Introduction à la mise en conformité

Le Règlement Général sur la Protection des Données (« RGPD ») est un document complexe, qui énumère beaucoup d’obligations à la charge des responsables du traitement de données à caractère personnel et de leurs sous-traitants : mettre en œuvre des procédures, créer ou adapter la documentation des pratiques de l’organisation, développer des formations, des programmes de contrôle qui devront perdurer dans le futur…

La mise en conformité avec le RGPD va demander des prises de décisions et des actions venant du somment de l’organisation, affectant tous les échelons de la structure et pratiquement tous les services, et visant à renforcer, ou adapter, la culture de l’organisation en ce qui concerne la protection des données.

Dans cette perspective, le projet de mise en conformité au RGPD doit couvrir un certain nombre de sujets, ou d’étapes. L’autorité de contrôle française, la CNIL, a défini ces étapes de façon très concrète et pratique, et LegIT-Team se permet de s’en inspirer ci-dessous :

  1. Désigner un pilote
    Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne. Il faut donc quelqu’un qui connaisse vraiment bien le RGPD et qui puisse dire à la direction générale de votre organisation comment elle est affectée et ce qu’elle doit mettre en place.

  2. Cartographier l’existant
    Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point. De plus, faites l’inventaire de vos procédures actuelles concernant la protection des données, et les mesures déjà en place pour assurer leur sécurité.

  3. Prioriser les actions à mener
    Sur la base de votre audit de l’existant, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
    Personne ne croit vraiment que vous pouvez tout mettre en place en un instant, mais l’important est que vous mettiez le processus en route et que vous progressiez dans la mesure de l’économiquement possible pour votre cas particulier.

  4. Gérer les risques
    Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA). Un processus plus lourd, mais très important pour pouvoir démontrer que vous savez ce que vous faites et que vous prenez les mesures adéquates.

  5. Organiser les processus internes
    Pour assurer la protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent à tout moment la prise en compte de l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

  6. Documenter la conformité
    N’oubliez pas que c’est à vous de prouver votre conformité au règlement. Le mieux, pour cela, est de constituer et regrouper la documentation nécessaire, y compris le journal des actions entreprises et achevées, car ce journal montrera l’effort que vous avez consenti et votre progression. Attention, ce n’est pas fini pour autant : les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer la protection des données adéquate en continu.

Mais comment faire tout cela ?

Le processus détaillé ci-dessus n’est pas aussi simple qu’il y paraît, et surtout il demande du temps et, comme expliqué à l’étape 1, il demande un chef de projet ou pilote qui sait ce qui doit être fait et qui peut le mener à bien.

Beaucoup d’entreprises ou d’organisations de toutes sortes vont réaliser que ce pilote n’existe pas au sein de leur structure. Pas de panique ! C’est la raison d’être de LegIT-Team : vous aider à organiser votre mise en conformité, avec le niveau d’intervention qui vous convient, comme nous vous le détaillons sur ce site et comme nous pouvons en discuter avec vous pour nous adapter à vos besoins particuliers, quels qu’ils soient.