Étapes d'une mise en conformité au RGPD

Données personnelles 3409 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.
Étapes d'une mise en conformité au RGPD

Le Règlement général sur la protection des données (RGPD), relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, est venu consolider et uniformiser leur protection au sein de l'Union Européenne.

Deux fils directeurs se dégagent de ce règlement :

  • le renforcement de la protection des personnes concernĂ©es par un traitement de leurs donnĂ©es Ă  caractère personnel ;
  • et la responsabilitĂ© des organismes traitant ce type de donnĂ©es.

Dans son article 5-2, le RGPD consacre le principe d’accountability. Ce principe désigne :

L'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Les entreprises sont ainsi tenues de :

  • s’interroger sur la conformitĂ© du traitement des donnĂ©es personnelles ;
  • pouvoir la prouver si besoin.

Une mise en conformité au RGPD s’impose à de nombreux acteurs intervenant dans le cadre d'un traitement de données à caractère personnel. Ce n’est pas uniquement une contrainte technique ou juridique, c’est également l’occasion de faire le point pour l’organisme concerné. Son importance est indiscutable.

La Commission Nationale de l'Informatique et des Libertés (CNIL) identifie quatre principales étapes à mener afin d’entamer et de maintenir sur le long terme sa mise en conformité avec les règles en vigueur en matière de protection des données.

Étape 1 : Établir un registre des activités de traitement

L’article 30 du RGPD impose à l’organisme traitant des données à caractère personnel de tenir un registre listant l’ensemble de ces traitements. Cette obligation concerne tous les organismes, publics comme privés et quelle que soit leur taille. C’est en quelque sorte un état des lieux.

Ce registre des activités de traitement va recenser et analyser l’ensemble des données personnelles traitées au sein d’une structure. 

De manière générale, il permet d’identifier avec précision :

  • les acteurs intervenant dans le traitement des donnĂ©es ;
  • les catĂ©gories de donnĂ©es traitĂ©es ;
  • qui a accès aux donnĂ©es ;
  • les finalitĂ©s de la collecte ;
  • la durĂ©e de conservation de ces donnĂ©es
  • et leur protection.

En cas de contrôle, il permet de démontrer la conformité d’un organisme au RGPD.

Celui-ci est tenu par le responsable de traitement ou bien les sous-traitants eux-mêmes. Il doit être mis à jour de façon régulière, en fonction des évolutions.

Notez que sa tenue peut également être confiée au délégué à la protection des données s’il l’organisme en question le souhaite. 

Étape 2 : Faire le tri dans ses données 

Chaque création de fiche est l’occasion de faire le tri dans les données de l’organisme et de supprimer toutes les informations inutiles, notamment en vérifiant différents points :

  1. Les données traitées sont-elles nécessaires à l’activité exercée ? 
  2. Certaines données traitées sont-elles sensibles ? Si c’est le cas, l’organisme dispose-t-il des autorisations nécessaires pour traiter ces données ? ;
  3. Quelle est la durée de conservation de ces données ? Ne sont-elles pas conservées plus longtemps que nécessaire ? 
  4. Est-ce que seules les personnes habilitées ont accès à celles-ci ?

La CNIL définit les données sensibles comme :

Des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le RGPD interdit la collecte ou le traitement de ces données sensibles, sauf exceptions.

Étape 3 : Respecter les droits des personnes

Il est impératif de faire preuve de transparence. Dès lors que les données personnelles d’un individu sont recueillies, il est important d’informer la personne concernée des conditions d’utilisation de ses données et également de ses droits. L’organisme peut lui indiquer ses coordonnées, les finalités de cette collecte de données, ou encore qui sont les personnes qui auront accès à celles-ci. Ces informations figurent généralement dans la politique de confidentialité de l'organisme.

Les personnes dont les données sont collectées doivent pouvoir exercer facilement et simplement leurs droits. Elles disposent notamment d’un droit d’accès, de rectification, d’opposition ou encore à la portabilité. 

Le nombre de plaintes reçues par la Commission Nationale de l'Informatique et des Libertés (CNIL) ne fait qu’augmenter d’année en année. En 2018, les plaintes déposées concernaient essentiellement l’absence de réponse de la part des organismes ou l’absence de procédure en ligne pour exercer ces droits.

Étape 4 : Sécuriser ces données

Le principe de sécurisation des données personnelles est consacré par l’article 32-1 du RGPD. 

L’organisme concerné doit prendre toutes les mesures nécessaires afin de sécuriser les données en sa possession. L’objectif étant principalement de réduire le risque de perte ou bien de piratage. Le type de mesure à mettre en place dépend de la situation et de la catégorie des données en jeu. 

En cas de faille dans sa sécurité, les conséquences peuvent être catastrophiques, ce tant pour son image que pour les personnes qui lui ont confié des données personnelles.

Image de AnaĂŻs ROBIN

Juriste, titulaire d'un Master 2 Droit de la coopération économique et des affaires internationales à l'université de Hanoï, Vietnam et d'un Master 1 Droit privé international et comparé à l'université de Turin, Italie.

Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 15094 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 4579 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 4616 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 7820 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 4666 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
Donnees personnelles 7315 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 5837 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 36486 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Donnees personnelles 5433 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
Donnees personnelles 8305 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Donnees personnelles 10945 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une personne utilisant Google Analytics sur son ordinateur portable
Donnees personnelles 5421 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.

une caméra sur un mur
Donnees personnelles 4431 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
Donnees personnelles 11471 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Donnees personnelles 4415 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?