La mise en conformité RGPD des entreprises nécessite diverses tâches supplémentaires, parfois fastidieuses. Pour aider les entreprises dans leurs démarches, le RGPD met à leur disposition divers outils tel que le registre des données, les mentions d’information et le DPIA. Comment fonctionnent-ils ?
D’abord, que signifie RGPD ?
Le nouveau règlement européen sur la protection des données personnelles, ou RPGD, est un règlement relatif à la protection de la vie privée de tous les citoyens européens. Il vise à responsabiliser les entreprises dans leur traitement et à la gestion des données à caractère personnel (à lire aussi : Comment mettre en place une économie circulaire dans son entreprise ?). Ces informations personnelles, appartenant à des personnes physiques sont : les adresses IP, les localisations, les noms, prénoms, les adresses. Et même les données dites sensibles comme les informations ethniques, les origines raciales, les informations biométriques, l’orientation sexuelle et l’opinion politique.
Les nouvelles obligations du RGPD donnent aux usagers d’internet davantage de pouvoir sur leurs données et obligent les entreprises à revoir leur politique de confidentialité.
Le respect des lignes directrices mises en place par le RGPD est très important car les sanctions en cas de non-conformité sont extrêmement lourdes. Pour aider les entreprises à être conformes au règlement, des outils RGPD ont été mis en place.
Outil 1 : cartographier les traitements
Pour commencer votre démarche de mise en conformité, commencez par recenser tous les traitements des données personnelles collectées. Après la désignation d’un délégué à la protection des données ou DPO (Data protection officer en anglais), vous devriez tenir un registre des traitements clair et précis.
Les informations qui doivent figurer dans ce registre sont déjà indiquées par le RGPD. Il doit contenir le nom et les coordonnées du responsable du traitement de données personnelles, les catégories des données traitées, et les finalités des collectes de chaque donnée.
Vous gagnerez beaucoup de temps en choisissant un logiciel qui affiche ces données sous forme de tableau de bord. Vous pourriez les mettre à jour pour permettre un suivi régulier et systématique.
Outil 2 : les mentions d’information
Vous devez informer les personnes concernées de façon transparente et compréhensible concernant les données collectées. Elles ont le droit de connaître à quoi leurs informations personnelles vont servir.
Pour les responsables de traitement, la mention d’information contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.
Outil 3 : un outil RGPD destiné aux mesures d’impact
Pour vous aider, la CNIL (Commission nationale de l’informatique et des libertés) met à votre disposition un logiciel libre : le PIA (Privacy Impact Assessment) ou DPIA (Data Protection Impact Assessment). Comme son nom l’indique, cet outil permet de faire une analyse d’impact relative à la protection des données pour chaque traitement fait dans le but d’identifier les traitements à risques. L’analyse d’impact est un outil RGPD important pour la responsabilisation des organismes. Elle aide à construire des traitements de données respectueuses de la vie privée, mais aussi à démontrer leur conformité au RGPD.
Selon la CNIL, les traitements à risques sont les traitements de données susceptibles de présenter des risques élevés pour la vie privée des individus. Il s’agit entre autres de profilage, des données relatives à la santé, de la collecte de données personnelles à très large échelle, etc.
Pour cette partie, vous aurez besoin des conseils des juristes et des experts. Vous pouvez voir le site de My Dpo pour avoir un outil RGPD efficace qui facilitera votre mise en conformité.
Outil 4 : gestion des droits des personnes
En ce qui concerne le droit à la personne, les précieux conseils d’un cabinet juridique seront, là aussi, les bienvenus. Le PIA permet de renseigner les éléments relatifs à la gestion du droit à la personne : droit d’accès et de rectification, droit de retirer son consentement à tout moment, droit à l’oubli…