Les enjeux de la conformité RGPD

Quelle conformité pour les organisations ?

Le nouveau règlement européen impose une prise en compte accrue de la protection des données à caractère personnel : « Protection des données dès la conception » et « Protection des données par défaut ».

L’urgence est de prendre en compte les exigences du RGPD dans les contrats dès aujourd’hui et en particulier le changement du statut du sous-traitant en termes de responsabilités (art 26 et 28).

L’ampleur des sanctions (art 84) va de 10 M€ ou 2% du CA mondial consolidé à 20 M€ ou 4% du CA mondial consolidé. Le montant le plus élevé étant retenu comme sanction maximale possible.

Lorsque des transferts d’information hors Union Européenne sont effectués, des BCR ou Binding Corporate Rules peuvent constituer une solution juridique de mise en conformité et de maintient d’exploitabilité.

Le chapitre IV section 4 concerne le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO). L’obligation de la désignation d’un DPD ne concerne as toutes les structures, bien que la CNIL recommande fortement sa désignation, y compris dans les cas d’exceptions.

Preuves de la responsabilité opérationnelle et juridique de l’organisation, le corpus documentaire exigé est constitué de :

En synthèse les exigences du RGPD sont :

  • Protection des données dès la conception (Privacy by Design).
  • Protection des données par défaut (Privacy by Default).
  • Représentant dans l’organisation (Data Protection Officer).
  • Registre des traitements.
  • Coopération avec l’autorité de contrôle.
  • Notification à l’autorité de contrôle.
  • Notification des personnes concernées.
  • Analyse d’impact (Privacy Impact Assessment).

En cas de défaut la sanction prévue est de 2% du CA consolidé ou 10M€.

La suite des exigences :

  • Respect des principes de base d’un traitement (Licéité, loyauté, légitimité, consentement, données sensibles …).
  • Respect du droit des personnes (Droit d’accès, de rectification, d’effacement dit « Droit à l’oubli », à la limitation du traitement, à la portabilité et d’opposition).
  • Respect des règles relative au transfert de données (Privacy Shield / Binding Corporate Rules).

Dans ces cas le non respect peut être sanctionné par 4% du CA consolidé ou 20M€.

La mise en conformité n’est pas un simple projet, il s’agit plus d’un changement de culture dans les organisations quelques soient leurs tailles.

RGPD - Maintien de la Conformité

Méthodologie

Pour qu’ne organisation se mette en conformité il faut qu’elle se prépare en 6 étapes selon la CNIL :

  1. Désigner un pilote,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions,
  4. Gérer les risques,
  5. Organiser les processus interne,
  6. Documenter la conformité.

Pour rester dans l’esprit de ces étapes nous proposons de vous accompagner sur un projet de mise en conformité en 9 phases comme suit (cliquer sur l’image pour l’agrandir) :

RGPD Projet de Conformité en 9 phases
RGPD Projet de Conformité en 9 phases

Ce type de projet vous permet d’obtenir une évaluation de votre conformité au Règlement européen, d’avoir une cartographie complète de vos traitements et un plan d’action d’amélioration pour être en conformité. L’ensemble des résultats obtenus permet au DPO de prendre en charge immédiatement le maintien de cette conformité et le pilotage du plan d’action.

Services de consulting

Nous menons les projets liés à la conformité RGPD en partenariat avec la société Veyan, notre offre conjointe de services est très diversifiée :

  • Évaluation flash de maturité au RGPD et à la sécurité des données.
  • Pilotage complet du projet de mise en conformité RGPD.
  • Sensibilisation au Règlement et aux bonnes pratiques de sécurité.
  • Coordination du plan d’action d’amélioration.
  • Aide au déploiement des processus de la sécurité des données.
Publicités