RGPD - LE PROCESSUS DE MISE EN CONFORMITE

La mise en conformité des traitements de données à caractère personnel au RGPD n’est pas une action ponctuelle, mais un processus continu qui doit permettre au responsable de traitement – qui par définition définit les moyens et les finalités du traitement - de démontrer à tout moment qu’il respecte le RGPD, en application du principe d’accountability, pierre angulaire de ce règlement.

1. La cartographie des traitements et le registre des activités de traitement

Ceci constitue la toute première étape de cette mis en conformité, puisqu’elle consiste à recenser objectivement les divers traitements de données à caractère personnel effectués par l’entreprise/responsable de traitement, ce qui revient à déterminer:

  • les finalités du traitement,

  • la ou les base(s) juridique(s) du traitement,

  • la nature des données collectées et la source de ces données,

  • le caractère nécessaire ou facultatif de ces données au regard des finalités,

  • les personnes concernées,

  • la durée et le lieu de conservation des données,

  • les destinataires internes et externes des données

  • les éventuels transferts de données hors de l’Union Européenne/Espace Economique Européen et les garanties appropriées fournies pour se conformer au RGPD,

  • les mesures de sécurité techniques et organisationnelles pour assurer la confidentialité, l’intégrité et la disponibilité des données.

Si un registre d’activités de traitement n’existe pas déjà, la cartographie permettra d’établir ce registre dont la tenue est obligatoire (article 30 du RGPD) lorsque

  • le responsable de traitement comprend au moins 250 personnes,

  • ou, à défaut,

  • lorsqu’un traitement n’est pas occasionnel (comme la gestion de la paie des salariés qui est un traitement récurrent),

  • ou plus rarement, si un traitement porte sur des données dites sensibles (origine ethnique, religion, conviction politique, données de santé…) ou est susceptible de porter atteinte aux droits et libertés des personnes.

Après ces premières opérations qui permettront d’avoir une vue d’ensemble des divers traitements de données à caractère personnel, il conviendra d’apprécier leur niveau de conformité au regard des exigences du RGPD et de répertorier les manquements éventuels.

2. Audit de conformité

L’audit de conformité ne portera pas exclusivement sur les traitements eux-mêmes, mais également sur

  • l’obligation d’information des personnes dont les données sont collectées (salariés, clients, fournisseurs…),

  • la politique de sensibilisation des salariés,

  • les mesures de sécurité techniques et organisationnelles destinées à assurer la protection des données à caractère personnel,

  • la politique contractuelle de gestion des données à caractère personnel avec des sous-traitants.

Cet audit permettra de

  • répertorier les différentes non-conformités techniques et/ou juridiques,

  • identifier les risques associés aux non-conformités relevées, tant au regard des sanctions éventuelles ou de l’atteinte à l’image pour ce qui concerne l’entreprise responsable de traitement, que pour ce qui a trait aux personnes concernées,

  • préconiser les actions correctrices à mener pour traiter ces non-conformités.

3. Le plan d’action

Ce plan comprendra les diverses actions à mener pour assurer la mise en conformité des traitements, actions qu’il conviendra de prioriser, de planifier et d’évaluer en termes de coût :

  • limiter les données collectées à celles qui sont vraiment nécessaires au regard des finalités à accomplir pour le traitement considérer (principe de minimisation des données),

  • s’assurer de la pertinence de la base juridique retenue pour effectuer le traitement,

  • restreindre l’accès aux données collectées aux seules personnes habilitées à les traiter, au sein de l’entreprise,

  • veiller au respect du RGPD par les sous-traitants de l’entreprise, notamment en cas de transfert des données hors de l’Union Européenne/Espace Economique Européen,

  • sensibiliser les salariés de l’entreprise aux objectifs et principes du RGPD,

  • mettre en place un processus d’information des personnes dont les données sont collectées (salariés et tiers à l’entreprise),

  • insérer une charte de protection des données sur le site web de l’entreprise et des clauses « RGPD » dans les contrats passés avec des sous-traitants et impliquant des flux de données personnelles,

  • mettre en oeuvre des mesures de sécurité techniques et organisationnelles proportionnées aux risques identifiés d’atteinte à la confidentialité, l’intégrité et/ou la disponibilité des données personnelles,

  • définir un processus de gestion de l’exercice des droits conférés par le RGPD à ces personnes, afin de pouvoir traiter les demandes de façon satisfaisante et dans les délais impartis par le RGPD,

  • définir un processus de gestion des violations de données, afin de prendre toutes mesures pour faire cesser ces violations, limiter les dommages subis par les personnes concernées et, le cas échéant, en informer la CNIL.

Toutes ces actions devront naturellement être documentées afin que le responsable de traitement puisse, en cas de contrôle de la CNIL, justifier de sa conformité au RGPD ou, à tout le moins, des moyens mis en œuvre pour y parvenir.