlement sont respectés.
-
5ème conseil : Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes, démontrant la prise en compte de la protection des données à tout moment.
Pour cela, il faudra sensibiliser, organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs, leur faire signer un engagement de confidentialité, traiter les réclamations et les demandes des personnes exerçant leurs droits, en définissant qui intervient et selon quelles modalités.
Et enfin, anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données (la CNIL) dans les 72 heures et aux personnes concernées dans les meilleurs délais, sous peines d’amendes administratives.
-
6ème conseil : Documenter votre mise en conformité
Pour prouver votre conformité au RGPD, vous devez constituer et regrouper la documentation relative aux actions et documents que vous avez mis en place (registre de traitement, solutions mises en place après une analyse d’impact, contrats mis à jour, etc.).