Le règlement européen en termes de normes RGPD, est entré en vigueur le 25 mai 2018. De nombreuses procédures auprès de la CNIL ont disparu. En retour, la responsabilité des organisations est renforcée. Désormais, ils doivent garantir la protection optimale des données à tout moment et peuvent le prouver en documentant leur conformité. Mais comment se conformer à la norme RGPD ?
Désigner un pilote et cartographier les traitements de données personnelles
Pour administrer la gestion des données personnelles dans votre structure, vous avez besoin d’un véritable commandant qui assurera la mission d’information, de contrôle et de conseil internes : le représentant à la protection des données. Depuis 2018, vous pouviez désigner un « correspondant informatique indépendant » qui vous permet de piloter les actions à mener.
Afin de mesurer précisément l’impact de la réglementation européenne sur la protection des données auquel vous traitez, commencez par définir exactement comment vos données personnelles sont traitées. La création d’un registre des traitements peut vous faire le point.
Privilégier les actions à mener et gérer les risques
À partir de votre registre, déterminez les actions à entreprendre pour vous accorder aux obligations actuelles et futures. La priorisation de ces actions est liée au risque que votre traitement fait peser sur les libertés et droits des personnes concernées.
Si vous avez déterminé que le traitement des données à caractère personnel présente un risque significatif pour les droits et libertés des personnes concernées, il vous sera demandé d’effectuer, pour chacune de ces activités de traitement, une analyse d’impact sur la protection des données (AIPD).
Organiser les processus internes et documenter la conformité
Pour assurer à tout moment un niveau élevé de protection des données personnelles, implantez des procédures internes. Des procédures garantissant que la protection des données est prise en compte en permanence, en tenant compte de tous les événements pouvant survenir au fil de la vie d’un traitement (par ex. : faille de sécurité, changement de prestataire, gestion des demandes d’accès ou de rectification, modification des données collectées).
Pour démontrer que vous êtes en conformité avec la réglementation, vous devez regrouper et constituer tous les documents essentiels. Les actions et les documents effectués à chaque étape doivent être régulièrement actualisés et réexaminés pour garantir une protection continue des données.
Qui est touché par le RGPD ? Toute organisation, quel qu’en soit la taille, le pays d’établissement et ses opérations, peut être intéressante.
Effectivement, le RGPD s’applique à chaque organisation, privée et publique, traitant des données personnelles en son nom ou compte, à condition que :
• l’organisation soit constituée sur le territoire de l’Union européenne,
• soit ses activités s’adressent directement aux résidents européens.