Quelle conformité pour les organisations ?
Le Règlement européen impose une prise en compte accrue de la protection des données à caractère personnel : « Protection des données dès la conception » et « Protection des données par défaut ».
L’urgence est de prendre en compte les exigences du RGPD dans les contrats au plus tôt et en particulier sur le changement du statut du sous-traitant en termes de responsabilités (article 26 et article 28).
L’ampleur des sanctions (article 84) en cas de non conformité va de 10 M€ ou 2% du CA mondial consolidé à 20 M€ ou 4% du CA mondial consolidé. Le montant le plus élevé étant retenu comme sanction maximale possible.
Lorsque des transferts d’information hors Union Européenne sont effectués, des BCR ou Binding Corporate Rules peuvent constituer une solution juridique de mise en conformité et de maintient d’exploitabilité.
Le chapitre IV section 4 concerne le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO). L’obligation de la désignation d’un DPO ne concerne pas toutes les structures, bien que la CNIL recommande fortement sa désignation, y compris dans les cas d’exceptions. Le DPO peut être un rôle interne porté par un salarié ou externalisé chez un prestataire.
Preuves de la responsabilité opérationnelle et juridique de l’organisation, le corpus documentaire exigé est constitué :
- d’un registre des activités de traitements qui permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait avec les données personnelles,
- d’une Etude d’Impact sur la Vie Privée (EIVP ou PIA) pour les traitements décrit à l’article 35 du règlement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques,
- de la réalisation d’un rapport annuel d’activité.
En synthèse les exigences du RGPD sont :
- Protection des données dès la conception (Privacy by Design).
- Protection des données par défaut (Privacy by Default).
- Représentant dans l’organisation (Data Protection Officer).
- Registre des traitements.
- Coopération avec l’autorité de contrôle.
- Notification à l’autorité de contrôle.
- Notification des personnes concernées.
- Analyse d’impact (Privacy Impact Assessment).
En cas de défaut la sanction prévue est de 2% du CA consolidé ou 10 M€.
La suite des exigences :
- Respect des principes de base d’un traitement (Licéité, loyauté, légitimité, consentement, données sensibles …).
- Respect du droit des personnes (Droit d’accès, de rectification, d’effacement dit « Droit à l’oubli », à la limitation du traitement, à la portabilité et d’opposition).
- Respect des règles relative au transfert de données (Privacy Shield / Binding Corporate Rules).
Dans ces cas le non respect peut être sanctionné par 4% du CA consolidé ou 20 M€.
La mise en conformité n’est pas un simple projet, il s’agit plus d’un changement de culture dans les organisations quelques soient leurs tailles.
Méthodologie
Pour qu’une organisation se mette en conformité, il faut qu’elle se prépare en 6 étapes selon les conseils de la CNIL :
- Désigner un pilote,
- Cartographier les traitements de données personnelles,
- Prioriser les actions,
- Gérer les risques,
- Organiser les processus interne,
- Documenter la conformité.
Pour rester dans l’esprit de ces étapes nous proposons de vous accompagner sur un projet de mise en conformité en 5 phases comme suit (cliquer sur l’image pour l’agrandir) :
Ce type de projet vous permet d’obtenir une évaluation de votre conformité au Règlement européen, d’avoir une cartographie complète de vos traitements et un plan d’action d’amélioration pour être en conformité. L’ensemble des résultats obtenus permet au DPO ou au responsable de traitement de prendre en charge immédiatement le maintien de cette conformité et le pilotage du plan d’action. Il est conseillé de réévaluer la démarche au moins une fois tous les 3 ans.
Services de consulting
Nous menons les projets de mise en conformité RGPD avec une offre de services très diversifiée et adaptée à vos besoins, par exemple :
- Évaluation flash de maturité au RGPD et à la sécurité des données.
- Pilotage complet du projet de mise en conformité RGPD.
- Établissement et documentation du registre des traitements.
- Sensibilisation au Règlement et aux bonnes pratiques de sécurité.
- Analyse de risques et évaluation d’impact sur la vie privée (PIA).
- Coordination du plan d’amélioration des processus et de la sécurité du SI.
- Aide au déploiement des processus de sécurité des données.