Depuis le 25 mai 2018, tous les traitements de données personnelles mis en œuvre doivent respecter les principes et exigences du Règlement Général de Protection des Données (RGPD). Il définit les données personnelles comme étant « Toute information identifiant directement ou indirectement une personne physique (ex. nom, numéro d’immatriculation, de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).». Ces données sont partout et peuvent concerner des données relatives aux administrés, agents, fournisseurs ou clients.
A cette date, tous les organismes et quelque soit la taille de la structure, qu’ils soient responsables de traitement ou sous-traitants, doivent être en mesure de démontrer cette conformité.
De plus, dans son article 37, le RGPD IMPOSE aux autorités et organismes publiques de désigner un délégué à la protection des données (DPD) (ou data protection officer DPO). Néanmoins, ce DPO peut être mutualisé.
Les missions principales du délégué :
- informer et conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
- diffuser une culture Informatique & Libertés au sein de la collectivité ;
- contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
- conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- coopérer avec la CNIL et d’être le point de contact de celle-ci.
En outre, il ne suffit pas de désigner un DPO pour se conformer au RGPD. Vous devez également :
- cartographier vos traitements : c’est-à-dire recenser l’ensemble des traitements de données personnelles, informatisées ou non (archives papier). Il s’agit d’identifier les processus concernés par le RGPD puis de calculer leur niveau de conformité en les soumettant à une étude d’impacts (Privacy Impact Assessment (PIA)). Pour dresser cette cartographie, les métiers seront mis à contribution, notamment la DRH qui gère un grand nombre de données nominatives. Ce travail préliminaire servira à documenter le registre actualisé recensant les traitements, leurs finalités, les catégories de données et leur durée de conservation, qui pourra être demandé à tout moment par la CNIL.
- prioriser et établir un plan d’action : Sur la base de cet état des lieux, un plan d’actions est mis en œuvre. Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil du consentement au droit à l’oubli, ce qui entraîne une révision en profondeur de la politique de confidentialité. Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens.
- gérer les risques et organiser les processus internes : Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place des procédures visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression (Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement ? Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ? Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe la Cnil doit être alertée sous 72 h ?)
- documenter la conformité : Il est nécessaire de constituer un dossier documentaire permettant de démontrer que le traitement des données personnelles est conforme au règlement. Les mesures organisationnelles et techniques doivent être réexaminées et actualisées régulièrement pour assurer une protection des données en continu.
- sensibiliser les collaborateurs au respect de la vie privée : Enjeu constant de l’établissement, la notion de respect de la vie privée doit être partagée par tous. Il convient de former les salariés aux nouvelles obligations introduites par le RGPD, et rappeler qu’un simple fichier Excel contenant des contacts constitue un traitement de données personnelles…