Depuis le 25 mai 2018, tous les traitements de données personnelles mis en œuvre doivent respecter les principes et exigences du Règlement Général de Protection des Données (RGPD). Il définit les données personnelles comme étant « Toute information identifiant directement ou indirectement une personne physique (ex. nom, numéro d’immatriculation, de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).». Ces données sont partout et peuvent concerner des données relatives aux administrés, agents, fournisseurs ou clients.

A cette date, tous les organismes et quelque soit la taille de la structure, qu’ils soient responsables de traitement ou sous-traitants, doivent être en mesure de démontrer cette conformité.

De plus, dans son article 37, le RGPD IMPOSE aux autorités et organismes publiques de désigner un délégué à la protection des données (DPD) (ou data protection officer DPO). Néanmoins, ce DPO peut être mutualisé. 

Les missions principales du délégué :

  • informer et  conseiller le responsable de traitement de la collectivité ou le sous-traitant, ainsi que les agents ;
  • diffuser une culture Informatique & Libertés au sein de la collectivité ;
  • contrôler le respect du règlement et du droit national en matière de protection des données, via la réalisation d’audits en particulier ;
  • conseiller la collectivité sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • coopérer avec la CNIL et d’être le point de contact de celle-ci.
Dans l’exercice de ces missions, le délégué devra être à l’abri des conflits d’intérêts, rendre compte directement au niveau le plus élevé de la hiérarchie et bénéficier d’une liberté certaine dans les actions qu’il décidera d’entreprendre.

 

En outre, il ne suffit pas de désigner un DPO pour se conformer au RGPD. Vous devez également :

  1. cartographier vos traitements : c’est-à-dire recenser l’ensemble des traitements de données personnelles, informatisées ou non (archives papier). Il s’agit d’identifier les processus concernés par le RGPD puis de calculer leur niveau de conformité en les soumettant à une étude d’impacts (Privacy Impact Assessment (PIA)). Pour dresser cette cartographie, les métiers seront mis à contribution, notamment la DRH qui gère un grand nombre de données nominatives. Ce travail préliminaire servira à documenter le registre actualisé recensant les traitements, leurs  finalités,  les  catégories  de  données  et  leur  durée  de  conservation,  qui  pourra  être demandé à tout moment par la CNIL.
  2. prioriser et établir un plan d’actionSur la base de cet état des lieux, un plan d’actions est mis en œuvre.  Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil du  consentement  au  droit  à  l’oubli,  ce  qui  entraîne  une  révision  en  profondeur  de  la politique de confidentialité. Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD.  Les  contrats  fournisseurs  devront  comprendre  une  clause  précisant  leurs  nouvelles obligations  et  responsabilités.  Cela  concerne  également  les  prestataires  basés  hors  de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens.
  3. gérer les risques et organiser les processus internesPour inscrire ce plan d’actions dans la durée, il convient de mettre en place des procédures visant  à  garantir  l’intégrité  de  la  donnée  tout  au  long  de  la  vie,  de  la  collecte  à  sa suppression (Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement ? Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ? Quelle  est  la  chaîne  de  responsabilités  en  cas  de  fuite  de  données  sachant  qu’en principe la Cnil doit être alertée sous 72 h ?)
  4. documenter la conformitéIl  est  nécessaire  de  constituer  un  dossier  documentaire  permettant  de  démontrer  que  le traitement  des  données  personnelles  est  conforme  au  règlement.  Les  mesures organisationnelles  et  techniques  doivent  être  réexaminées  et  actualisées  régulièrement pour assurer une protection des données en continu.
  5. sensibiliser les collaborateurs au respect de la vie privéeEnjeu constant de l’établissement, la notion de respect de la vie privée doit être partagée par tous. Il convient de former les salariés aux nouvelles obligations introduites par le RGPD, et  rappeler  qu’un  simple  fichier  Excel  contenant  des  contacts  constitue  un  traitement  de données personnelles…