Le renforcement des mesures de protection de données personnelles est effectif depuis l’entrée en vigueur du Règlement Général sur la Protection des Données ou RGPD. Les entreprises concernées sont celles qui opèrent des opérations de traitement de données des citoyens européens. La Commission Nationale de l’Informatique et des Libertés propose une mise en conformité en quelques étapes, que vous soyez commerçant, e-commerçant ou un organisme public. Celle-ci va garantir une meilleure sécurité des données et une protection des droits des personnes.
La désignation d’un DPO
Le Délégué à la Protection des Données ou Data Protection Officer (DPO) est le nouveau Correspondant Informatique et Libertés (CIL). Il possède des connaissances spécialisées en matière de sécurité informatique et de droits et libertés des personnes physiques ou personnes morales concernées. Cette obligation concerne surtout les grandes entreprises. Le rôle du DPO est de s’assurer que l’entreprise est conforme aux règles de protection des données de la nouvelle Loi Informatique et Libertés. Des prestataires externes peuvent exercer cette fonction.
Loi RGPD : la cartographie des traitements
Avec l’aide des sous-traitants, le responsable de traitement devra tenir un registre des traitements qui recense les informations suivantes :
- Les catégories de données
- Le type de traitement de vos données
- Les informations concernant les responsables de la gestion des données.
Pour chaque donnée collectée, il faudra indiquer les finalités, la durée de conservation des données et le lieu de stockage. La cartographie permettra de mettre en place des mesures techniques plus effectives ainsi qu’un système de suivi régulier et systématique. Lire sur ce site pour en savoir plus sur la loi RGPD.
L’identification des traitements à risque et des actions à prioriser
Les traitements de données personnelles qui présentent un risque élevé pour le non-respect de la vie privée doivent faire l’objet d’une analyse d’impact. Ils concernent en général des données sensibles. Le registre permettra de vérifier les écarts de conformité et les actions les plus urgentes à mettre en place pour respecter les nouvelles obligations du règlement européen.
L’analyse des risques
Tout traitement de données à caractère personnel à risque doit également faire l’objet d’une analyse de risques. Ce processus permet donc de mesurer les risques de fuites.
La réorganisation des processus internes
Elle permet de garantir une meilleure sécurisation des données. Il est important de vérifier le contrôle d’accès aux données, l’encodage…
L’élaboration d’une documentation de conformité
La CNIL ou l’autorité de contrôle française peut contrôler la conformité à tout moment. Pour cela, elle aura besoin d’un registre des traitements, d’une DPIA, des informations sur les personnes concernées et les mesures à appliquer en cas de transfert de données à l’international.
Les bons réflexes pour se conformer avec le RGPD
La CNIL énumère aussi quelques bons réflexes pour se mettre en conformité avec le RGPD :
La collecte de données nécessaires
Moins il y a de données à traitées, moins il y aura de risques pour la protection de la vie privée. Il convient donc de ne recueillir que les données à caractère personnel indispensables pour les opérations de traitement. Les données collectées doivent aussi avoir un intérêt légitime.
La transparence
Pour assurer un meilleur niveau de protection des personnes physiques et respecter le nouveau règlement européen, il est important de rester transparent sur les opérations.
Penser aux droits des personnes
Toute personne physique dont vous traitez les informations personnelles possèdent des droits sur leurs données. Vous devez faire en sorte de respecter leurs demandes personnelles (demandes de droit d’accès, droit à la portabilité, droit de rectification, droit à l’effacement, droit d’opposition…).
Toujours maîtriser les données
La collecte, le partage et la circulation des données doivent être encadrés pour assurer la conformité avec la législation européenne en tout temps.
Sécuriser les données
Toutes les mesures doivent être adaptées selon la sensibilité des données traitées et des risques pour la personne concernée.