L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a entrainé la nécessité pour les organismes et entreprises de procéder à une mise en conformité et ainsi mettre en œuvre certaines mesures garantissant le respect de la nouvelle règlementation. Cette procédure de mise en conformité est obligatoire pour les entreprises soumises au respect du RGPD. De plus, elles encourent des sanctions en cas de non-conformité
Généralités sur la mise en conformité RGDP
Définition des grands principes du RGPD
La règlementation liée à la protection des données personnelles est régie par 5 grands principes :
- un principe de sécurité et de confidentialité ;
- un principe de finalité ;
- un principe de respect des droits des personnes ;
- un principe sur la durée de conservation limitée ;
- un principe de proportionnalité et de pertinence.
Ces principes doivent être respectés afin d’être mis en conformité avec le RGPD. D’ailleurs cela vous évitera les sanctions.
Définition de la mise en conformité RGPD
La mise en conformité RGPD correspond à la mise en œuvre des moyens nécessaires pour faire respecter les règles imposées par la réglementation relatives au traitement des données personnelles. Selon l’article 4 du RGPD, le concept de « Données Personnelles » correspond à toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Les responsables chargés du traitement des données sont soumis au principe « d’Accountability », tel qu’il a été imposé par l’article 5 du RGPD. Ce principe engage la responsabilité de ces derniers quant au respect des règles relatives au traitement des données personnelles.
Les acteurs concernés par le RGPD
L’article 3 du RGPD définit le champ d’application du règlement. Selon cet article, le champ d’application du RGPD concerne l’ensemble des organismes, publics ou privés, qui traitent des données personnelles. Le règlement ajoute également que seuls les organismes dont l’activité est établie sur le territoire de l’Union Européenne et dont l’activité cible exclusivement les résidents européens, sont concernés par le RGPD.
Les démarches de la mise en conformité RGPD
La constitution du registre du traitement des données
Le registre de traitement des données consiste en un registre facilitant la vue d’ensemble des données récoltées. L’outil myDPO permet de mieux tenir ce registre : voir les fonctionnalités de cet outil de mise en conformité rgpd sur le site de myDPO Solution. Ce registre amène à procéder à une identification des activités majeures de l’entreprise qui requièrent un traitement de données personnelles. Sur le plan pratique, le responsable ou le sous-traitant se doit de poursuivre vers la création d’une fiche relative à chaque activité recensée, sans oublier d’indiquer les informations suivantes :
- les catégories de données utilisées ;
- la durée de conservation des données ;
- l’objectif fixé ;
- les personnes ayant accès aux données.
Le triage des données
L’organisme doit limiter sa collecte de données à celles qui sont uniquement nécessaires au traitement. Il s’agit du concept de « Minimisation des données ».
Le respect des droits des personnes
Le RGPD a pour but d’améliorer la protection des données personnelles des individus. Pour ce faire, le RGPD confère alors à ces derniers un certain nombre de droits comme :
- le droit à l’oubli ;
- le droit à la portabilité ;
- le droit d’accès ;
- le droit de rectification ;
- le droit à la limitation du traitement ;
- le droit d’opposition.
La sécurisation des données
Le responsable en charge du traitement doit s’assurer que des mesures adéquates sont appliquées afin de garantir la sécurisation des données personnelles face aux risques de perte ou de piratage de données. Pour ce faire, le responsable devra respecter :
- le principe de confidentialité ;
- le principe d’intégrité ;
- le principe de disponibilité.
Toute violation de ces principes doit être signalée au plus vite auprès du CNIL.