Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

[RGPD/GDPR] Le chemin vers la conformité en 5 étapes

Le Règlement général sur la protection des données (RGPD, ou GDPR en anglais) entre en application le 25 mai 2018. Les avocats Isabelle Cantero et Eric A. Caprioli, du cabinet Caprioli & Associés, nous livrent cinq étapes clés pour se mettre en conformité.
Twitter Facebook Linkedin Flipboard Email
×

[RGPD/GDPR] Le chemin vers la conformité en 5 étapes
[RGPD/GDPR] Le chemin vers la conformité en 5 étapes © Patrick Hoesly - Flickr - C.C.

Le Règlement général sur la protection des données n°2016/679 du 27 avril 2016 entrera en application le 25 mai 2018. Tous les responsables de traitements devront y être conformes, de la PME à la multinationale, de la petite commune aux grandes administrations. La CNIL propose une démarche en 6 étapes, d’autres en 7, 8 ou 10, peu importe le flacon pourvu que l’on parvienne à la conformité !

 

On observera en liminaire que la conformité au règlement doit être entendue au regard du "juridico-tech système" tant la réalité documentaire est plurielle. En effet, nonobstant le RGPD, il conviendra de prendre en compte la future loi "Informatique et Libertés - 3" (en projet), le futur règlement e-privacy, la jurisprudence judiciaire et administrative, sans oublier celle de la Cour de justice de l’Union européenne, mais aussi les délibérations des autorités de contrôle du pays, (v. missions : art. 57 du RGPD,) les décisions du Comité européen de la protection des données (v. missions : art. 70 du RGPD), et enfin les normes telles que l’ISO 27001 étendue à la vie privé (en préparation) (https://www.usine-digitale.fr/article/rgpd-gdpr-plaidoyer-pour-une-stabilite-normative-et-reglementaire.N628958). C’est dire si la documentation est riche et complexe, a fortiori si l’on est confronté à des implantations internationales. Il n’empêche que la démarche vers la conformité doit être rigoureuse pour arriver à bon port. Nous proposerons de baliser le chemin en cinq points.

1/ Désignation d’un pilote du projet de mise en conformité

La première des choses à faire : désigner un chef de projet de la mise en conformité au RGPD/GDPR. Cette personne aura pour mission de piloter le projet : entendons-nous, une gestion de la mise en conformité en mode projet. Cette personne devra faire appel à des compétences internes diverses ce qui la rapprochera de la sécurité et des métiers. Cette personne aura également pour mission d’étudier la désignation du Délégué à la protection des données et d’établir sa fiche de poste.

2/ Cartographie des traitements de données personnelles

Il s’agira ensuite d’identifier et d’analyser l’ensemble des traitements de données à caractère personnel mis en œuvre par l’organisation dans le cadre de ses activités en fonction de la nature des traitements (finalité, fondement juridique,…) et des catégories de données collectées et traitées.

Le but de cette première étape est de déterminer le contexte dans lequel s’inscrivent les traitements : contexte interne (métiers concernés, niveau de maturité des intervenants sur les traitements, mesures de protections mises en œuvre, …), contexte externe (secteur d’activités clients, rôle des partenaires,…) ainsi que les opérations réalisées dans le cadre des traitements tels que les interconnexions, la sous-traitance et les transferts internationaux de données.

Cette étape nécessite la transmission de tous les documents utiles relatifs aux traitements de données (ex : description, processus).

3/ Cartographie des responsabilités respectives des parties prenantes  

La détermination du rôle des intervenants sur les traitements constituera le point de départ de cette étape. Pour ce faire, il conviendra de s’appuyer sur les opérations réalisées telles que la fourniture de données ("data provider"), l’hébergement du système d’Information...
Dans ce contexte, il conviendra d’analyser la qualité des parties (Responsable de traitement/clients/partenaires/sous-traitants) afin de situer le statut respectif des intervenants (responsable de traitement / sous-traitant) et les responsabilités qui seront imparties à chacun d’eux. D’importantes conséquences juridiques en découleront ne fut-ce qu’en terme de sanctions de l’autorité de contrôle, pénales voire civiles.

4/ Evaluation de la conformité légale

Les mesures et les moyens adoptés pour la mise en œuvre de la gestion des traitements de données personnelles devront être analysées. Il sera tout particulièrement tenu compte des facteurs suivants :

  • du respect des principes de protection (sécurité, confidentialité, respect des droits …) ;
  • de l’organisation de la gouvernance de traitement (circulation de l’information sur le traitement de données, informations des personnes concernées, points de contact,…) ;
  • et des labels/certifications (normes ISO, labellisation CNIL)


5/ Recommandations et plan d’action stratégique pour la mise en conformité légale

Au vu du cadre légal et réglementaire applicable au responsable de traitement pour la protection des données à caractère personnel (France, Union européenne et international), cette dernière étape consistera à présenter les actions stratégiques à mettre en œuvre ainsi que la définition d’un ordre de priorité.

A toutes fins utiles, en fonction des résultats des analyses issues des points 1, 2 et surtout 3, il sera envisagé de prioriser les actions suivantes :

  • Sensibilisation à la réglementation applicable des métiers concernés (formation, guide, jeux vidéos, …);
  • Implémentation des nouveaux outils de gouvernance : désignation d’un Délégué à la protection des données avec le bon niveau hiérarchique avec le cas échéant les points de contacts associés.
  • Intégration des nouvelles obligations :
    • Accountability (documentation de la conformité)
    • Privacy by design / Privacy by default
    • Analyse d’impact sur la vie privée pour les traitements à risques (ex : profilage)
    • Mise en place de l’organisation des notifications des violations de données (procédures, registre des violations)


A noter : comme l’immense majorité des projets digitaux (ou non) comporte un aspect Protection des données personnelles, la méthodologie ci-dessus trouvera aussi à s’appliquer. Reste l’ultime étape si on veut être sur les bons rails de la conformité avec les règles du RGPD/GDPR : l’échéancier du "chantier RGDP" mais là, à chacun sa méthode …


Isabelle Cantero, Avocat associé, Directeur du Pôle Vie privé et données personnelles,
Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies
Société d’avocats Caprioli & Associés, membre du réseau JurisDéfi


Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.


 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale