Quelle conformité pour les organisations ?

Le Règlement européen impose une prise en compte accrue de la protection des données à caractère personnel : « Protection des données dès la conception » et « Protection des données par défaut ».

L’urgence est de prendre en compte les exigences du RGPD dans les contrats au plus tôt et en particulier sur le changement du statut du sous-traitant en termes de responsabilités (article 26 et article 28).

L’ampleur des sanctions (article 84) en cas de non conformité va de 10 M€ ou 2% du CA mondial consolidé à 20 M€ ou 4% du CA mondial consolidé. Le montant le plus élevé étant retenu comme sanction maximale possible.

Lorsque des transferts d’information hors Union Européenne sont effectués, des BCR ou Binding Corporate Rules peuvent constituer une solution juridique de mise en conformité et de maintient d’exploitabilité.

Le chapitre IV section 4 concerne le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO). L’obligation de la désignation d’un DPO ne concerne pas toutes les structures, bien que la CNIL recommande fortement sa désignation, y compris dans les cas d’exceptions. Le DPO peut être un rôle interne porté par un salarié ou externalisé chez un prestataire.

Preuves de la responsabilité opérationnelle et juridique de l’organisation, le corpus documentaire exigé est constitué :

En synthèse les exigences du RGPD sont :

  • Protection des données dès la conception (Privacy by Design).
  • Protection des données par défaut (Privacy by Default).
  • Représentant dans l’organisation (Data Protection Officer).
  • Registre des traitements.
  • Coopération avec l’autorité de contrôle.
  • Notification à l’autorité de contrôle.
  • Notification des personnes concernées.
  • Analyse d’impact (Privacy Impact Assessment).

En cas de défaut la sanction prévue est de 2% du CA consolidé ou 10 M€.

La suite des exigences :

  • Respect des principes de base d’un traitement (Licéité, loyauté, légitimité, consentement, données sensibles …).
  • Respect du droit des personnes (Droit d’accès, de rectification, d’effacement dit « Droit à l’oubli », à la limitation du traitement, à la portabilité et d’opposition).
  • Respect des règles relative au transfert de données (Privacy Shield / Binding Corporate Rules).

Dans ces cas le non respect peut être sanctionné par 4% du CA consolidé ou 20 M€.

La mise en conformité n’est pas un simple projet, il s’agit plus d’un changement de culture dans les organisations quelques soient leurs tailles.

Méthodologie

Pour qu’une organisation se mette en conformité, il faut qu’elle se prépare en 6 étapes selon les conseils de la CNIL :

  1. Désigner un pilote,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions,
  4. Gérer les risques,
  5. Organiser les processus interne,
  6. Documenter la conformité.

Pour rester dans l’esprit de ces étapes nous proposons de vous accompagner sur un projet de mise en conformité en 5 phases comme suit (cliquer sur l’image pour l’agrandir) :

RGPD Méthodologie projet

Ce type de projet vous permet d’obtenir une évaluation de votre conformité au Règlement européen, d’avoir une cartographie complète de vos traitements et un plan d’action d’amélioration pour être en conformité. L’ensemble des résultats obtenus permet au DPO ou au responsable de traitement de prendre en charge immédiatement le maintien de cette conformité et le pilotage du plan d’action. Il est conseillé de réévaluer la démarche au moins une fois tous les 3 ans.

Services de consulting

Nous menons les projets de mise en conformité RGPD avec une offre de services très diversifiée et adaptée à vos besoins, par exemple :

  • Évaluation flash de maturité au RGPD et à la sécurité des données.
  • Pilotage complet du projet de mise en conformité RGPD.
  • Établissement et documentation du registre des traitements.
  • Sensibilisation au Règlement et aux bonnes pratiques de sécurité.
  • Analyse de risques et évaluation d’impact sur la vie privée (PIA).
  • Coordination du plan d’amélioration des processus et de la sécurité du SI.
  • Aide au déploiement des processus de sécurité des données.

Publié par Eric Soudy

Manager équitable, passionné par les interactions humaines et les pratiques de management qui permettent de partager, de grandir, d'évoluer et de s'accomplir, ce qui m’anime au quotidien c’est de découvrir et de faire découvrir des méthodes nouvelles.

Laisser un commentaire